De acordo com alguém do MSDN, ele faz parte do Windows chamado de "Programa de Análise de Desempenho do Processo (Programa de Contador de Desempenho do Windows)"
Eu tropecei em uma instância do rundll32 enquanto checava os processos em execução na minha caixa do windows 10.
Esta é a linha de comando que a iniciou de acordo com o Process Explorer:
C:\Windows\system32\rundll32.exe -localserver 22d8c27b-47a1-48d1-ad08-7da7abd79617
O que isso significa? Eu tentei pesquisar isso, mas não encontrei nada.
É bom / normal? Devo matá-lo e investigar mais?
De acordo com alguém do MSDN, ele faz parte do Windows chamado de "Programa de Análise de Desempenho do Processo (Programa de Contador de Desempenho do Windows)"
Eu vi esse processo no Windows 10, processando os User Tiles, mais conhecidos como Imagens da conta do usuário. Possivelmente é usado para processar outros tipos de dados não confiáveis do usuário; Não sei.
O código faz parte do pacote "shell" (interface de desktop) do Windows, e o processo está sendo executado como o usuário "NT Authority / SYSTEM". Eu acho que isso significa que faz parte da interface de login / "troca rápida de usuário". O comportamento que observei é tudo para o Windows. Eu estava procurando especificamente por qualquer código de terceiros (bugs), e não achei nada suspeito.
Windows Rundll32 ( processo filho de DllHost) está falhando. Como posso identificar isso?
Capturei um rastreio de pilha do encadeamento 0, enquanto ele processava uma solicitação COM de entrada. Mostra uma classe Windows_UI_Immersive!CUserTileValidator . Eu estava capturando este traço quando o processo estava travando, quando processou a imagem. No meu modelo mental, este é um processo em sandbox que descomprime a imagem do usuário, mas espero que uma descrição precisa seja mais complexa.
O problema era específico para um usuário: eu era capaz de reproduzir a falha bloqueando minha sessão e fazendo login como usuário específico, mas não o contrário. A foto do perfil do usuário foi exibida como o ícone padrão. Alterar a foto do perfil do usuário interrompeu as falhas.
Não consigo encontrar documentação para a opção -localserver de Rundll32. De acordo com outros comentadores, o valor UUID não pode ser encontrado em nenhum lugar do registro. Eu não sei como Rundll32 procura esse valor! O termo LocalServer é usado em outro lugar quando se fala de um comando usado para iniciar um processo de servidor COM dedicado. (Muitas vezes DllHost.exe , como mencionado abaixo).
O processo Rundll32 tinha um processo pai, uma instância de DllHost.exe ("COM Surrogate"). Observando a linha de comando do DllHost, o parâmetro /ProcessID era um AppID listado no Registro como "Criar o Servidor de Tarefas do Shell", do shell32.dll. Ambos os processos foram executados como "Autoridade NT / SYSTEM".
De alguma forma, os acidentes que eu vi foram antecipados. DllHost.exe foi projetado para executar objetos COM não confiáveis . Aparentemente isso foi dentro de uma sessão do usuário. Meu link não faz comentários sobre não sei quão bem ele protege inseguro objetos COM; uma preocupação particular quando executado como SYSTEM.