Windows에서 문제를 진단하려고 할 때 발생하는 문제 중 하나는 백그라운드에서로드되는 파일과 프로그램에 대한 많은 정보가 숨겨져있어 쉽게 보이지 않습니다. 이 Windows 프로그램 중 하나는 작업 관리자에서 단일 프로세스처럼 보이는 svchost.exe 프로세스입니다. 그러나 실제로 svchost 프로세스 내부의 내용을 식별하는 방법을 모르는 경우 알 수없는 여러 DLL로드 서비스가 포함될 수 있습니다.
Windows 작업 목록에 표시 될 수 있지만 프로세스가 무엇인지 알 수없는 다른 프로세스는 rundll32 프로세스 일 수 있습니다. Rundll32.exe는 \ Windows \ System32에있는 Windows의 일부이며 실제 프로그램 인 것처럼 dll 파일에서 프로그램 코드를 실행하는 데 사용됩니다. dll 파일을 직접 실행할 수 없으므로 rundll32.exe를 실행해야합니다. 많은 악성 소프트웨어가이 이름이나 유사한 이름을 사용하여 바이러스가 실제로 합법적 인 Windows 파일이라고 생각하도록 속일 수 있습니다. rundII32.exe (실제로 대문자 i 문자 사용) 또는 rundll.32.exe와 같은 이름은 드문 일이 아니며 시스템에 맬웨어가 있다고 의심되는 경우 작업 관리자에서 rundll32 (및 svchost) 파일 이름을 항상 연구해야합니다. Rundll32는 또한 스파이웨어가 자체 코드를 실행하기 위해 일반적으로 사용합니다. 작업 관리자를 열고 Rundll32.exe가 있는지 확인할 수 있듯이 실제로 기본적으로 dll이 시작되는 것을 볼 수는 없습니다.
다음은 Windows XP, Vista 및 7에서 rundll32.exe에로드되는 DLL 파일을 식별하는 방법입니다.
작업 관리자를 사용하여 사용중인 Rundll32.exe 명령 식별
이 기능은 Vista 이상에서만 사용할 수 있으며 작업 관리자에 현재 프로세스에서 사용하는 명령 줄이 무엇인지 알려주는 추가 열이 표시됩니다. 작업 관리자->보기 메뉴-> 열 선택…을 열고 명령 행 상자를 클릭 한 다음 확인을 클릭하십시오.
이제 새 열을 사용할 수 있으며 실행중인 dll을 식별 할 수 있습니다.
프로세스 탐색기를 사용하여로드 된 DLL 파일 식별
프로세스 탐색기는 SysInternals가 만든 훌륭한 작업 관리자 대체 프로그램으로 Rundll32 프로세스가로드하는 내용에 대한보다 자세한 정보를 표시 할 수 있습니다. 프로세스 탐색기 도구를 실행하기 만하면 작업 관리자 유형 프로세스 목록이 표시됩니다.
Rundll32.exe 항목 위로 마우스를 가져 가면 도구 설명에 실행중인 명령과 실행중인 dll이 도구 설명에 표시됩니다. 이미지에서 볼 수 있듯이이 rundll32.exe는 nVidia 트레이 아이콘을 실행 중입니다.
프로세스 탐색기 다운로드
명령 프롬프트를 통해로드 된 DLL 파일 식별
다음은 rundll32.exe에서 DLL 파일을 식별하는 수동 방법입니다. WinKey + R을 눌러 명령 프롬프트를 열고 cmd를 입력하십시오. 그런 다음 아래 명령을 입력하거나 프롬프트에 입력하고 Enter를 누르십시오.
작업 목록 / m / fi "IMAGENAME eq rundll32.exe"
기본적으로 Windows XP Home Edition에는 tasklist.exe 유틸리티가없고 Professional 만 있습니다. 모든 버전의 Windows Vista 및 7에 내장되어 있습니다. XP Home 용 작업 목록 도구를 원하는 경우 다음 링크에서 다운로드 할 수 있습니다.
Tasklist.exe 다운로드
dll 모듈은 작업 목록 결과의 오른쪽에 표시됩니다. 내부 Windows dll 인 많은 모듈이 표시 될 것입니다. 숙련 된 사용자가 목록에서 위험한 dll을 식별하려면 약간의 지식이 필요합니다. 확실하지 않은 경우 언제든지 dll 파일 이름으로 Google을 검색 할 수 있습니다.
가짜 Rundll32 파일
이제 rundll32.exe에서로드 된 DLL을 식별하는 방법을 알고 있지만 Windows 원본 rundll32.exe를 가짜 것으로 대체하는 스파이웨어 및 바이러스의 인스턴스도 있습니다. 잘못되거나 손상된 rundll32.exe이 (가) 발생하면 제어판 등을 여는 데 문제가 있습니다.
rundll32.exe가 수정되었거나 교체되었는지 확인하려면 메모장, 워드 패드 또는 16 진수 편집기로 열 수 있습니다. rundll32.exe를 열었 으면“padding”이라는 단어를 찾으십시오. 이 단어가 rundll32.exe 안에 있다면, 그것은 가짜 파일을 사용하고 있다는 것을 의미합니다.
파일을 바꾸는 가장 간단한 방법은 명령 프롬프트에서 시스템 파일 검사기 (SFC)를 사용하는 것입니다.
1. Win 키 + R을 누르고 실행 대화 상자에 cmd를 입력하고 Enter를 누르십시오.
2. 명령 프롬프트에 아래 명령을 입력하고 Enter를 누르십시오. Windows는 이제 손상된 rundll32.exe 및 바이러스 또는 기타 문제로 손상된 다른 시스템 파일을 교체해야합니다.
sfc / Scannow
rundll32.exe 파일 만 손상되었고 Vista 또는 7을 사용하고있는 경우 전체 시스템 파일 검사를 피하고 해당 파일에서 SFC를 실행할 수 있습니다.
sfc /scanfile=c:\windows\system32\rundll32.exe
Windows XP 사용자는 원본 파일을 복원하기 위해 Windows 설치 CD가 필요할 수 있습니다. 나중에 SFC를 실행할 때 CD가 필요하지 않도록 매우 유용하고 시간을 절약 할 수있는 팁은 i386 폴더를 하드 드라이브에 복사하는 것입니다.