盘点RUNDLL32.EXE的多种滥用方式及检测特点
发布时间:2022-08-04 11:30:05 所属栏目:安全 来源:互联网
导读:在进行威胁狩猎的过程中,如果想要找到恶意软件,首先需要对平台和操作系统具有一定的了解。如果想要甄别合法软件和恶意软件,首先必须明确哪些是合法的。 0x01 关于RUNDLL32.EXE 顾名思义,rundll32.exe可执行文件是用于运行DLL(RUN DLL),即运行动态链接
在进行威胁狩猎的过程中,如果想要找到恶意软件,首先需要对平台和操作系统具有一定的了解。如果想要甄别合法软件和恶意软件,首先必须明确哪些是合法的。 0x01 关于RUNDLL32.EXE 顾名思义,rundll32.exe可执行文件是用于运行DLL(RUN DLL),即运行动态链接库的。 在MSDN中,对DLL的定义如下: 动态链接库(DLL)是一个模块,其中包含可以由另一个模块(应用程序或DLL)使用的函数和数据。 以下是使用rundll32.exe的最基本语法: rundll32 rundll32.exe可执行文件可以是子进程,也可以是父进程,具体要取决于执行的上下文。为了确定一个rundll32.exe实例是否属于恶意,我们需要确认几件事。首先,需要确认启动它的路径,其次是命令行。 合法的RUNDLL32.EXE进程始终位于: WindowsSystem32rundll32.exe WindowsSysWOW64rundll32.exe(64位系统上的32位版本) 至于rundll32.exe实例的命令行,完全取决于要运行的内容,例如CPL文件、DLL安装等等。 接下来,我们来看几个例子。 0x02 运行DLL 在其基本形式中,rundll32.exe将仅执行一个DLL,因此,如果我们看到了rundll32.exe实例,首先要检查被调用的DLL的合法性。 我们始终要检查DLL的调用位置。例如,如果是从%temp%调用kernel32.dll,这种情况显然是恶意的。此外,我们还需要在VirusTotal这样的站点上检查其哈希值。 0x03 SHELL32.DLL – “OpenAs_RunDLL” Rundll32.exe还可以执行DLL中的特定函数。例如,当选择一个文件并右键单击时,将会显示出一个上下文菜单,其中包含多个选项。这里的一个选项是“OpenWith”(打开方式)。在点击后,将会出现一个弹出窗口,可以从系统上安装的应用程序中进行选择。 (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |