Что это rundll32 экземпляр работает?

я наткнулся на экземпляр rundll32 при проверке запущенных процессов на моем окне windows 10.

это командная строка, которая запустила его в соответствии с Process Explorer:

C:Windowssystem32rundll32.exe -localserver 22d8c27b-47a1-48d1-ad08-7da7abd79617

что это значит? Я попытался исследовать это, но ничего не нашел.

это хорошо/нормально? Должен ли я убить его и продолжить расследование?

30
задан beppe9000
01.05.2023 5:14 Количество просмотров материала 3583
Распечатать страницу

2 ответа

по словам кого-то в MSDN это часть windows, называется"процесс профилирования программы анализа производительности (Windows Performance Counter Program)"

https://translate.google.com/translate?hl=en&sl=zh-CN&u=https://social.msdn.microsoft.com/Forums/en-US/ea5b2358-f440-4fb6-bec3-029092ea3829/rundll32exe-localserver-%3Fforum%3D1761&prev=search

2
отвечен Jack Hadley 2023-05-02 13:02

Я видел этот процесс на Windows 10, пользователь плитки - более известный как рисунки учетной записи. Возможно, он используется для обработки других типов ненадежных пользовательских данных; я не знаю.

код является частью пакета Windows" shell "(desktop interface), и процесс выполняется как пользователь"NT Authority/SYSTEM". Я думаю, это означает, что это часть интерфейса входа / "быстрого переключения пользователей". Поведение я наблюдал это все из окна. Я специально высматриваю любой (глючный) сторонний код, и не нахожу ничего подозрительного.

Windows Rundll32 (дочерний процесс DllHost) сбой. Как я могу его идентифицировать?

сценарий

я захватил трассировку стека потока 0, пока он обрабатывал входящий COM-запрос. Это показывает класс Windows_UI_Immersive!CUserTileValidator. Я фиксировал этот след, когда процесс рушился, когда он обрабатывал изображение. В моей ментальной модели, это изолированный процесс это распаковывает изображение пользователя, но я ожидаю, что точное описание будет более сложным.

проблема была специфична для одного пользователя: я смог воспроизвести сбой, заблокировав свой сеанс и войдя в систему как этот конкретный пользователь, но не наоборот. Изображение профиля пользователя отображалось как значок по умолчанию. Изменение изображения профиля пользователя остановило сбои.

Я не могу найти документацию для -localserver опция Rundll32. Согласно другим комментаторам, значение UUID не может быть найдено нигде в реестре. Я не знаю, как Rundll32 выглядит это значение! Термин LocalServer используется в другом месте, когда речь идет о команде, используемой для запуска выделенного процесса COM-сервера. (Часто DllHost.exe, как указано ниже).

технические детали

процесс Rundll32 имел родительский процесс, экземпляр DllHost.exe ("суррогат COM"). Глядя на командную строку DllHost,/ProcessID параметр был AppID в реестре указан как "Shell Create Object Task Server" из shell32.файл DLL. Оба процесса выполнялись как "NT Authority / SYSTEM".

в некотором смысле, аварии, которые я видел, были ожидаемыми. DllHost.exe был разработан для запуска ненадежных COM-объектов. Видимо, это было в сеансе пользователя. Моя ссылка не комментирует Не знаю, насколько хорошо она защищает неуверенность COM-объекты; особое беспокойство при запуске от имени системы.

0
отвечен sourcejedi 2023-05-02 15:19

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Вверх