rundll32.exe
「DLL」(Dynamic Link Library)は複数のプログラムから共通利用される部品群をまとめたプログラムファイルで、通常は単体で起動できない。rundll32.exeを介して呼び出すことで、コマンドラインや他のプログラムからDLL内部の特定の関数を指定して実行できる。コマンド実行する場合は「rundll32 ファイル名,関数名」と指定する。
主にオペレーティングシステム(OS)の設定画面やコントロールパネルの機能を裏側で制御するために使われており、利用者がマウス操作を行うと、システムが内部的にrundll32.exeを呼び出してDLLの処理を実行する。システム管理者や熟練利用者がバッチファイルやスクリプトからWindows設定を操作する際にも活用される。
実行ファイル本体はシステムドライブ(通常はC:)の「System32」フォルダに格納されており、64ビット環境では32ビットのDLLを扱うため「SysWOW64」フォルダにも同名のファイル(32ビット版)が存在する。複数の機能から共通利用されるため、タスクマネージャの一覧表示では複数のプロセスに実行ファイルとしてrundll32.exeが現れることがある。
正規のWindowsコンポーネントである性質上、マルウェアによる悪用の対象になりやすい。悪意あるDLLをrundll32.exeに読み込ませてセキュリティソフトの検知を回避しながら不正なコードを実行する手口や、同名の不正ファイルを生成して正規プロセスに偽装する手法が確認されている。System32以外の場所にrundll32.exeが存在する場合や、不審なDLLを読み込んでいる場合は注意を要する。
このプログラムの原型は16ビットWindows向けの「rundll.exe」に遡り、32ビット環境への移行に際して現在の形に発展した。近年ではWindowsの設定アプリや専用管理ツールへの移行も進んでいるが、互換性維持のために現在も利用され続けている。
共有ボタンをタップ