识破Rundll32的真身
技巧与实践
大家知道,很多病毒为了迷惑计算机用户,经常使用各种方法来隐藏自己。其中,利用系统进程进行伪装是某些病毒常用的伎俩。在病毒利用频率较高的几个系统进程中,Rundll32.exe算是一个。正因为这样,许多用户存在这样一种认识误区:只要发现系统进程列表中有Rundll32.exe的存在,便怀疑自己的系统中毒了。于是立刻启动杀毒软件进行杀毒,可往往折腾一番以后得到的结果却是系统正常。
其实,出现这样的情况,主要还是由于用户不了解隐藏在Rundll32.exe进程背后的DLL文件。因此,如果能快速查明Rundll32.exe所调用的DLL文件的相关信息,很多用户就会消除对它的恐惧。既然如此,那么如何才能快速获取DLL文件信息呢?这简单!只需借助Process Explorer(下载地址:http://www.sysinternals.com/Files/ProcessExplorerNt.zip),我们就能轻松识破Rundll32.exe的真身。
下面笔者就以查看自己系统中运行的Rundll32.exe进程为例,向大家演示一下具体的操作步骤。首先,启动Process Explore程序。在软件主窗口的进程列表窗格中,找到相应的Rundll32.exe进程,右键单击它,选择“Properties”命令。在打开的进程属性对话框中,选择“Image”标签页,在“Command Line”文本框中便列出了当前这个进程所调用的DLL文件,其中包括DLL文件所在的位置及其文件名(如图所示)。
从图中我们可以看出,当前这个Rundll32.exe进程调用的DLL文件为C:\Program Files\P4P目录下的Toolbar.dll文件。到相应的目录下面一查,我们便知这是与搜狗工具条相关的文件。如果你不希望运行这个进程,将搜狗工具直接卸载即可。
以后,有了这些信息,再结合一些常用的系统知识,我们便可大致判断出这个进程是否正常。当你再次碰到Rundll32.exe时,就不用再对它疑神疑鬼了。