إحدى المشاكل عندما تحاول تشخيص أي مشاكل في Windows ، هي الكثير من المعلومات حول الملفات والبرامج التي يتم تحميلها في الخلفية مخفية وغير مرئية بسهولة. أحد برامج Windows هذه هو عملية svchost.exe التي تبدو وكأنها عملية واحدة في إدارة المهام ، ولكن في الواقع يمكن أن تحتوي على العديد من خدمات dll المحملة التي لن تعرفها إلا إذا كنت تعرف كيفية تحديد ما بداخل عملية svchost.
عملية أخرى قد تظهر في قائمة مهام Windows ولكن لا يمكنك أبدًا معرفة ما قد تكون عليه عملية rundll32. يعد Rundll32.exe جزءًا من Windows الموجود في \ Windows \ System32 ويستخدم لتشغيل رمز البرنامج في ملف dll كما لو كان برنامجًا فعليًا. لا يمكن تنفيذ ملف dll مباشرة ، ولهذا السبب يلزم ملف rundll32.exe لتشغيله. يمكن للعديد من البرامج الضارة أيضًا استخدام هذا الاسم أو أسماء مشابهة لخداعك لتعتقد أن الفيروس هو بالفعل ملف Windows شرعي. إن الأسماء مثل rundII32.exe (التي تستخدم في الواقع حرفين كبيرين i) أو rundll.32.exe ليست شائعة ويجب عليك دائمًا دراسة أسماء ملفات rundll32 (و svchost) في Task Manager إذا كنت تشك في وجود برامج ضارة على نظامك. كما تستخدم برامج التجسس Rundll32 بشكل شائع لإطلاق التعليمات البرمجية الخاصة بها. كما ترى إذا قمت بفتح إدارة المهام وكان لديك Rundll32.exe موجودًا ، فلا يمكنك في الواقع أن ترى افتراضيًا ما هو dll الذي يتم تشغيله.
فيما يلي كيفية تحديد ملفات DLL التي يتم تحميلها في rundll32.exe على أنظمة التشغيل Windows XP و Vista و 7.
استخدم إدارة المهام لتحديد أمر Rundll32.exe قيد الاستخدام
هذه الوظيفة متاحة فقط في نظام التشغيل Vista والإصدارات الأحدث ، وما تفعله هو إظهار عمود إضافي في Task Manager يخبرك ما هو سطر الأوامر المستخدم حاليًا في العملية. افتح إدارة المهام -> قائمة عرض -> حدد أعمدة ... ، انقر فوق مربع سطر الأوامر ثم موافق.
سيكون هناك عمود جديد متاحًا الآن ويجب أن تكون قادرًا على تحديد ملف dll الذي يتم تنفيذه.
تحديد ملفات DLL التي تم تحميلها باستخدام Process Explorer
يعد Process Explorer بديلاً رائعًا لإدارة المهام تم إجراؤه بواسطة SysInternals والذي يمكنه عرض معلومات أكثر تفصيلاً حول ما يتم تحميل عملية Rundll32. ما عليك سوى تشغيل أداة Process Explorer وستظهر لك قائمة بالعمليات من نوع إدارة المهام.
كل ما عليك فعله هو تحريك الماوس فوق إدخال Rundll32.exe وسيظهر لك في تلميح أداة ما الأمر الذي يتم تشغيله وأي dll يتم تنفيذه. كما ترى من الصورة ، يقوم rundll32.exe بتنفيذ أيقونة علبة nVidia.
تنزيل Process Explorer
تحديد ملفات DLL المحملة من خلال موجه الأوامر
فيما يلي طريقة يدوية لتحديد ملفات DLL في rundll32.exe. افتح موجه الأوامر بالضغط على WinKey + R واكتب cmd. ثم اكتب أو الصق الأمر أدناه في الموجه واضغط على Enter.
قائمة المهام / m / fi "IMAGENAME eq rundll32.exe"
ضع في اعتبارك أنه بشكل افتراضي ، لا يحتوي إصدار Windows XP Home على الأداة المساعدة listlist.exe ، فقط Professional. وهو مدمج في جميع إصدارات Windows Vista و 7. إذا كنت تريد أداة Tasklist لـ XP Home يمكنك تنزيلها من هذا الرابط:
تنزيل Tasklist.exe
يتم عرض وحدات dll على الجانب الأيمن من نتيجة قائمة المهام. سترى على الأرجح الكثير من الوحدات التي يتم عرضها وهي dll الخاصة بنظام التشغيل Windows ويستغرق القليل من المعرفة من مستخدم متمرس لتحديد أي ملف dll خطير في القائمة. إذا كنت غير متأكد ، يمكنك دائمًا إجراء بحث في Google على اسم ملف dll.
ملفات وهمية Rundll32
الآن أنت تعرف كيفية تحديد ملفات DLL التي تم تحميلها في rundll32.exe ، ولكن هناك أيضًا حالات من برامج التجسس والفيروسات التي تستبدل ملف rundll32.exe الأصلي بنظام Windows ببرنامج مزيف. عندما يكون لديك rundll32.exe تالفًا أو تالفًا ، فستواجه مشكلات في فتح لوحة التحكم وما إلى ذلك.
للتحقق مما إذا كان الملف Rundll32.exe قد تم تعديله أو استبداله ، يمكنك فتحه باستخدام المفكرة أو Wordpad أو محرر Hex. بمجرد فتح ملف Rundll32.exe ، ابحث عن كلمة "الحشو". إذا كانت هذه الكلمة داخل ملف rundll32.exe ، فهذا يعني أنك تستخدم ملفًا مزيفًا ويجب استبداله.
إن أبسط طريقة لاستبدال الملف هي استخدام مدقق ملفات النظام (SFC) من موجه الأوامر.
1. اضغط على مفتاح Win + R واكتب cmd في مربع الحوار "تشغيل" ، ثم اضغط على Enter.
2. اكتب الأمر أدناه في موجه الأوامر واضغط على Enter. يجب على Windows الآن استبدال rundll32.exe التالف وأي ملفات نظام أخرى تالفة بسبب فيروس أو مشاكل أخرى.
SFC / Scannow
إذا كنت تعلم أن ملف rundll32.exe تالف فقط وكنت تستخدم Vista أو 7 ، فيمكنك تجنب فحص ملف النظام الكامل وتشغيل SFC على هذا الملف 1 فقط.
sfc /scanfile=c:\windows\system32\rundll32.exe
قد يحتاج مستخدمو Windows XP إلى القرص المضغوط لتثبيت Windows لاستعادة ملف أصلي. نصيحة مفيدة جدًا وموفرة للوقت لتجنب الحاجة إلى القرص المضغوط في المستقبل عند تشغيل SFC هي نسخ مجلد i386 إلى محرك الأقراص الثابتة.
