功能强大的Rundll32命令
数码时尚
编者按:Rundll32是Windows用来调用32位DLL函数时所使用的命令(16位的DLL文件使用Rundll.exe),DLL文件是Windows的基础,所有的API函数都是在DLL中实现的。如今很多病毒和木马也是通过它来进行传播和感染的。下面就通过几个实例,介绍Rundll32的使用,让大家更加深入地了解Rundll32。
一、诡秘木马调用Rundll32
现在,木马的隐藏技术越来越高,它们通过调用Rundll32命令来实现自身的加载。
举个简单的例子:“Win32.Lovgate.H新变体”就使用了这种技术,在被感染的机器注册表“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”中,发现键名为“Remote Procedure Call Locator”的启动项,其值为“Rundll32.exe reg678.dll ondll_reg”。
另外还做以下修改:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ll_reg
"ImagePath" = "Rundll32.exe Task688.dll ondll_reg"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetMeeting Remote Desktop (RPC) Sharing
"ImagePath" = "Rundll32.exe Task688.dll ondll_reg"
这样,木马把自身的功能部分解压缩到DLL库文件中,达到隐蔽的效果,一般很难清除干净。
二、用Rundll32实现快速操作
我们每天都要重复关机、注销、重启这些操作,现在可以使用Rundll32简化它们。
打开记事本程序,编写如下内容:
1.shutdown.bat(关机)
rundll32.Exe shell32.dll,SHExitWindowsEx 1
2.logoff.bat(注销)
rundll32.Exe shell32.dll,SHExitWindowsEx 0
3.reboot.bat(重启)
rundll32.Exe shell32.dll,SHExitWindowsEx 2
其中,0代表注销,1代表关机,2代表重启,将这三个文件保存在桌面上,这样就可以通过运行相应的文件进行快速操作。
三、3721也使用Rundll32
很多朋友上网时,不知不觉地被安装上一个名为“3721网络实名”的IE插件,然后我们就可以在IE中输入“中文名字”访问网站,其实这些功能就是通过Rundll32调用“网络实名”DLL组件实现的。
在一台已经安装“网络实名”的电脑上,运行“regedit.exe”注册表编辑器程序,依次展开“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\”,发现一个键名为“CnsMin”启动项,其键值为“Rundll32.exe C:\WINNT\DOWNLO~1\CnsMin.dll,Rundll32”,其中“CnsMin.dll”是网络实名的DLL文件,“Rundll32”是Rundll32.exe调用DLL文件中包含的函数,这样,通过一个简单的Rundll32.exe命令就可实现网络实名功能。
四、Rundll32调用控制面板
我们经常使用控制面板中的工具,现在可以使用Rundll32命令来对它们实现快速调用。
编写control.bat文件,内容如下:rundll32.exe shell32.dll,Control_RunDLL。保存在桌面上,双击其图标,就可以快速调用控制面板。
控制面板中的各个工具选项都可以使用此方法调用:
命令:rundll32.exe shell32.dll,Control_RunDLL appwiz.cpl,,1
功能: 显示“控制面板→添加/删除程序→安装/卸载”面板。
命令:rundll32.exe shell32.dll,Control_RunDLL appwiz.cpl,,3
功能: 显示“控制面板→添加/删除程式→启动盘”面板。
命令: rundll32.exe rnaui.dll,RnaWizard
功能: 显示“新建拨号连接”向导的视窗。
命令:rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,1
功能:显示“显示属性→荧屏保护”选项视窗。
Rundll32命令还有很多用法,上面只是简单的介绍,有兴趣的朋友可以自己研究。