+ Trả lời bài viết
Hiện kết quả từ 1 tới 3 của 3
  1. #1
    Avatar của saigonlab_sup1
    saigonlab_sup1 đang ẩn Core i7-2630QM
    Tham gia ngày
    Mar 2010
    Đến từ
    HCM City
    Bài gửi
    5.201
    Đã được cảm ơn
    1.111 lần

    Mặc định Tìm hiểu về tiến trình rundll32.exe


    Trong danh sách nhiều dịch vụ khởi động cùng Windows, chắc chắn nhiều người sẽ băn khoăn về rundll32.exe. Thực chất đây là gì, chương trình của Windows hay 1 loại virus nào đó, nó có gây hại gì cho hệ thống hay không... Trong bài viết sau, chúng ta sẽ cùng nhau thảo luận về vấn đề này.


    rundll32.exe có an toàn hay không:


    Câu trả lời là có, đây là dịch vụ hệ thống mặc định của Windows. Khá giống với một số tiến trình đã được đề cập đến như svchost.exe, wininit.exe... Cùng với svchost.exe, dịch vụ này cho phép các file *.dll (Dynamic Link Libraries) hoạt động mà không cần tự kích hoạt. Điểm khác biệt ở đây là rundll có thể giám sát và quản lý toàn bộ các file *.dll third-party trong khi svchost quản lý các file dll nội bộ trong hệ thống.
    Và cũng giống như các file thực thi khác, những file này cũng có nguy cơ phải đối mặt với các mối hiểm họa từ virus, điển hình nhất là chúng sao lưu thành các phiên bản khác nhau trong hệ thống và tự đổi tên sao cho giống với các file quan trọng của Windows. Vị trí mặc định của file này thường như sau:
    C:\Windows\SysWOW64\rundll32.exe
    hoặc:
    C:\Windows\System32\rundll32.exe




    Nhiệm vụ chính xác của rundll32.exe là gì?

    Để có thể xác định được chính xác những hành động của rundll32 là gì, chúng ta phải cần đến công cụ hỗ trợ – ở đây là Process Explorer. Với ứng dụng này, bạn có thể biết được thông tin cụ thể về từng chương trình đang hoạt động trong hệ thống, nhưng vẫn còn một số giới hạn nhất định.
    Như trong ví dụ dưới đây, trình duyệt Chrome đang tải 1 file *.dll qua rundll32.exe. Khi di chuột qua ứng dụng tương ứng, toàn bộ thông tin thu thập được:



    Như vậy, chúng ta có thể thấy Rundll32.exe thực chất là file quản lý các thư viện liên kết động, có thể sử dụng kết hợp với các dll của chương trình khác. Đối với những người sử dụng bình thường thì việc muốn hiểu cặn kẽ chức năng của rundll vô cùng khó hiểu, còn với những người có nhiều kinh nghiệm, chuyên làm về kỹ thuật... họ mới cần tìm hiểu kỹ về tính năng phức tạp của rundll32.exe.

  2. #2
    Avatar của saigonlab_sup1
    saigonlab_sup1 đang ẩn Core i7-2630QM
    Tham gia ngày
    Mar 2010
    Đến từ
    HCM City
    Bài gửi
    5.201
    Đã được cảm ơn
    1.111 lần

    Mặc định Re: Tìm hiểu về tiến trình rundll32.exe


    Giới thiệu về svchost.exe


    Chắc hẳn các bạn sẽ phân vân rằng tại sao lại phải có đến hàng tá các process cần phải chạy và svchost.exe là một ví dụ như vậy. Quả thực bạn sẽ không thể không chạy chương trình này nhưng cũng không cần phải nhớ để chạy chúng… vậy chúng là gì?

    Vậy đó là các file gì?

    Theo Microsoft: "svchost.exe là một trình cấu hình - host process cho các dịch vụ để chạy từ các thư viện liên kết động”.


    Trước đây, Microsoft đã chuyển tất cả các chức năng từ các dịch vụ Windows bên trong vào các file .dll thay cho các file .exe. Từ bối cảnh lập trình thì cách thực hiện này sẽ cho phép tái sử dụng lại… tuy nhiên vấn đề phát sinh ở đây là bạn không thể khởi chạy file .dll trực tiếp từ Windows mà nó cần phải được load từ một file thực thi .exe. Chính vì vậy svchost.exe process ra đời.


    Vậy tại sao lại có quá nhiều svchost.exes phải chạy như vậy?


    Nếu bạn đã từng quan sát vào phần Services trong control panel, chắc hẳn bạn sẽ thấy rằng có rất nhiều dịch vụ được Windows yêu cầu. Nếu mỗi một dịch vụ chạy dưới một svchost.exe instance thì lỗi xuất hiện trong một trường hợp có thể làm hỏng toàn bộ Windows… vì vậy chúng được phân tách ra một cách riêng rẽ.


    Các dịch vụ này được tổ chức thành các nhóm logic, sau đó một svchost.exe instance sẽ được tạo cho mỗi một nhóm. Cho ví dụ, một svchost.exe instance chạy ba dịch vụ liên quan đến tường lửa. Một svchost.exe instance khác có thể chạy tất cả các dịch vụ có liên quan đến giao diện người dùng và,….


    Bạn có thể thực hiện được những gì về nó?

    Bạn có thể cắt tỉa các dịch vụ không cần thiết bằng cách vô hiệu hóa hoặc tạm dừng các dịch vụ không thực sự cần thiết. Thêm vào đó, nếu bạn thấy hiệu suất CPU của mình có vấn đề trên một svchost.exe instance thì bạn có thể khởi động lại các dịch vụ đang chạy dưới instance đó.

    Vấn đề lớn nhất là phân biệt dịch vụ nào đang được chạy trong một svchost.exe instance nào và đây chính là thứ mà chúng tôi sẽ giới thiệu về cho các bạn trong phần dưới.


    Nếu bạn là người thực sự muốn tìm hiểu những gì chúng tôi sẽ giới thiệu đây, hãy mở Task Manager và tích vào hộp kiểm "Show processes from all users".



    Kiểm tra từ dòng lệnh (Vista hoặc XP Pro)

    Nếu bạn muốn thấy dịch vụ nào đang được hỗ trợ bởi một svchost.exe instance nào đó, có thể sử dụng lệnh tasklist từ nhắc lệnh để xem được danh sách các dịch vụ.
    tasklist /SVC



    Vấn đề với việc sử dụng phương pháp dòng lệnh là bạn không cần nhất thiết biết các tên bí ẩn này ám chỉ những gì.


    Kiểm tra trong Task Manager trong Vista

    Bạn có thể kích chuột phải vào một svchost.exe process nào đó, sau đó chọn "Go to Service".




    Thao tác này sẽ đưa bạn đến được tab Services, nơi chứa các dịch vụ đang chạy trong svchost.exe process đó:




    Thứ thú vị ở đây trong cách thực hiện này là bạn có thể thấy được tên đích thực trong cột mô tả (Description), vì vậy có thể vô hiệu hóa dịch vụ nếu bạn không muốn nó chạy.


    Sử dụng Process Explorer trong Vista hoặc XP

    Bạn có thể sử dụng tiện ích Process Explorertừ Microsoft/Sysinternals để xem dịch vụ nào đang chạy như một phần của svchost.exe process.
    Di chuột qua một trong các process đó, bạn sẽ thấy xuất hiện một danh sách popup của tất cả các dịch vụ:




    Hoặc bạn có thể kích đúp vào một svchost.exe instance nào đó và chọn tab Services, đây chính là nơi bạn có thể stop một trong các dịch vụ.




    Vô hiệu hóa các dịch vụ


    Mở Services từ phần administrative tools của Control Panel, hoặc đánh services.msc vào hộp thoại run hoặc tim kiếm trong menu start.
    Tìm dịch vụ trong danh sách mà bạn muốn vô hiệu hóa, sau đó kích đúp vào nó hoặc kích phải vào và chọn Properties.




    Thay đổi Startup Type thành Disabled, sau đó kích nút Stop để stop nó ngay lập tức.




    Bạn cũng có thể sử dụng nhắc lệnh để vô hiệu hóa dịch vụ nào đó. Trong lệnh này "trkwks" là tên dịch vụ từ họp thoại trên, tuy nhiên nếu bạn quay trở lại lệnh tasklist ở phần đầu của bài này thì bạn sẽ thấy nó nằm ở đây.
    sc config trkwks start= disabled
    Hy vọng được bài viết này sẽ giúp ích nhiều cho các bạn!

  3. #3
    Avatar của saigonlab_sup1
    saigonlab_sup1 đang ẩn Core i7-2630QM
    Tham gia ngày
    Mar 2010
    Đến từ
    HCM City
    Bài gửi
    5.201
    Đã được cảm ơn
    1.111 lần

    Mặc định Re: Tìm hiểu về tiến trình rundll32.exe


    Chương trình Wininit.exe là gì và tại sao nó luôn hoạt động

    Sẽ có rất nhiều người đặt câu hỏi về tiến trình lạ này trong hệ thống, bất cứ khi nào bật Task Manager bạn đều thấy có dòng wininit.exe trong danh sách Processes. Nhiều người thường nghĩ rằng đây là 1 phần của loại virus nào đó và sẽ khiến cho máy tính hoạt động chậm hoặc không ổn định. Nhưng các bạn không phải lo lắng, bởi vì đây là 1 dịch vụ mặc định của Windows.


    Nguồn gốc của winit.exe:

    Winit.exe (Windows Initialize) được tạo ra bởi Microsoft, là 1 trong những tiến trình “cốt lõi” để người dùng khởi động và đăng nhập vào tài khoản sử dụng, được cố định trong Windows XP, sau này là các phiên bản tiếp theo – Windows Vista và 7. Đồng thời, cho phép các thao tác gỡ bỏ chương trình hoạt động và lưu trữ câu lệnh trong file WinInit.ini, bạn còn có thể thực hiện các tác động khác khi hệ thống đang khởi động. Trong Windows Vista và 7, đây là “bệ phóng” cho các tiến trình chạy ngầm (background application) khác hoạt động.


    Vị trí cố định của file này tại: C:\Windows\system32\wininit.exe

    Nếu phát hiện thấy file này xuất hiện ở bất cứ vị trí nào khác, thì chắc chắn đó là 1 loại virus đang tự ngụy trang thành file hệ thống và đổi tên thành wininit.exe.


    Vậy có nên tắt wininit.exe hay không?

    Câu trả lời ở đây chắc chắn là không, vì nếu thiếu tiến trình này thì Windows sẽ không hoàn tất được quá trình khởi động, nghĩa là bạn không thể đăng nhập vào tài khoản sử dụng của mình. Nếu tắt tiến trình này, bạn sẽ thấy thông báo lỗi hệ thống nghiêm trọng (critical system error), và bạn không thể làm được việc gì khác ngoài khởi động lại máy. Ảnh chụp màn hình dưới đây chỉ ra wininit.exe luôn xuất hiện trên hầu hết các dịch vụ của Windows, trong đó có bao gồm svchost.exe:



    wininit.exe có nguy hiểm hay không:

    Với những máy tính sử dụng hệ điều hành mới thì không có vấn đề gì, nhưng còn những hệ thống sử dụng trong thời gian dài, luôn tồn tại những hiểm họa từ nhiều loại virus tìm mọi cách xâm nhập vào bên trong, giả mạo thành các file hệ thống, và wininit.exe là 1 trường hợp điển hình. Để đề phòng trường hợp rủi ro xảy ra, các bạn nên trang bị cho mình biện pháp bảo mật an toàn, và Microsoft Security Essentials là 1 trong những phương án có thể đáp ứng được tất cả nhu cầu của bạn.

Đánh dấu

Quyền viết bài

  • Bạn không thể gửi chủ đề mới
  • Bạn không thể gửi trả lời
  • Bạn không thể gửi file đính kèm
  • Bạn không thể sửa bài viết của mình