728x90
요약
MIcrosoft Windows NT 4.0, Windows 2000 및 Windows XP에는 Rundll32만 제공됩니다. 이러한 플랫폼에서는 Rundll(Win16 유틸리티)을 지원하지 않습니다.
Rundll 및 Rundll32 유틸리티 프로그램은 원래 Microsoft 내부에서만 사용하도록 설계되었습니다. 그러나 이들 프로그램에서 제공하는 기능이 상당히 일반적이기 때문에 지금은 일반적인 용도로 사용할 수 있습니다. Windows NT 4.0에는 Rundll32 유틸리티 프로그램만 제공되므로 Windows NT 4.0은 Rundll32만 지원합니다.
추가 정보
Rundll과 Rundll32 비교
Rundll은 16비트 DLL을 로드하고 실행하는 반면 Rundll32는 32비트 DLL을 로드하고 실행합니다. 잘못된 유형의 DLL을 Rundll이나 Rundll32로 전달하면 오류 메시지가 표시되지 않고 실행되지 않을 수 있습니다.Rundll 명령줄
Rundll의 명령줄은 다음과 같습니다.
RUNDLL.EXE <dllname>,<entrypoint> <optional arguments>
RUNDLL.EXE SETUPX.DLL,InstallHinfSection 132 C:\WINDOWS\INF\SHELL.INF
- Rundll이나 Rundll32는 표준 위치에서 주어진 DLL 파일 이름을 검색합니다(자세한 내용은 LoadLibrary() 함수에 대한 문서 참조). DLL을 제대로 검색하기 위해 DLL의 전체 경로를 제공하는 것이 좋습니다. 최상의 결과를 얻으려면 잘못된 문자가 나타나지 않도록 긴 파일 이름 대신 짧은 파일 이름을 사용합니다. 특히 "C:\Program Files" 폴더의 DLL이 짧은 이름으로 변환되어야 합니다.
- <dllname>에는 공백, 쉼표 또는 따옴표가 포함되지 않을 수 있습니다. 이것은 Rundll 명령줄 파서의 제한 사항입니다.
- 위의 명령줄에서 <dllname>과 <entrypont> 함수 이름 사이의 쉼표(,)는 매우 중요합니다. 쉼표 구분 기호가 없으면 Rundll이나 Rundll32는 오류를 표시하지 않고 실패합니다. 또한, <dllname>, 쉼표 및 <entrypoint> 함수 사이에는 공백이 있어서는 안 됩니다.
Rundll의 작동 방식
Rundll은 다음 단계를 수행합니다.- 명령줄 구문을 분석합니다.
- LoadLibrary()를 통해 지정된 DLL을 로드합니다.
- GetProcAddress()를 통해 <entrypoint> 함수의 주소를 얻습니다.
- <entrypoint> 함수를 호출하고 명령줄 끝 정보인 <optional arguments>를 전달합니다.
- <entrypoint> 함수가 결과를 반환하면 Rundll.exe는 DLL을 언로드하고 종료됩니다.
DLL을 작성하는 방법
DLL에서 다음 프로토타입을 사용하여 <entrypoint> 함수를 작성합니다.16비트 DLL:
void FAR PASCAL __loadds
EntryPoint(HWND hwnd, HINSTANCE hinst, LPSTR lpszCmdLine, int nCmdShow);
void CALLBACK
EntryPoint(HWND hwnd, HINSTANCE hinst, LPSTR lpszCmdLine, int nCmdShow);
- "EntryPoint"라는 이름을 작성한 진입점 함수의 실제 이름으로 바꿔야 합니다. Rundll32의 진입점은 프로세스와 스레드 연결/분리 알림을 처리하는 32비트 DLL의 DllEntryPoint 함수와는 전혀 관계가 없습니다.
- Rundll32의 진입점 함수는 _stdcall 호출 규칙을 사용하여 정의되어야 합니다(콜백은 _stdcall 특성을 사용하도록 기본적으로 설정됨). _stdcall 특성이 없으면 함수는 _cdecl 호출 규칙을 기본적으로 사용하고 Rundll32는 함수를 호출한 후 비정상적으로 종료됩니다.
- 위에서 설명한 대로 _stdcall 호출 규칙을 사용하여 함수를 선언해야 하므로 Visual C++ 컴파일러는 DLL이 C로 작성된 경우 이것을 _EntryPoint@16으로 내보내고 DLL이 C++로 작성된 경우 이름 장식을 더 사용합니다. 따라서 명령줄에서 Rundll이나 Rundll32에 대해 제대로 내보낸 이름을 사용하도록 해야 합니다. 장식된 이름을 사용하지 않으려면 .def 파일을 사용하고 이름에 따라 진입점 함수를 내보냅니다. Visual C++ 컴파일러를 사용하는 경우의 이름 장식에 대한 자세한 내용은 제품 설명서와 다음 문서를 참조하십시오.140485 INFO: 32비트 DLL에서 PASCAL 형식의 기호 내보내기
hwnd - DLL이 만든 모든 창에 대해 소유자 창으로 사용되는
창 핸들
hinst - DLL의 인스턴스 핸들
lpszCmdLine - DLL이 구문 분석하는 ASCIIZ 명령줄
nCmdShow - DLL의 창이 표시되는 방법 설명
다음 예제에서
RUNDLL.EXE SETUPX.DLL,InstallHinfSection 132 C:\WINDOWS\INF\SHELL.INF
hwnd = (부모 창 핸들) hinst = SETUPX.DLL의 HINSTANCE lpszCmdLine = "132 C:\WINDOWS\INF\SHELL.INF" nCmdShow = (CreateProcess로 전달된 모든 nCmdShow)이것은 자체 명령줄(위의 lpszCmdLine 매개 변수)의 구문을 분석하고 필요에 따라 개별 매개 변수를 사용해야 하는 <entrypoint> 함수(위의 예제에서는 InstallHinfSection())입니다. Rundll.exe는 명령줄로 전달된 선택적 인수의 구문까지만 분석합니다. 나머지 구문 분석은 <entrypoint> 함수가 담당합니다.
Windows 95와 Windows NT의 차이점
Windows NT, Windows 2000 및 Windows XP에서는 유니코드 명령줄을 수용하기 위해 Rundll32.exe의 동작이 약간 다릅니다.Windows NT는 먼저 <EntryPoint>W에 대한 GetProcAddress를 실행합니다. 이 진입점을 찾은 경우 프로토타입은 다음과 같습니다.
void CALLBACK
EntryPointW(HWND hwnd, HINSTANCE hinst, LPWSTR lpszCmdLine,
int nCmdShow);
<EntryPoint>W 진입점을 찾지 못하면 Windows NT는 <entrypoint>A 및 <entrypoint>에 대한 GetProcAddress를 실행합니다. 둘 중 하나가 발견되면 ANSI 진입점으로 간주되고 Windows 95/98/Me와 같은 방식으로 처리됩니다. 따라서 ANSI가 지원되는 Windows 95와 유니코드가 지원되는 Windows NT/2000/XP에서 DLL을 실행하려고 하면 두 함수 EntryPointW와 EntryPoint를 내보내야 합니다. Windows NT/2000/Me에서 EntryPointW 함수는 유니코드 명령줄에서 호출되고 Windows 95/98/Me에서 EntryPoint 함수는 ANSI 명령줄에서 호출됩니다.
728x90
'Program > DLL' 카테고리의 다른 글
| dll 멀웨어 파일 실행 방법 (0) | 2016.11.30 |
|---|---|
| [INF] 윈도우 95의 Rundll과 Rundll32의 사용법 (0) | 2016.11.30 |