اسرار ملف rundll32.exe فى الويندوز........الحلقة الاولى

[mohamed sheta]

السلام عليكم ورحمة الله وبركاته

ربما سمع احدنا عن هذا الملف او تعرض لمشكلة فى الويندوز لها علاقة بهذا الملف ، انه ملف rundll32.exe الموجود فى مجلد system32 تحت مجلد windows المسئول عن تشغيل اكواد البرامج الموجودة فى ملفات مكتبات الربط الديناميكية التي تنتهي بالامتداد DLL كما لو كانت برامج حقيقية والتى لا يمكنها ان تعمل بدون هذا الملف الصغير (حوالى 34 كيلويايت) فى بيئة ويندوز 2000 و اكس بى(هناك نسخة قديمة وهى rundll.exe خاصة بتشغيل التطبيقات 16 بت فى بيئة ويندوز 98 وme )

سنبدأ الحديث عن هذا الملف على حلقتين: الاولى و نتحث فيها عن اوامر الملف والثانية نتحدث فيها عن استغلال الفيروسات لهذا الملف وطرق العلاج

ومن الامثلة على ذلك تلك التطبيقات والادوات الخاصة بالويندوز بعيدا عن برامج بعينها مثل لوحة التحكم Control Panel بما فيها من ادوات( اضافة و ازالة برامج ، اضافة طابعة ،اعدادات اللغة، .....الخ)



لناخذ مثال على لوحة التحكم بشكل كلى فاذا اردنا فتح لوحة التحكم فماذا نفعل ؟ طرق عدة منها نروح لقائمة البداية ونختار Settings ثم Control panel او كتابة امر control panel او control فى قائمة Run وغيرها.لكن ماذا اذا اردنا جعلها تفتح من سطر الاوامر وذلك باستدعاء ملف الــ rundll32.exe لملف الــ Dll الخاص بها؟
اكتب الامر التالى فى قائمة run او فى نافذة الاوامر cmd :

كود:

rundll32.exe shell32.dll,Control_RunDLL

هذا بالنسبة لفتح لوحة التحكم بشكل شامل ولكن ماذا اذا اردنا فتح اداة Applet معين فيها؟ مثلا اضافة طابعة

اكتب الامر التالى:

كود:

rundll32.exe shell32.dll,SHHelpShortcuts_RunDLL AddPrinter

الملاحظ هنا هو سرعة تنفيذ الاوامر فبالتالى لو كنا بنفذ امر عن طريق الكيبورد مثلا امر قفل الجهاز Lock بالضغط على مفتاح الويندوز و مفتاح L فمن الافضل تنفيذه عن طريق استخدام اوامر rundll32.exe لان الامر بالكيبورد ياخذ وقت طويل لنجرب بانفسنا

اكتب الامر التالى:

كود:

%windir%\system32\rundll32.exe user32.dll,LockWorkStation

يمكن هنا عمل اختصار Shortcut لهذا الامر .كليك يمين على مكان فارغ على سطح المكتب و نختار new shortcut ثم فى المربع نكتب الامر السابق ونخنار اسم له مثلا Lockmypc ونختار له ايضا ايقونة وليس هذا فحسب يمكن ايضا نطفى او نعيد تشغيل او سجيل خروج logoff بدلا من امر القفل

الاوامر التالية لا تعمل سوى على ويندوز 98 وme

لنطفىء الجهاز
rundll32.exe shell32.dll,SHExitWindowsEx 1

اعادة التشغيل
rundll32.exe shell32.dll,SHExitWindowsEx 2

تسجيل خروج
rundll32.exe shell32.dll,SHExitWindowsEx 0


اما بالنسبة لنظام ويندوز اكس بى (اصبحت اداة shutdown.exe مدمجة فى الويندوز)

لنطفىء الجهاز

كود:

 %windir%\system32\shutdown -s

اعادة التشغيل

كود:

 %windir%\system32\shutdown -r

تسجيل خروج

كود:

 %windir%\system32\shutdown -l

يمكن اضافة سويتش لاجبار التطبيقات المفتوحة على الاغلاق بعد الاوامر السابقة

هكذا

كود:

%windir%\system32\shutdown -s -f

وكذلك سويتش لتحديد تنفيذ عملية الاغلاق او اعادة التشغيل فى وقت محدد مقاسا بالثوانى

هكذا

كود:

%windir%\system32\shutdown -s -t 50

مسح تاريخ التصفح فى انترنت اكسبلورر 7:

وباستخدام نفس تركيبة الاوامر يمكن مسح تاريخ التصفح لانترنت اكسبلورر 7 عن طريق هذا الامر:

كود:

RunDll32.exe InetCpl.cpl,ClearMyTracksByProcess 2

ماذا لو وضعنا بدل الرقم 2 فى نهاية الامر الرقم 8 سيقوم بمسح الكوكيز هكذا


RunDll32.exe InetCpl.cpl,ClearMyTracksByProcess 8

ولمسح كلمات السر

RunDll32.exe InetCpl.cpl,ClearMyTracksByProcess 16

ولمسح الداتا المخزنة

RunDll32.exe InetCpl.cpl,ClearMyTracksByProcess 1

ولمسح كل ما سبق

RunDll32.exe InetCpl.cpl,ClearMyTracksByProcess 32

ولمسح كل ما سبق مع مسح كافة الملفات والاعدادات المخزنة بواسطة اضافات المتصفح Add-ons

RunDll32.exe InetCpl.cpl,ClearMyTracksByProcess 255

ستكون العملية مرهقة اذا قمنا بتنفيذ امر من هذه الاوامر او الاوامر السابقة كلها كل مرة نغلق فيها المتصفح بعد الدخول على الانترنت اذا ماذا لو وضعنا هذه الاوامر فى باتش Batch file يقوم بتنفيذ هذه الاوامر حتى لو كان المتصفح مغلق فمثلا اذا اردنا مسح كلمات السر والكوكيز وتاريخ التصفح والبيانات المخزنة نكتب الامر التالى :

RunDll32.exe InetCpl.cpl,ClearMyTracksByProcess 32

فى ملف مفكرة Notepad جديد ونحفظه باى اسم مع انتهائه وهذا هو الاهم بالامتداد bat

---------------------------------------------------------------------------------------

وهذه بعض الوظائف العامة :

للقيام بفتح لوحة التحكم
rundll32.exe shell32.dll,Control_RunDLL rundll32.exe

إضافة طابعة جديدة
rundll32.exe shell32.dll,SHHelpShortcuts_RunDLL AddPrinter

فتح اضافة / ازالة البرامج مع الخيار الاول ( تثبيت / الغاء التثبيت ) .
rundll32.exe shell32.dll,Control_RunDLL appwiz.cpl,,0

تقوم هذه الوظيفة بفتح اضافة / ازالة البرامج .
rundll32.exe shell32.dll,Control_RunDLL appwiz.cpl

فتح خيارات العرض ( تغيير الخلفيات وشاشة التوقف وغيره ) .
rundll32.exe shell32.dll,Control_RunDLL desk.cpl

الخطوط
rundll32.exe shell32.dll,Control_RunDLL desk.cpl

تهيئة قرص مرن
rundll32.exe shell32.dll,SHFormatDrive

خيارات الصوت والملتيميديا
undll32.exe shell32.dll,Control_RunDLL mmsys.cpl

واليكم قائمة طويلة بهذه الاوامر باللغة الانجليزية
------------------------------------------------------------------------------------

Control Panel:
rundll32.exe shell32.dll,Control_RunDLL

Accessability Options (ACCESS.CPL)
---------------------------------------
Accessability Properties (Keyboard):
rundll32.exe shell32.dll,Control_RunDLL access.cpl,,1
Accessability Properties (Sound):
rundll32.exe shell32.dll,Control_RunDLL access.cpl,,2
Accessability Properties (Display):
rundll32.exe shell32.dll,Control_RunDLL access.cpl,,3
Accessability Properties (Mouse):
rundll32.exe shell32.dll,Control_RunDLL access.cpl,,4
Accessability Properties (General):
rundll32.exe shell32.dll,Control_RunDLL access.cpl,,5

Add/Remove Programs (APPWIZ.CPL)
-------------------------------------
Add/Remove Programs Properties (Install/Uninstall):
rundll32.exe shell32.dll,Control_RunDLL appwiz.cpl,,1
Add/Remove Programs Properties (Windows Setup):
rundll32.exe shell32.dll,Control_RunDLL appwiz.cpl,,2
Add/Remove Programs Properties (Startup Disk):
rundll32.exe shell32.dll,Control_RunDLL appwiz.cpl,,3

Display Options (DESK.CPL)
-------------------------------
Display Properties (Background):
rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,0
Display Properties (Screen Saver):
rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,1
Display Properties (Appearance):
rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,2
Display Properties (Settings):
rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,3

Regional Settings (INTL.CPL)
---------------------------------
Regional Settings Properties (Regional Settings):
rundll32.exe shell32.dll,Control_RunDLL intl.cpl,,0
Regional Settings Properties (Number):
rundll32.exe shell32.dll,Control_RunDLL intl.cpl,,1
Regional Settings Properties (Currency):
rundll32.exe shell32.dll,Control_RunDLL intl.cpl,,2
Regional Settings Properties (Time):
rundll32.exe shell32.dll,Control_RunDLL intl.cpl,,3
Regional Settings Properties (Date):
rundll32.exe shell32.dll,Control_RunDLL intl.cpl,,4

Joystick Options (JOY.CPL)
-------------------------------
Joystick Properties (Joystick):
rundll32.exe shell32.dll,Control_RunDLL joy.cpl

Mouse/Keyboard/Printers/Fonts Options (MAIN.CPL)
-----------------------------------------------------
Mouse Properties:
rundll32.exe shell32.dll,Control_RunDLL main.cpl @0
Keyboard Properties:
rundll32.exe shell32.dll,Control_RunDLL main.cpl @1
Printers:
rundll32.exe shell32.dll,Control_RunDLL main.cpl @2
Fonts:
rundll32.exe shell32.dll,Control_RunDLL main.cpl @3

Mail and Fax Options (MLCFG32.CPL)
---------------------------------------
Microsoft Exchange Profiles (General):
rundll32.exe shell32.dll,Control_RunDLL mlcfg32.cpl

Multimedia/Sounds Options (MMSYS.CPL)
------------------------------------------
Multimedia Properties (Audio):
rundll32.exe shell32.dll,Control_RunDLL mmsys.cpl,,0
Multimedia Properties (Video):
rundll32.exe shell32.dll,Control_RunDLL mmsys.cpl,,1
Multimedia Properties (MIDI):
rundll32.exe shell32.dll,Control_RunDLL mmsys.cpl,,2
Multimedia Properties (CD Music):
rundll32.exe shell32.dll,Control_RunDLL mmsys.cpl,,3
Multimedia Properties (Advanced):
rundll32.exe shell32.dll,Control_RunDLL mmsys.cpl,,4
= = = = = = = = = = = = = = = = = = = = = = = = = = =
Sounds Properties:
rundll32.exe shell32.dll,Control_RunDLL mmsys.cpl @1

Modem Options (MODEM.CPL)
------------------------------
Modem Properties (General):
rundll32.exe shell32.dll,Control_RunDLL modem.cpl

Network Options (NETCPL.CPL)
---------------------------------
Network (Configuration):
rundll32.exe shell32.dll,Control_RunDLL netcpl.cpl

Password Options (PASSWORD.CPL)
------------------------------------
Password Properties (Change Passwords):
rundll32.exe shell32.dll,Control_RunDLL password.cpl

System/Add New Hardware Options (SYSDM.CPL)
------------------------------------------------
System Properties (General):
rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl,,0
System Properties (Device Manager):
rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl,,1
System Properties (Hardware Profiles):
rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl,,2
System Properties (Performance):
rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl,,3
= = = = = = = = = = = = = = = = = = = = = = = = = = =
Add New Hardware Wizard:
rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl @1

Date and Time Options (TIMEDATE.CPL)
-----------------------------------------
Date/Time Properties:
rundll32.exe shell32.dll,Control_RunDLL timedate.cpl

Microsoft Mail Postoffice Options (WGPOCPL.CPL)
----------------------------------------------------
Microsoft Workgroup Postoffice Admin:
rundll32.exe shell32.dll,Control_RunDLL wgpocpl.cpl


================================================== ==
SYSTEM WIZARDS
================================================== ==
Open With (File Associations):
rundll32.exe shell32.dll,OpenAs_RunDLL d:\path\filename.ext

Run Diskcopy Dialog:
rundll32 diskcopy.dll,DiskCopyRunDll

Create New Shortcut Wizard:
'puts the new shortcut in the location specified by %1
rundll32.exe AppWiz.Cpl,NewLinkHere %1

Install New Hardware Wizard:
rundll32.exe sysdm.cpl,InstallDevice_RunDLL

Add Printer Wizard:
rundll32.exe shell32.dll,SHHelpShortcuts_RunDLL AddPrinter

Dial-up Networking Wizard
rundll32.exe rnaui.dll,RnaWizard

Open a Scrap ********:
rundll32.exe shscrap.dll,OpenScrap_RunDLL /r /x %1

Create a Briefcase:
rundll32.exe syncui.dll,Briefcase_Create

View Printers:
rundll32.exe shell32.dll,SHHelpShortcuts_RunDLL PrintersFolder

View Fonts:
rundll32.exe shell32.dll,SHHelpShortcuts_RunDLL FontsFolder

Pick a Time Zone Dialog:
rundll32.exe shell32.dll,Control_RunDLL timedate.cpl,,/f

[mohamed sheta]

محدش عبر الموضوع يا مسهل:ah1::ah1::ah1::ah1: عموما لسة الجزء الثانى وده متعلق بموضوع مهم وهو الفيروسات عايزين نكمل ؟؟؟؟؟
__________________

[emperor_14]

جزاك الله خير اخوي

اتمنى انك تعمل الجزء الثاني الخاص بالفيورسات

لأن جهاز صاحبي كان يطلعله هذا الملف في الTask manager

والمشكلة ان الملف ماخذ 100% من الCPU :ah46:

فشغله متعطل الان على الجهاز

[ellassy]

رائع يا برنس
منتظرين الجزءالتانى

[isharkawi]

ماشاء الله يا أخي بجد موضوع جميل جزاك الله عنا كل خير

[mohamed sheta]

شكرا للمرور ونورتو الموضوع:ah4::ah4::ah4::ah4:

[alyaldeen]

جزاك الله عنا كل خير

[dayslife]

مشكور محمد
موضوع راااااائع
بارك الله فيك

[nasser-glx]

لاتزعل اخوي انا مريت على موضوعك وقلت حرام يروح تعبك بدون تقدير


اشكرك على الموضوع بصراحة افدتني في كم معلومة ويوم ما ردينا على الموضوع اكيد ان احنا كنا مشغولين

تحياتي لك

[Bahaa Hamam]

ما شاء الله اخي بارك الله فيك

[elziny]

يعطيك العافية

[سامر الانباري]

جزاك الله خير الجزاء في الدنيا والاخرة