728x90

* Rundll 커맨드 라인

RUNDLL.EXE <DLL 명>,<엔트리 포인트> <옵션 아규먼트>


를 이용하여 실행


.lnk (참조 되어 있는 샘플 파일) 의 커맨드라인 분석, 복사


그 후 rundll32.exe와 해당 .dll파일 주소를 샘플 파일과 같이 이동,


ex: C:\Windows\SysWOW64\rundll32.exe C:\Windows\SysWOW64\cb3cacb2418b31f93e8172d12c00fef8bb1bbf0b222f5d2afcf876219926e86b.dll,MXS3



728x90

'Program > DLL' 카테고리의 다른 글

[INF] 윈도우 95의 Rundll과 Rundll32의 사용법  (0) 2016.11.30
INFO: Windows Rundll 및 Rundll32 인터페이스  (0) 2016.11.30
728x90
요약
윈도우 95는 DLL에서 익스포트된 함수를 실행하는 16비트, 32비트 Rundll.exe과 Rundll32.exe 커맨드-라인 유틸리티를 가진다. 그러나, Rundll과 Rundll32 프로그램이 모든 DLL로 부터의 모든 익스포트 함수에 대해 실행되지는 않는다. 예를 들어 시스템 DLL에서 익스포트되는 Win32 API (Application Programming Interface) 는 콜할 수없다. 작성한 DLL에 존재하는 익스포트 함수에 대하여만 가능하다. 여기에서는 윈도우 NT와 95하에서 Rundll과 Rundll32 사용법을 다룬다. 원래 Rundll과 Rundll32 유틸리티는 마이크로소프트 내부용의로 설계되었다. 그러나 그 기능이 일반적이므로 현재는 공개되었다. 
주 : 윈도우 NT 4.0은 Rundll32만 포함되며 Rundll32만 지원한다.
추가 정보

* Rundll 과 Rundll32 비교

Rundll은16-비트 DLL을 로드하고 실행하며, 반면 Rundll32는32-비트 DLL을 로드하고 실행한다. 잘못된 DLL을 Rundll 나 Rundll32에 사용하는 경우, 오류 메시지 없이 실행에 실패한다.

* Rundll 커맨드 라인

RUNDLL.EXE <DLL 명>,<엔트리 포인트> <옵션 아규먼트>
다음은 예이다:
RUNDLL.EXE SETUPX.DLL,InstallHinfSection 132 C:\WINDOWS\INF\SHELL.INF
다음은 위 명령어 라인에서 주의해야한 3가지 문제이다:
  1. Rundll 이나 Rundll32은 주어진 DLL 파일명을 LoadLibrary() 함수가 사용하는 표준위치에서 찾는다. 정확을 기하기 위해서는 DLL의 풀-패스를 기술하고, 유효한 파일명이 되기 위해서는 긴 파일명 대신 짧은 파일 명을 기술한다. 즉 "C:\Program Files" 폴더는 반드시 짧은 폴더 명으로 변환되어야 한다.
  2. <DLL 명>에는 스페이스, 콤마, 따옴표등이 포함될 수없다. 이것은 Rundll 커맨드 분석기의 한계이다.
  3. 위 커맨드 라인에서, <DLL 명>과 <엔트리 포인트>사이의 컴마(,)는 매우 중요하다. 만약 컴마가 없다면, Rundll이나 Rundll32는 어떤 오류 메시지 없이 실패한다. 또한 <DLL 명>, 컴마와 <엔트리 포인트> 함수 사이에는 스페이스도 없어야만 한다.

* Rundll 동작 방법

  1. 커맨드 라인을 분석한다.
  2. LoadLibrary()로 명시된 DLL을 로드한다.
  3. GetProcAddress()로 <엔트리 포인트> 함수의 어드레스를 얻는다.
  4. <옵션 아규먼트>를 <엔트리 포인트> 함수로 패스하면서 콜한다.
  5. <엔트리 포인트> 함수 리턴시 Rundll.exe는 DLL을 언로드하고 종료한다.

* DLL 작성법

작성하는 DLL에서, 다음같은 함수 원형 <엔트리 포인트> 함수를 만든다:


16-비트 DLL:

void FAR PASCAL __loadds
EntryPoint(HWND hwnd, HINSTANCE hinst, LPSTR lpszCmdLine, int nCmdShow);

32-비트 DLL:

void CALLBACK
EntryPoint(HWND hwnd, HINSTANCE hinst, LPSTR lpszCmdLine, int nCmdShow);
엔트리 포인트 함수는 다음을 고려해야 한다.
  1. "EntryPoint"는 반드시 실제 엔트리 포인트 함수명 이어야 한다. Rundll32의 엔트리 포인트는 프로세스와 쓰레드 어태치/디태치 통보(notifications)를 처리하는 32비트 DLL의 DllEntryPoint함수와 완전히 별개이다.
  2. Rundll32의 엔트리 포인트 함수는 반드시 _stdcall(CALLBACK은 디폴트로 _stdcall 속성을 사용한다)을 정의해야만 한다. 만약 _stdcall이 없으면, 함수는 디폴트로 _cdecl를 사용하며, 이때 Rundll32은 함수 호출 후, 비정상적으로 종료한다.
  3. 반드시 함수 선언에 _stdcall 를 사용해야 하며, 비주얼 C++ 컴파일러는 DLL이 C로 쓰여진 경우는 _EntryPoint@16으로, C++로 쓰여진 경우는 함수명을 장식한다. 그러므로 장식돤 이름을 사용하지 않으려면, .DEF 파일을 사용하고, 이름으로 엔트리 포인트 함수를 익스포트해야 한다.
Rundll 엔트리 포인트의 매개변수는 다음과 같다:
hwnd - DLL에서 사용할 오너 윈도우의 윈도우 핸들
hinst - DLL의 인스턴스 핸들
lpszCmdLine - DLL이 분석해야할 ASCIIZ 커맨드 라인
nCmdShow - DLL의 윈도우를 디스플레이할 방법

다음은 예이다:
RUNDLL.EXE SETUPX.DLL,InstallHinfSection 132 C:\WINDOWS\INF\SHELL.INF
Rundll은 Setupx.dll 내의 InstallHinfSection() 엔트리 포인트 함수를 다음의 매개 변수로 콜한다:
hwnd = (모 윈도우 핸들)
hinst = SETUPX.DLL의 HINSTANCE 
lpszCmdLine = "132 C:\WINDOWS\INF\SHELL.INF"
nCmdShow = (CreateProcess에 전달되는 nCmdShow)
주 : 엔트리 포인트 함수(예제에서는 InstallHinfSection())는 커맨드 라인 (여기에서는 lpszCmdLine)을 분석한다. Rundll.exe는 커맨드 라인에 패스되는 아규먼트중 옵션 아규먼트까지 분석하고 나머지 분석은 엔트리 포인트 함수에 의존한다. 

* 윈도우 95와 윈도우 NT간의 차이점

윈도우 NT에서의 Rundll32.exe동작은 유니코드 커맨드 라인에 적합하도록 되어있다. 윈도우 NT는 먼저 <엔트리 포인트 함수명>W의 GetProcAddress를 얻어내어 엔트리 포인트가 있는 경우 함수 원형을 다음으로 간주한다:
void CALLBACK
EntryPointW(HWND hwnd, HINSTANCE hinst, LPWSTR lpszCmdLine, int nCmdShow);
이것은 lpszCmdLine이 유니코드 문자열인 점만이 ANSI 엔트리포인트 함수와 다른 점이다. 

만약 <엔트리 포인트 함수명>W이 없으면, 윈도우 NT는 <엔트리 포인트 함수명>을 위하여 <엔트리 포인트 함수명>A의 GetProcAddress를 실행하고 이를 ANSI 엔트리 포인트로 여겨 윈도우 95와 동일하게 처리한다. 그러므로, 만약 작성한 DLL이 윈도우 95에서는 ANSI 지원, 윈도우 NT에서는 UNICODE지원하게 한다면 반드시 두개의 함수: EntryPointW 와 EntryPoint를 익스포트한다. 윈도우 NT에서 EntryPointW 함수는 유니코드 커맨드 라인을 사용하고, 윈도우95에서는 EntryPoint 함수는 ANSI 커맨드 라인을 콜하게 될 것이다.


728x90

'Program > DLL' 카테고리의 다른 글

dll 멀웨어 파일 실행 방법  (0) 2016.11.30
INFO: Windows Rundll 및 Rundll32 인터페이스  (0) 2016.11.30
728x90
요약
Microsoft Windows 95, Windows 98 및 Windows Millennium Edition(Me)에는 16비트나 32비트 DLL에서 내보낸 함수를 호출하는 데 사용되는 Rundll.exe와 Rundll32.exe라는 두 가지 명령줄 유틸리티 프로그램이 포함되어 있습니다. 그러나 Rundll과 Rundll32 프로그램을 통해 임의의 DLL에서 내보낸 함수 모두를 호출할 수 있는 것은 아닙니다. 예를 들어, 이러한 유틸리티 프로그램을 사용하여 시스템 DLL에서 내보낸 Win32 API(응용 프로그래밍 인터페이스) 호출을 수행할 수는 없으며, 이들 프로그램이 호출하도록 명시적으로 작성된 함수만 DLL에서 호출할 수 있습니다. 이 문서에서는 위에서 언급한 Windows 운영 체제에서 Rundll 및 Rundll32 프로그램을 사용하는 방법에 대해 자세히 설명합니다. 

MIcrosoft Windows NT 4.0, Windows 2000 및 Windows XP에는 Rundll32만 제공됩니다. 이러한 플랫폼에서는 Rundll(Win16 유틸리티)을 지원하지 않습니다. 

Rundll 및 Rundll32 유틸리티 프로그램은 원래 Microsoft 내부에서만 사용하도록 설계되었습니다. 그러나 이들 프로그램에서 제공하는 기능이 상당히 일반적이기 때문에 지금은 일반적인 용도로 사용할 수 있습니다. Windows NT 4.0에는 Rundll32 유틸리티 프로그램만 제공되므로 Windows NT 4.0은 Rundll32만 지원합니다.
추가 정보

Rundll과 Rundll32 비교

Rundll은 16비트 DLL을 로드하고 실행하는 반면 Rundll32는 32비트 DLL을 로드하고 실행합니다. 잘못된 유형의 DLL을 Rundll이나 Rundll32로 전달하면 오류 메시지가 표시되지 않고 실행되지 않을 수 있습니다.

Rundll 명령줄

Rundll의 명령줄은 다음과 같습니다.

   RUNDLL.EXE <dllname>,<entrypoint> <optional arguments>
예를 들면, 다음과 같습니다.

   RUNDLL.EXE SETUPX.DLL,InstallHinfSection 132 C:\WINDOWS\INF\SHELL.INF
위의 명령줄에서 신중하게 고려할 세 가지 사항이 있습니다.
  1. Rundll이나 Rundll32는 표준 위치에서 주어진 DLL 파일 이름을 검색합니다(자세한 내용은 LoadLibrary() 함수에 대한 문서 참조). DLL을 제대로 검색하기 위해 DLL의 전체 경로를 제공하는 것이 좋습니다. 최상의 결과를 얻으려면 잘못된 문자가 나타나지 않도록 긴 파일 이름 대신 짧은 파일 이름을 사용합니다. 특히 "C:\Program Files" 폴더의 DLL이 짧은 이름으로 변환되어야 합니다.
  2. <dllname>에는 공백, 쉼표 또는 따옴표가 포함되지 않을 수 있습니다. 이것은 Rundll 명령줄 파서의 제한 사항입니다.
  3. 위의 명령줄에서 <dllname>과 <entrypont> 함수 이름 사이의 쉼표(,)는 매우 중요합니다. 쉼표 구분 기호가 없으면 Rundll이나 Rundll32는 오류를 표시하지 않고 실패합니다. 또한, <dllname>, 쉼표 및 <entrypoint> 함수 사이에는 공백이 있어서는 안 됩니다.

Rundll의 작동 방식

Rundll은 다음 단계를 수행합니다.
  1. 명령줄 구문을 분석합니다.
  2. LoadLibrary()를 통해 지정된 DLL을 로드합니다.
  3. GetProcAddress()를 통해 <entrypoint> 함수의 주소를 얻습니다.
  4. <entrypoint> 함수를 호출하고 명령줄 끝 정보인 <optional arguments>를 전달합니다.
  5. <entrypoint> 함수가 결과를 반환하면 Rundll.exe는 DLL을 언로드하고 종료됩니다.

DLL을 작성하는 방법

DLL에서 다음 프로토타입을 사용하여 <entrypoint> 함수를 작성합니다. 

16비트 DLL: 


  void FAR PASCAL __loadds
  EntryPoint(HWND hwnd, HINSTANCE hinst, LPSTR lpszCmdLine, int nCmdShow);
32비트 DLL:

  void CALLBACK
  EntryPoint(HWND hwnd, HINSTANCE hinst, LPSTR lpszCmdLine, int nCmdShow);
EntryPoint 함수에서 고려할 세 가지 사항이 있습니다.
  1. "EntryPoint"라는 이름을 작성한 진입점 함수의 실제 이름으로 바꿔야 합니다. Rundll32의 진입점은 프로세스와 스레드 연결/분리 알림을 처리하는 32비트 DLL의 DllEntryPoint 함수와는 전혀 관계가 없습니다.
  2. Rundll32의 진입점 함수는 _stdcall 호출 규칙을 사용하여 정의되어야 합니다(콜백은 _stdcall 특성을 사용하도록 기본적으로 설정됨). _stdcall 특성이 없으면 함수는 _cdecl 호출 규칙을 기본적으로 사용하고 Rundll32는 함수를 호출한 후 비정상적으로 종료됩니다.
  3. 위에서 설명한 대로 _stdcall 호출 규칙을 사용하여 함수를 선언해야 하므로 Visual C++ 컴파일러는 DLL이 C로 작성된 경우 이것을 _EntryPoint@16으로 내보내고 DLL이 C++로 작성된 경우 이름 장식을 더 사용합니다. 따라서 명령줄에서 Rundll이나 Rundll32에 대해 제대로 내보낸 이름을 사용하도록 해야 합니다. 장식된 이름을 사용하지 않으려면 .def 파일을 사용하고 이름에 따라 진입점 함수를 내보냅니다. Visual C++ 컴파일러를 사용하는 경우의 이름 장식에 대한 자세한 내용은 제품 설명서와 다음 문서를 참조하십시오.
    140485 INFO: 32비트 DLL에서 PASCAL 형식의 기호 내보내기
Rundll 진입점에 대한 매개 변수는 다음과 같습니다.
   hwnd - DLL이 만든 모든 창에 대해 소유자 창으로 사용되는
          창 핸들
   hinst - DLL의 인스턴스 핸들
   lpszCmdLine - DLL이 구문 분석하는 ASCIIZ 명령줄
   nCmdShow - DLL의 창이 표시되는 방법 설명
다음 예제에서

     RUNDLL.EXE SETUPX.DLL,InstallHinfSection 132 C:\WINDOWS\INF\SHELL.INF
Rundll은 Setupx.dll에서 InstallHinfSection() Entrypoint 함수를 호출하고 다음 매개 변수를 전달합니다.
   hwnd = (부모 창 핸들)
   hinst = SETUPX.DLL의 HINSTANCE
   lpszCmdLine = "132 C:\WINDOWS\INF\SHELL.INF"
   nCmdShow = (CreateProcess로 전달된 모든 nCmdShow)
이것은 자체 명령줄(위의 lpszCmdLine 매개 변수)의 구문을 분석하고 필요에 따라 개별 매개 변수를 사용해야 하는 <entrypoint> 함수(위의 예제에서는 InstallHinfSection())입니다. Rundll.exe는 명령줄로 전달된 선택적 인수의 구문까지만 분석합니다. 나머지 구문 분석은 <entrypoint> 함수가 담당합니다.

Windows 95와 Windows NT의 차이점

Windows NT, Windows 2000 및 Windows XP에서는 유니코드 명령줄을 수용하기 위해 Rundll32.exe의 동작이 약간 다릅니다. 

Windows NT는 먼저 <EntryPoint>W에 대한 GetProcAddress를 실행합니다. 이 진입점을 찾은 경우 프로토타입은 다음과 같습니다.

   void CALLBACK
   EntryPointW(HWND hwnd, HINSTANCE hinst, LPWSTR lpszCmdLine,
               int nCmdShow);
이것은 lpszCmdLine 매개 변수가 유니코드 문자열이라는 점을 제외하고는 ANSI EntryPoint와 동일합니다. 

<EntryPoint>W 진입점을 찾지 못하면 Windows NT는 <entrypoint>A 및 <entrypoint>에 대한 GetProcAddress를 실행합니다. 둘 중 하나가 발견되면 ANSI 진입점으로 간주되고 Windows 95/98/Me와 같은 방식으로 처리됩니다. 따라서 ANSI가 지원되는 Windows 95와 유니코드가 지원되는 Windows NT/2000/XP에서 DLL을 실행하려고 하면 두 함수 EntryPointW와 EntryPoint를 내보내야 합니다. Windows NT/2000/Me에서 EntryPointW 함수는 유니코드 명령줄에서 호출되고 Windows 95/98/Me에서 EntryPoint 함수는 ANSI 명령줄에서 호출됩니다.


728x90

'Program > DLL' 카테고리의 다른 글

dll 멀웨어 파일 실행 방법  (0) 2016.11.30
[INF] 윈도우 95의 Rundll과 Rundll32의 사용법  (0) 2016.11.30

+ Recent posts

티스토리툴바