rundll32.exe 가 작업 관리자에 너무 많은 경우

네이버 지식인을 통하여 아래의 스샷과 같은 질문을 접하였습니다.
질문의 요지는 작업관리자에 rundll32.exe가 많은 경우에 어떻게 이해해야 하는가였습니다.

최근에 질문들을 통해 rundll32.exe와 관련된 질문을 두 번 정도 본 것 같아
이 기회에 rundll32.exe에 대하여 아주 간단히 개략적으로 정리를 해 보고자 합니다.

정리라고 하지만, 사실 제가 했던 답변을 그대로 복사를 해 놓고
답변할 때 빠졌던 사항을 조금만 보충을 할 겁니다.

이 글이 많은 분들에게 도움이 되기를 바라며.... 시작

<글벌레의 답변 >

안녕하세요?

질문이 방향성을 잡지 못한 것 같아 저 나름대로
rundll32.exe에 대하여 설명을 하니 잘 읽어 보시기 바랍니다.

rundll32.exe의 경우 그 정상 경로는 windows\system32입니다.
그러므로 실행되고 있는 rundll32.exe 프로세스의 경로가
system32가 아니라면 그것은 악성코드입니다.
삭제 대상입니다.

rundll32.exe가 하는 일은 스스로는 실행될 수 없는
라이브러리 수준의 프로그램(e.g. dll 파일로 된 프로그램)들을 실행시켜 주는
껍데기 역활을 한다고 보면 됩니다.
윈도우에는 이런 껍데기 역활을 하는 대표적인 두 개의 프로세스가 있는데
그것들은 rundll32.exe와 svchost.exe입니다.

svchost.exe의 경우에는 주로 시스템과 관련된 것들의 껍데기 역활을 해 주는 반면

rundll32.exe의 경우에는 주로 third party 제작사들의 파일들에 대한
껍데기 역활을 해 주는 것으로 보입니다.
그 대표적인 예가 일부 사운드 코덱 또는 nvidia 그래픽 카드의 제어판 항목의
dll들을 프로그램처럼 실행시켜 주는 경우입니다.

설명을 위해 언급하면 rundll32.exe의 경우에도 시스템 영역의 껍데기를 하는 경우들이 있는데
그 대표적인 예가 프로그램 추가/제거입니다.

위 그림을 보면 ①을 통하여 파일 이름을 확인한 후

②를 통하여 제가 말씀드린 바와 같이 rundll32.exe가 dll의 껍데기란 것이 확인되며

③을 통하여 이 rundll32.exe는 프로그램 추가/제거를 위해 열렸다는 확인이 되며

④를 통하여 그 경로가 확인이 됩니다 .

자, 그렇다면 제가 위 그림에서 보여 드린 프로그램을 알면 일단 스스로 진단이 가능하겠죠?

그 프로그램은 바로 아래 글에 설명이 되어 있으니 참고하고요 .
2009/10/17 - [프로그램 리뷰] - ProcessExplorer

rundll32.exe가 정상 경로가 아닌 것이 발견되면 해당 rundll32.exe는
안전 모드에서 삭제하기 바랍니다.

<글벌레의 답변에서 추가적으로 언급되었어야 할 부분 >

아래는 제가 답변을 할 때 언급을 했어야 하는데 놓친 부분입니다.

만약 작업 관리자에 실행된 모든 rundll32.exe가 정상 경로인 경우에는
rundll32.exe들이 과연 무엇을 물고 있는가를 봐야 합니다(injection).

그것을 아는 방법론은 제가 위에 제시한 이전 글
2009/10/17 - [프로그램 리뷰] - ProcessExplorer와
이 글에 연동된 링크들을 잘 읽어 보면 아는 것이 가능할 겁니다.

그런데 글들만을 읽고는 전혀 감이 안오는 분들은 Process Explorer에서
Lower Pane도 열어 놓고 rundll32.exe를 마우스로 찍으십시오 .

그리고 Process Explorer에서
File > Save As...를 선택해 뜨는 창에서
적당한 파일 이름으로 저장을 하세요.
(기본적으로는 프로세스명.txt라는 파일명으로
저장이 됩니다.)

 

작업관리자에 존재하는 즉, Process Explorer에서 볼 수 있는
각각의 rundll32.exe에 대하여 같은 작업을 해야 합니다.

저장을 했으면 해당 텍스트 파일들을 열고 그 내용을 복사해서

지식iN에 올리면 답변을 얻는데 좋은 자료가 될 겁니다.