Я видел этот процесс на Windows 10, пользователь плитки - более известный как рисунки учетной записи. Возможно, он используется для обработки других типов ненадежных пользовательских данных; я не знаю.
код является частью пакета Windows" shell "(desktop interface), и процесс выполняется как пользователь"NT Authority/SYSTEM". Я думаю, это означает, что это часть интерфейса входа / "быстрого переключения пользователей". Поведение я наблюдал это все из окна. Я специально высматриваю любой (глючный) сторонний код, и не нахожу ничего подозрительного.
Windows Rundll32 (дочерний процесс DllHost) сбой. Как я могу его идентифицировать?
сценарий
я захватил трассировку стека потока 0, пока он обрабатывал входящий COM-запрос. Это показывает класс Windows_UI_Immersive!CUserTileValidator
. Я фиксировал этот след, когда процесс рушился, когда он обрабатывал изображение. В моей ментальной модели, это изолированный процесс это распаковывает изображение пользователя, но я ожидаю, что точное описание будет более сложным.
проблема была специфична для одного пользователя: я смог воспроизвести сбой, заблокировав свой сеанс и войдя в систему как этот конкретный пользователь, но не наоборот. Изображение профиля пользователя отображалось как значок по умолчанию. Изменение изображения профиля пользователя остановило сбои.
Я не могу найти документацию для -localserver
опция Rundll32. Согласно другим комментаторам, значение UUID не может быть найдено нигде в реестре. Я не знаю, как Rundll32 выглядит это значение! Термин LocalServer используется в другом месте, когда речь идет о команде, используемой для запуска выделенного процесса COM-сервера. (Часто DllHost.exe
, как указано ниже).
технические детали
процесс Rundll32 имел родительский процесс, экземпляр DllHost.exe
("суррогат COM"). Глядя на командную строку DllHost,/ProcessID
параметр был AppID в реестре указан как "Shell Create Object Task Server" из shell32.файл DLL. Оба процесса выполнялись как "NT Authority / SYSTEM".
в некотором смысле, аварии, которые я видел, были ожидаемыми. DllHost.exe был разработан для запуска ненадежных COM-объектов. Видимо, это было в сеансе пользователя. Моя ссылка не комментирует Не знаю, насколько хорошо она защищает неуверенность COM-объекты; особое беспокойство при запуске от имени системы.