プログラミング言語や環境設定を中心としたパソコン関連の技術メモです。
主にシステム開発中に調べたことをメモしています。TIPS的な位置付けで、気が向いたときにちまちま更新していきます。
Windows7、「rundll32.exe」とはなんぞや?
ふと見たら、ひょっこり登場した謎のプロセス。
その名も「rundll32.exe」。

名前は聞いたことあるけど、おまえは何する奴(--?

と気になったので調べてみることにしました。

ふむふむ(--)

「rundll32.exe」というのは、DLLの中にある関数を呼び出すときに使う実行ファイルのようです。

rundll32.exe [DLLファイル名], [関数名] [引数]

の書式で指定することでDLL内の関数を呼び出せるのだそうな。

例えばコマンドプロンプト上で

rundll32.exe user32.dll, LockWorkStation

と実行すると画面がロックされますよ。
これは「user32.dll」の中の関数「LockWorkStation」が実行された結果です。

ふ~ん(--)

今動いているプログラムの中のどれかで「rundll32.exe」経由のDLL呼び出しをしていて
それが原因で「rundll32.exe」のプロセスができてるってことですかね。

まぁ、こいつがあったら即ウィルスってわけではなさそうです。
安心するのは早いですけどね。

まず正規品の「rundll32.exe」は

C:\Windows\System32\rundll32.exe



C:\Windows\SysWOW64\rundll32.exe

にあります。
なので、それ以外の場所にあったらウィルスの可能性大です。

あとは「rundll32.exe」自体が正規のものだったとしても、
ウィルスさんが「rundll32.exe」を呼び出している可能性もあります。

つまり「rundll32.exe」単体だけではウィルスに感染しているか
それとも安全なのかは判断できないってことです。
あってもおかしくは無いプロセスですが、安全とも言い切れませんのでご注意ください。

ちょっと違いますが「代理人」っぽいイメージですかね。
代理人さん自体の素性がしっかりしているとしても、
普通の人の代理人か、詐欺師の代理人かはパッと見で分からないですよね?
それと同じです。

そんな感じ(--)ノ

最後にもう一度まとめると「rundll32.exe」はDLL内の関数呼び出しで使うexeです。
Windowsの正規のファイルではありますが、ウィルスの可能性も無くはありません。
またウィルスの中には、正規の「rundll32.exe」を使うお茶目な奴もいます。
正規のファイルだからと言って、必ずしもウィルスに感染していないとは限りません。
神経質になり過ぎる必要はありませんが、心配だったらウィルススキャンをがっつりしてください。


ちなみにウィルスはオリジナルのプロセスの場合もあれば
既存のプロセスに偽装している場合もあります。
偽装している場合の方が多いのかしら(--?
なもんで、ウィルス対策ソフトさんが検出した場合は
例え一般的に大丈夫なはずのプロセスでも、
ファイルサイズやタイムスタンプ等から総合的に判断したって下さい。
スポンサーリンク
 
このエントリーをはてなブックマークに追加 

category:プロセス  thema:パソコンな日々 - genre:コンピュータ  Posted by ササキマコト 

  関連記事