bep*_*000 16 windows rundll32.exe dll rundll windows-10
在检查 Windows 10 机器上正在运行的进程时,我偶然发现了一个 rundll32 实例。
这是根据 Process Explorer 启动它的命令行:
C:\Windows\system32\rundll32.exe -localserver 22d8c27b-47a1-48d1-ad08-7da7abd79617
这是什么意思?我试着研究这个,但什么也没找到。
好/正常吗?我应该杀死它并进一步调查吗?
我找到了这个过程的起源。这很简单,有点愚蠢。
当您播放视频(无论是 youtube 或 vlc 还是其他),并使用键盘快捷键更改音量时,您会看到:
https://i.stack.imgur.com/ZLllA.png
这就是过程所做的,就在这里。如果您重新启动并在观看视频时更改音量,则该过程将在显示视频标题的滑块时出现。而如果你杀掉rundll32进程,右边的图片就会消失。
我被逼疯了,试图找到这个 rundll32 到底是什么鬼,答案让我觉得自己一开始就尝试过
根据 MSDN 上的某人的说法,它是 Windows 的一部分,称为“进程分析性能分析程序(Windows 性能计数器程序)”
我在 Windows 10 上看到了这个过程,处理用户磁贴 - 通常称为用户帐户图片。可能用于处理其他类型的不受信任的用户数据;我不知道。
该代码是Windows“shell”(桌面界面)包的一部分,该进程以用户“NT Authority/SYSTEM”身份运行。我认为这意味着它是登录/“快速用户切换”界面的一部分。我观察到的行为完全取决于 Windows。我专门寻找任何(有问题的)第三方代码,但没有发现任何可疑之处。
Windows Rundll32(DllHost 的子进程)正在崩溃。我怎么能识别它?
我捕获了线程 0 的堆栈跟踪,同时它处理了传入的 COM 请求。它显示了一个类Windows_UI_Immersive!CUserTileValidator。当进程崩溃时,当它处理图片时,我正在捕获此跟踪。在我的心智模型中,这是一个解压缩用户图片的沙盒过程,但我希望精确的描述会更复杂。
该问题特定于一个用户:我能够通过锁定我的会话并以该特定用户的身份登录来重现崩溃,但反过来不行。用户的个人资料图片显示为默认图标。更改用户的个人资料图片阻止了崩溃。
我找不到-localserver有关 Rundll32 选项的文档。根据其他评论者,在注册表中的任何地方都找不到 UUID 值。不知道Rundll32是怎么查到这个值的!在谈论用于启动专用 COM 服务器进程的命令时,在别处使用术语LocalServer。(通常DllHost.exe,如下所述)。
Rundll32 进程有一个父进程,一个DllHost.exe("COM Surrogate")的实例。查看 DllHost 的命令行,/ProcessID参数是在注册表中列为“Shell Create Object Task Server”的 AppID,来自 shell32.dll。两个进程都以“NT Authority/SYSTEM”身份运行。
从某种意义上说,我看到的崩溃是预料之中的。DllHost.exe 旨在运行不可靠的 COM 对象。显然这是在用户会话中。我的链接没有评论不知道它如何保护不安全的COM 对象;作为 SYSTEM 运行时的一个特殊问题。
| 归档时间: |
|
| 查看次数: |
5644 次 |
| 最近记录: |
