Rundll

Rundll – program ten umożliwia uruchomienie funkcji wyeksportowanych z plików DLL. Działa on w środowisku Microsoft Windows. Wprowadza się go z wiersza poleceń (cmd.exe lub command.com). Wersja Rundll.exe otwiera pliki 16-bitowe (nie działa ona w systemie Windows NT 4.0), a wersja Rundll32.exe pliki 32-bitowe. Jeśli do programu dodana zostanie nieodpowiednia biblioteka, np. próbując otworzyć programem rundll32.exe 16-bitową bibliotekę, program nic nie zrobi, nie wyświetlając komunikatu o błędzie. Kolejnym minusem jest to, że nie każdą funkcję można uruchomić. Daje się wyeksportować funkcje tylko z tych bibliotek, które zostały zaprojektowane do wykorzystania z narzędziem rundll. Początkowo było ono stworzone tylko do wewnętrznego użytku Microsoftu. Opis poniższy będzie głównie o rundll32.exe, ponieważ biblioteki obsługujące architekturę 16-bitową już praktycznie nie występują, a świat powoli przestawia się na 64 bity.

Standardowo narzędzie to występuje w folderze %SystemRoot%\System32 lub %SystemRoot%\SysWow64 (jeżeli mamy system 64-bitowy).

W momencie, w którym odnajdzie się plik rundll32.exe w innym miejscu, należy go usunąć, ponieważ prawdopodobnie podszył się pod niego jeden z wirusów:

• W32.Miroot.Worm
• Backdoor.Lastdoor
• Trojan.StartPage

Można też sprawdzić za pomocą polecenia tasklist, jakie pliki biblioteki DLL używa nasz rundll32.exe.

tasklist /m /fi "IMAGENAME eq rundll32.exe" >C:\rundll32.txt

Polecenie to zapisze nam spis uruchomionych bibliotek do pliku „rundll32.txt” na dysku C. Można oczywiście uruchomić je bez „>C:\rundll32.txt”, co będzie skutkowało wyświetleniem tych bibliotek na ekranie zamiast zapis do pliku.

Rundll.exe [nazwa_biblioteki_dll], [punkt_wejścia] [argumenty]
Rundll32.exe [nazwa_biblioteki_dll], [punkt_wejścia] [argumenty]

przykład:

Rundll32.exe shell32.dll, Control_RunDLL

Spowoduje wyświetlenie panelu sterowania.

• Rundll32.exe desk.cpl,InstallScreenSaver – wyświetla okno wygaszacza ekranu
• Rundll32.exe diskcopy, DiskCopyRunDLL – wyświetla okno dialogowe kopiuj dysk
• Rundll32.exe exekrnl386.exe,GlobalrealLoc – przerwanie wszystkich funkcji systemowych
• Rundll32.exe krnl386.exe,ExitKernel – zamknięcie sesji kernela (szybkie zamknięcie systemu)
• Rundll32.exe mouse, disable – powoduje zablokowanie myszki
• Rundll32.exe keyboard, disable – powoduje zablokowanie klawiatury
• Rundll32.exe msprint2.dll,RUNDLL_PrintTestPage – powoduje wydrukowanie strony testowej
• Rundll32.exe shell, shellexecute – otwiera okno Eksplorera
• Rundll32.exe shell32.dll,Control_RunDLL – otwiera Panel sterowania
• Rundll32.exe shell32.dll,Control_RunDLL main.cpl @0 – wyświetla okno właściwości myszy
• Rundll32.exe shell32.dll,Control_RunDLL main.cpl @1 – wyświetla okno właściwości klawiatury
• Rundll32.exe shell32.dll,Control_RunDLL main.cpl @2 – wyświetla okno właściwości drukarek
• Rundll32.exe shell32.dll,Control_RunDLL main.cpl @3 – wyświetla okno właściwości czcionek
• Rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl – wyświetla okno właściwości systemu
• Rundll32.exe shell32.dll,OpenAs_RunDll – wyświetla okno dialogowe Otwórz z...
• Rundll32.exe shell32.dll,ShellAboutA – informacja o pamięci fizycznej i zasobach
• Rundll32.exe shell32.dll,SHexitWindowsEX 0 – powoduje wylogowanie z Windows
• Rundll32.exe shell32.dll,SHexitWindowsEX 1 – zamyka Windows
• Rundll32.exe shell32.dll,SHexitWindowsEX 2 – restartuje Windows
• Rundll32.exe shell32.dll,SHexitWindowsEX 3 – restartuje powłokę Windows
• Rundll32.exe shell32.dll,SHFormatDrive – wyświetla okno formatowania dysku
• Rundll32.exe user, disableoemlayer – wyłącza grafikę Windows
• Rundll32.exe user, enableoemlayer – włącza grafikę Windows
• Rundll32.exe user, exitwindows – wychodzi z Windows
• Rundll32.exe user, repaintscreen – odświeża ekran
• Rundll32.exe user, setcaretblinktime [n] – ustawia szybkość migania kursora
• Rundll32.exe user, setdoubleckilcktime [n] – ustawia szybkość dwukrotnego kliknięcia myszką
• Rundll32.exe user, setcursorpos – przesuwa kursor w lewy górny róg ekranu (pozycja 0, 0)
• Rundll32.exe user, swapmousebutton – zamienia klawisze myszki
• Rundll32.exe user, tilechildwindows – wyświetla okna w rzędzie
• Rundll32.exe user, cascadechildwindows – wyświetla okna kaskadowo
• Rundll32.exe user, wnetdisconnectdialog – wyświetla okno dialogowe „odłącz dysk sieciowy”
• Rundll32.exe user.exe,MessageBeep – odtwarza dźwięk Beep(inne języki) (z głośniczka systemowego)
• Rundll32.exe shell32.dll,Control_RunDLL datetime.cpl – wyświetla okno ustawień daty i czasu
• Rundll32.exe shell32,Control_RunDLL powercfg.cpl – wyświetla okno zarządzania energią
• Rundll32.exe sysdm.cpl,InstallDevice_Rundll – wyświetla okno kreatora dodawania nowego sprzętu
• Rundll32.exe shell32.dll,Control_RunDLL joy.cpl – wyświetla okno kontrolerów gry
• Rundll32.exe shell32.dll,Control_RunDLL desk.cpl – wyświetla okno właściwości ekranu
• Rundll32.exe shell32,Control_RunDLL sticpl.cpl – wyświetla okno właściwości skanerów i drukarek
• Rundll32.exe shell32,Control_RunDLL intl.cpl – wyświetla okno ustawień regionalnych
• Rundll32.exe shell32,Control_RunDLL sysdm.cpl – wyświetla okno właściwości systemu

• Microsoft
• Informacje o wirusach
• przykłady