如何知道rundll32被什么调用

要确定 `rundll32` 被什么调用，您可以采取以下几种方法：

1. 使用 Process Explorer 或 Task Manager：

打开 Windows 任务管理器（Ctrl + Shift + Esc）。

切换到“进程”或“详细信息”标签。

在进程列表中找到 `rundll32.exe`。

右键点击该进程，选择“属性”。

在“详细信息”标签中，您可以看到启动了该进程的父进程。

2. 使用命令行工具：

打开命令提示符或 PowerShell。

使用 `tasklist` 命令列出所有进程。

找到 `rundll32.exe` 的进程 ID（PID）。

使用 `tasklist /fi "pid eq "` 命令查找启动该进程的父进程。

3. 分析系统日志：

打开事件查看器（Event Viewer）。

在“Windows 日志”中查找“应用程序”或“安全”日志。

查找 `rundll32.exe` 的相关条目，通常会有关于其被调用的信息。

4. 使用第三方工具：

使用如 Sysmon、Process Monitor 等系统监控工具，可以记录和显示进程的启动事件，包括 `rundll32`。

5. 手动分析启动项：

打开“运行”对话框（Win + R），输入 `msconfig`。

切换到“启动”标签，查看是否有可疑的启动项指向 `rundll32.exe`。

请注意，某些恶意软件可能会使用 `rundll32` 来隐藏其启动方式，因此在使用上述方法时，请确保您了解每个步骤的含义，并且只在安全的环境中执行这些操作。