Saya melihat proses ini pada Windows 10, memproses Ubin Pengguna - lebih dikenal sebagai Gambar Akun Pengguna. Mungkin digunakan untuk memproses tipe data pengguna yang tidak dipercaya lainnya; Saya tidak tahu
Kode ini adalah bagian dari paket "shell" (antarmuka desktop) Windows, dan prosesnya berjalan sebagai pengguna "NT Authority / SYSTEM". Saya pikir ini berarti itu adalah bagian dari antarmuka login / "fast user switching". Perilaku yang saya amati semuanya ke Windows. Saya secara khusus mencari kode pihak ketiga (kereta), dan saya tidak menemukan sesuatu yang mencurigakan.
Windows Rundll32 (proses anak dari DllHost) mogok. Bagaimana saya bisa mengidentifikasinya?
Skenario
Saya menangkap jejak tumpukan thread 0, sementara itu memproses permintaan COM yang masuk. Ini menunjukkan kelas Windows_UI_Immersive!CUserTileValidator
. Saya menangkap jejak ini karena prosesnya macet, ketika memproses gambar. Dalam model mental saya, ini adalah proses berpasir yang mendekompres gambar pengguna, tetapi saya berharap deskripsi yang tepat akan lebih kompleks.
Masalahnya khusus untuk satu pengguna: Saya dapat mereproduksi kerusakan dengan mengunci sesi saya dan masuk sebagai pengguna khusus ini, tetapi tidak sebaliknya. Gambar profil pengguna ditampilkan sebagai ikon default. Mengubah gambar profil pengguna menghentikan crash.
Saya tidak dapat menemukan dokumentasi untuk -localserver
opsi Rundll32. Seperti komentator lain, nilai UUID tidak dapat ditemukan di mana pun di registri. Saya tidak tahu bagaimana Rundll32 mencari nilai ini! Istilah LocalServer digunakan di tempat lain ketika berbicara tentang perintah yang digunakan untuk meluncurkan proses server COM khusus. (Seringkali DllHost.exe
, seperti yang disebutkan di bawah).
Rincian teknis
Proses Rundll32 memiliki proses induk, turunan dari DllHost.exe
("COM Surrogate"). Melihat pada baris perintah DllHost, /ProcessID
parameternya adalah AppID yang tercantum dalam registri sebagai "Shell Create Object Task Server", dari shell32.dll. Kedua proses dijalankan sebagai "Otoritas / Sistem NT".
Dalam beberapa hal, crash yang saya lihat sudah diantisipasi. DllHost.exe dirancang untuk menjalankan objek COM yang tidak dapat diandalkan . Rupanya ini dalam sesi pengguna. Tautan saya tidak mengomentari tidak tahu seberapa baik melindungi objek COM yang tidak aman ; perhatian khusus ketika dijalankan sebagai SISTEM.