rundll32.exe
runDLL32.exe ist ein Win32-Dienstprogramm von Microsoft Windows ab Windows 95 und wird verwendet, um Win32-Funktionen aus Programmbibliotheken als eigenständige Routinen auszuführen. Dabei können nur Funktionen ausgeführt werden, die in der Programmbibliothek explizit für das Ausführen mit diesem Dienstprogramm deklariert wurden. In älteren Windows-Versionen (Windows 95 bis Windows Me) ist aus Kompatibilitätsgründen die 16-bit-Version RUNDLL.EXE zum Ausführen von Win16-Funktionen noch enthalten.[1]
Die Datei befindet sich bei Windows NT bis Windows 10 im Ordner %windir%\system32 (also zum Beispiel C:\WINNT\system32) und bei Windows 95 bis Windows ME direkt im Windows-Verzeichnis (also zum Beispiel C:\Windows). Bei 64-Bit-Betriebssystemen befindet sich die Datei in der 32-Bit-Version (Windows on Windows) zusätzlich unter %windir%\SysWOW64.
Diese Anwendungen sind in der Automatisierung von systemnahen Abläufen wichtig. Daher gehört die rundll32.exe zu den durch Malware gefährdeten Angriffspunkten und ist so vielen Anwendern namentlich bekannt geworden.
Programmbibliotheken
Eine Programmbibliothek (DLL-Datei) dient dazu, anderen Programmen Funktionen als Programmmodul zur Verfügung zu stellen, kann jedoch normalerweise nicht direkt ausgeführt werden. Die RunDLL erlaubt das Aufrufen einzelner Funktionen einer solchen Schnittstelle beispielsweise an der Kommandozeile, aus Skripten oder als Verknüpfung. Die Ausführung erfolgt in einem eigenen Prozess, daher werden RunDLL-Aufrufe auch von anderen Programmen verwendet, die sich vor Fehlern im aufgerufenen DLL schützen wollen. Auf die gleiche Weise können auch Programmfunktionen in ausführbaren Systemdateien (EXE-Dateien) aufgerufen werden.
Beispiele:
rundll32 SHELL32.DLL,Control_RunDLL hotplug.dll[2]- öffnet die Funktion Hardware entfernen oder auswerfen, wie sie etwa für USB-Sticks gebraucht wird
rundll32 SHELL32.DLL,SHExitWindowsEx 2[3]rundll32 USER.EXE,ExitWindowsExec[3]- Reboot (Neustart) des Systems (Ab Windows XP wird der Reboot über die Programmdatei
shutdown.exegesteuert.)
- Reboot (Neustart) des Systems (Ab Windows XP wird der Reboot über die Programmdatei
rundll32 URL.DLL,FileProtocolHandler "%1"[4]- öffnet die Datei Namens %1 mit der ihr zugeordneten Standardanwendung (automatische Dateierkennung)
Control Panels
Die Control Panels (CPL-Dateien), die normalerweise über den virtuellen Ordner Systemsteuerung aufgerufen werden, können mit der RunDLL alternativ auch direkt über die Kommandozeile zugänglich gemacht werden. Das erfolgt über den Aufruf der Shell32.dll:
Code:[2]
rundll32 SHELL32.DLL,Control_RunDLL filename.CPL,@n,t
Während die Applets der einzelnen Funktionen durchaus dokumentiert sind, ist man bei der Steuerung des passenden Reiters eher auf Probieren bzw. auf Tipps in der einschlägigen Literatur und Webressourcen angewiesen.
Beispiele:
rundll32 SHELL32.DLL,Control_RunDLL TIMEDATE.CPL,@0,1[2]- öffnet die Zeitzoneneinstellung der Datum/Uhrzeit-Funktion
rundll32 shell32.dll,Control_RunDLL access.cpl,,4[3]- Einstellung der Maus-Eingabehilfe für beeinträchtigte Nutzer
Anwendung
Diese Methode kann sowohl von der Kommandozeile bzw. der Batch-Verarbeitung, aus diversen Skriptsprachen wie auch mit einfachen Verknüpfungen (LNK-Dateien) ausgeführt werden. Da die Funktionen sehr nah am Betriebssystem laufen, wird in einschlägigen Kreisen bei Experimenten Vorsicht angeraten, und nur dem einigermaßen geübten Benutzer empfohlen.
Typische Fehlerquellen
Es wird erwartet, dass die von Rundll32.exe aufgerufenen Funktionen einer bestimmten Signatur entsprechen:[5]
void CALLBACK NameDerFunktion(HWND hwnd, HINSTANCE hinst, LPSTR lpszCmdLine, int nCmdShow);
Üblicherweise wird diese Einschränkung allerdings missachtet[6] (auch von Beispielen auf dieser Seite). Das führt in jedem Fall zu einer Korruption des Stacks[7] und zu unvorhergesehenem Verhalten, beispielsweise Endlosschleifen.
Sicherheit
Aufgrund ihrer häufigen Verwendung durch Programme, durch die rundll32 in der Prozessliste häufig auftauchen kann, wird die rundll32 oft von Viren, Spyware und ähnlichem als „Namensgeber“ für deren Schädlingsprogramme genutzt.
Weiterhin ist eine Datei außerhalb von %windir% mit dem Namen rundll32.exe in den meisten Fällen ein Virus. Eine bösartig ersetzte Original-RunDLL wird aber von der Windows-Funktion Systemwiederherstellung abgesichert, die Systemdateien automatisch auf einen verlässlichen Zustand zurücksetzt.
Liste von Funktionen
Folgend eine Liste typischer Funktionen. Der erste Parameter ist durchwegs eine .dll- oder .exe-Datei, dass die Endung nicht angegeben ist, liegt daran, dass sie über die Path-Variable und den windowstypischen Ergänzungsschlüssel *.exe → *.dll → andere Dateien gefunden wird. Der zweite Parameter ist der Name der Routine, die weiteren Parameter sind Eingabewerte an diese Routine, z. B. bei einigen Dialogen mit mehreren Registerkarten die Nummer der Registerkarte als ,@1 oder ,,1.
Diese Aufrufe sind i. d. R. nicht offiziell dokumentiert, daher kann sich die Verfügbarkeit in Abhängigkeit von Betriebssystemsversion und Edition, u. U. auch von Service Pack, Update oder Software Dritter unterscheiden.
| Befehl | Beschreibung | 9x/ME | XP / 2000 | Vista | Windows 7 |
|---|---|---|---|---|---|
| rundll32.exe User,tilechildwindows | Alle geöffneten Tasks automatisch nebeneinander anordnen | ja | nein | nein | nein |
| rundll32.exe User32.dll,LockWorkStation | Sperrt den Computer | nein | ja | ja | ja |
| rundll32.exe User,cascadechildwindows | Alle geöffneten Tasks automatisch hintereinander anordnen | ja | nein | nein | nein |
| rundll32.exe Msprint2.dll, RUNDLL_PrintTestPage | Testseite auf einen Drucker ausgeben | ja | nein | nein | nein |
| rundll32.exe Sysdm.cpl,InstallDevice_Rundll | Hardwareassistenten starten | ja | nein | nein | nein |
| rundll32.exe User,wnetcancelconnection <Servername> | Trennen der Netzverbindung zum Netwareserver | ja | nein | nein | nein |
| rundll32.exe User,wnetconnectdialog | Netzwerklaufwerke verbinden | ja | nein | nein | nein |
| rundll32.exe User,wnetdisconnectdialog | Netzwerklaufwerke trennen | ja | nein | nein | nein |
| rundll32.exe User,repaintscreen | Bildschirminhalt aktualisieren | ja | nein | nein | nein |
| rundll32.exe User,setcursorpos | Setzt Mauscursor links oben in die Ecke | ja | nein | nein | nein |
| rundll32.exe Diskopy,DiskCopyRunDll | Ruft Diskcopy auf | ja | nein | nein | nein |
| rundll32.exe powrprof.dll,SetSuspendState | Versetzt den Rechner in den Standby- oder (wenn aktiviert) den Ruhezustand | nein | ja | ja | ja |
| rundll32.exe printui.dll,PrintUIEntry /y /n <Druckername> | Einen Standarddrucker festlegen | nein | ja | ja | ja |
| rundll32.exe Rnaui.dll, RnaWizard | DFÜ-Netzwerk starten | ja | nein | nein | nein |
| rundll32.exe Rnaserv, CallerAccess | DFÜ-Server | ja | nein | nein | nein |
| rundll32.exe Shell, shellexecute | Explorer öffnen | ja | nein | nein | nein |
| rundll32.exe Shell32,OpenAs_RunDLL | Box „Öffnen mit“ aufrufen | ja | ja | ja | ja |
| rundll32.exe Shell32,SHFormatDrive | Diskette formatieren | ja | nein | nein | nein |
| rundll32.exe Shell32,ShellAboutA | Infobox (Winver) | ja | ja | ja | ja |
| rundll32.exe Shell32,SHExitWindowsEx 0 | Windows neu starten | Ab Win98 | nein | nein | nein |
| rundll32.exe Shell32,SHExitWindowsEx 1 | Windows beenden | Ab Win98 | nein | nein | nein |
| rundll32.exe Shell32,SHExitWindowsEx 2 | Windows Warmstart | Ab Win98 | nein | nein | nein |
| rundll32.exe Shell32,SHExitWindowsEx | aktiven Benutzer abmelden | Ab Win98 | nein | nein | nein |
| rundll32.exe Shell32,SHExitWindowsEx -1 | Windows Explorer neu starten | Ab Win98 | nein | nein | nein |
| rundll32.exe Shell32,Control_RunDLL | Systemsteuerung | ja | ja | ja | ja |
| rundll32.exe Shell32, Control_RunDLL desk.cpl | Einstellung „Anzeige“ | ja | ja | ja | ja |
| rundll32.exe Sysdm.cpl, InstallDevice_Rundll | Schnelle Hardwareerkennung | Ab Win98 | nein | nein | nein |
| rundll32.exe shell32.dll,Control_RunDLL access.cpl | Eingabehilfen (Übersicht) | ja | ja | ||
| rundll32.exe shell32.dll,Control_RunDLL access.cpl,,1 | Eingabehilfen (Tastatur) | ja | ja | nein | nein |
| rundll32.exe shell32.dll,Control_RunDLL access.cpl,,2 | Eingabehilfen (Sound) | ja | ja | nein | nein |
| rundll32.exe shell32.dll,Control_RunDLL access.cpl,,3 | Eingabehilfen (Anzeige) | ja | ja | nein | nein |
| rundll32.exe shell32.dll,Control_RunDLL access.cpl,,4 | Eingabehilfen (Maus) | ja | ja | nein | nein |
| rundll32.exe shell32.dll,Control_RunDLL access.cpl,,5 | Eingabehilfen (Allgemein) | ja | ja | nein | nein |
| rundll32.exe shell32.dll,Control_RunDLL appwiz.cpl,,0 | Software (Entfernen/Hinzufügen neuer Programme) | ja | ja | ja | ja |
| rundll32.exe shell32.dll,Control_RunDLL appwiz.cpl,,1 | Software (Neue Programme hinzufügen) | ja | ja | ? | ja (Programme vom Netzwerk installieren) |
| rundll32.exe shell32.dll,Control_RunDLL appwiz.cpl,,2 | Software (Windows Komponenten hinzufügen oder entfernen) | ja | ja | ja | ja |
| rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,0 | Eigenschaften von Anzeige (Hintergrund) | ja | ja | ja (Desktop) | ja |
| rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,1 | Eigenschaften von Anzeige (Bildschirmschoner) | ja | ja | ja | ja |
| rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,2 | Eigenschaften von Anzeige (Darstellung) | ja | ja | ja | ja |
| rundll32.exe shell32.dll,Control_RunDLL intl.cpl,,0 | Ländereinstellungen (Allgemein) | ja | ja | ja (Formate) | ja (Formate) |
| rundll32.exe shell32.dll,Control_RunDLL intl.cpl,,1 | Ländereinstellung (Zahlen) | ja | ja | ja (Aufenthaltsort) | ja (Aufenthaltsort) |
| rundll32.exe shell32.dll,Control_RunDLL intl.cpl,,2 | Ländereinstellung (Währung) | ja | ja | ja (Tastatur und Sprachen) | ja (Tastatur und Sprachen) |
| rundll32.exe shell32.dll,Control_RunDLL intl.cpl,,3 | Ländereinstellung (Uhrzeit) | ja | ja | ja (Verwaltung) | ja (Verwaltung) |
| rundll32.exe shell32.dll,Control_RunDLL intl.cpl,,4 | Ländereinstellung (Datum) | ja | ja | ja (Formate) | ja (Formate) |
| rundll32.exe shell32.dll,Control_RunDLL intl.cpl,,5 | Ländereinstellung (Eingabe) | ja | ja | ja (Formate) | ja (Formate) |
| rundll32.exe shell32.dll,Control_RunDLL joy.cpl,,0 | Gamecontroller (Allgemein) | ja | ja | ja | ja |
| rundll32.exe shell32.dll,Control_RunDLL joy.cpl,,1 | Gamecontroller (Erweitert) | ja | ja | ja (Allgemein) | ja (Allgemein) |
| rundll32.exe shell32.dll,Control_RunDLL main.cpl,@0 | Eigenschaften von Maus (Tasten) | ja | ja | ja | ja |
| rundll32.exe shell32.dll,Control_RunDLL main.cpl,@1 | Eigenschaften von Tastatur (Geschwindigkeit) | ja | ja | ja | ja |
| rundll32.exe shell32.dll,Control_RunDLL mlcfg32.cpl | Mail und FAX | ja | nein | nein | nein |
| rundll32.exe shell32.dll,Control_RunDLL mmsys.cpl,,0 | Eigenschaften von Sounds und Multimedia (Sounds) | ja | ja | ja (Wiedergabe) | ja (Wiedergabe) |
| rundll32.exe shell32.dll,Control_RunDLL mmsys.cpl,,1 | Eigenschaften von Sounds und Multimedia (Audio) | ja | ja | ja (Aufnahme) | ja (Aufnahme) |
| rundll32.exe shell32.dll,Control_RunDLL mmsys.cpl,,2 | Eigenschaften von Sounds und Multimedia (Hardware) | ja | ja | ja (Sounds) | ja (Sounds) |
| rundll32.exe shell32.dll,Control_RunDLL mmsys.cpl,,3 | Eigenschaften von Sounds und Multimedia (Kommunikation) | - | - | ja (Wiedergabe) | ja |
| rundll32.exe shell32.dll,Control_RunDLL modem.cpl | Telefon- und Modemoptionen (Modems) | ja | ja | ja | ja |
| rundll32.exe shell32.dll,Control_RunDLL ncpa.cpl | Netzwerkverbindungen | ? | ja | ? | ja |
| rundll32.exe shell32.dll,Control_RunDLL netcpl.cpl | Netzwerkeinstellungen | ja | nein | nein | nein |
| rundll32.exe shell32.dll,Control_RunDLL password.cpl | Passworteinstellungen | ja | nein | nein | nein |
| rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl | Systemeigenschaften (Computername) | ? | ? | ja | ja |
| rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl,,0 | Systemeigenschaften (Allgemein) | ja | ja | nein | nein |
| rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl,,1 | Systemeigenschaften (Netzwerkidentifikation) | ja | ja | ja (Computername) | ja (Computername) |
| rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl,,2 | Systemeigenschaften (Hardware) | ja | ja | ja | ja |
| rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl,,3 | Systemeigenschaften (Benutzerprofile) | ja | ja | ja (Erweitert) | ja (Erweitert) |
| rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl,,4 | Systemeigenschaften (Erweitert) | ja | ja | ja (Computerschutz) | ja (Computerschutz) |
| rundll32.exe shell32.dll,Control_RunDLL timedate.cpl,,0 | Eigenschaften von Datum/Uhrzeit (Datum und Uhrzeit) | ja | ja | ja | ja |
| rundll32.exe shell32.dll,Control_RunDLL timedate.cpl,,1 | Eigenschaften von Datum/Uhrzeit (Zusätzliche Uhren) | - | - | ja | ja |
| rundll32.exe shell32.dll,Control_RunDLL powercfg.cpl | Energieverwaltung | - | ja | ja | ja |
| rundll32.exe diskcopy.dll,DiskCopyRunDll | Diskcopy | ja | ja | nein | nein |
| rundll32.exe shell32.dll, SHHelpShortcuts_RunDLL AddPrinter | Drucker hinzufügen | ja | ja | ja | ja |
| rundll32.exe shell32.dll, SHHelpShortcuts_RunDLL PrintersFolder | Drucker anzeigen | ja | ja | ja | ja |
| rundll32.exe shell32.dll, SHHelpShortcuts_RunDLL FontsFolder | Schriftarten anzeigen | ja | ja | ja | ja |
| rundll32.exe dwmApi.dll,#102 | Windows Vista Aero Glass Effekt anschalten | nein | nein | ja | nein |
| rundll32.exe dwmApi.dll,#104 | Windows Vista Aero Glass Effekt ausschalten | nein | nein | ja | nein |
Weblinks
- RunDLL - Dokumentation in der Microsoft Support Knowledge Base
- RUNDLL and RUNDLL32 – auf Rob van der Woude’s Scripting Page robvanderwoude.com
- C++ - Implementation zum Aufruf dieser Funktionen – auf codeproject.com (englisch)
- blogs.msdn.com
- support.microsoft.com
Einzelnachweise
- ↑ microsoft.com/kb/164787
- ↑ a b c nach Rob van der Woude
- ↑ a b c nach Dx21
- ↑ c't Hotline 17/2007, S. 178
- ↑ support.microsoft.com
- ↑ blogs.msdn.com
- ↑ blogs.msdn.com