я наткнулся на экземпляр rundll32 при проверке запущенных процессов на моем окне windows 10.
это командная строка, которая запустила его в соответствии с Process Explorer:
C:Windowssystem32rundll32.exe -localserver 22d8c27b-47a1-48d1-ad08-7da7abd79617
что это значит? Я попытался исследовать это, но ничего не нашел.
это хорошо/нормально? Должен ли я убить его и продолжить расследование?
3583
по словам кого-то в MSDN это часть windows, называется"процесс профилирования программы анализа производительности (Windows Performance Counter Program)"
Я видел этот процесс на Windows 10, пользователь плитки - более известный как рисунки учетной записи. Возможно, он используется для обработки других типов ненадежных пользовательских данных; я не знаю.
код является частью пакета Windows" shell "(desktop interface), и процесс выполняется как пользователь"NT Authority/SYSTEM". Я думаю, это означает, что это часть интерфейса входа / "быстрого переключения пользователей". Поведение я наблюдал это все из окна. Я специально высматриваю любой (глючный) сторонний код, и не нахожу ничего подозрительного.
Windows Rundll32 (дочерний процесс DllHost) сбой. Как я могу его идентифицировать?
я захватил трассировку стека потока 0, пока он обрабатывал входящий COM-запрос. Это показывает класс Windows_UI_Immersive!CUserTileValidator. Я фиксировал этот след, когда процесс рушился, когда он обрабатывал изображение. В моей ментальной модели, это изолированный процесс это распаковывает изображение пользователя, но я ожидаю, что точное описание будет более сложным.
проблема была специфична для одного пользователя: я смог воспроизвести сбой, заблокировав свой сеанс и войдя в систему как этот конкретный пользователь, но не наоборот. Изображение профиля пользователя отображалось как значок по умолчанию. Изменение изображения профиля пользователя остановило сбои.
Я не могу найти документацию для -localserver опция Rundll32. Согласно другим комментаторам, значение UUID не может быть найдено нигде в реестре. Я не знаю, как Rundll32 выглядит это значение! Термин LocalServer используется в другом месте, когда речь идет о команде, используемой для запуска выделенного процесса COM-сервера. (Часто DllHost.exe, как указано ниже).
процесс Rundll32 имел родительский процесс, экземпляр DllHost.exe ("суррогат COM"). Глядя на командную строку DllHost,/ProcessID параметр был AppID в реестре указан как "Shell Create Object Task Server" из shell32.файл DLL. Оба процесса выполнялись как "NT Authority / SYSTEM".
в некотором смысле, аварии, которые я видел, были ожидаемыми. DllHost.exe был разработан для запуска ненадежных COM-объектов. Видимо, это было в сеансе пользователя. Моя ссылка не комментирует Не знаю, насколько хорошо она защищает неуверенность COM-объекты; особое беспокойство при запуске от имени системы.
 |  |  |  |  |  |  |  |  |  |
Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]
Komp
