rundll32 使用和无文件攻击的一些示例
rundll32
加载并运行32位动态链接库 (Dll) 。 没有适用于 Rundll32.exe 的可配置设置。 为使用 rundll32.exe 命令运行的特定 DLL 提供了帮助信息。
必须从提升的命令提示符运行 rundll32.exe 命令。 若要打开提升的命令提示符,请单击 " 开始",右键单击 " 命令提示符",然后单击 "以 管理员身份运行"。
语法
rundll32 <DLLname>
参数
| 参数 | 说明 |
|---|---|
| Rundll32.exe printui.dll,PrintUIEntry | 显示打印机用户界面。 |
注解
Rundll32.exe 只能从显式编写的 DLL 调用函数,以由 Rundll32.exe 调用。
攻击案例:
https://zhuanlan.zhihu.com/p/451532819
恶意文件示例:
https://any.run/report/d3bb148224cfec7d4487b7d9ce1d74ab9b67f3354afa9367c9aa050f4aabc117/4512f557-ae0d-4b8c-95e1-c8c7a58dd5ae
payload:
- "C:\Windows\System32\rundll32.exe" "C:\Users\admin\Desktop\6LwTlnmRwRA9milh9.bin.exe", Control_RunDLL
https://any.run/report/8fb2c48223952ffa157c8a0b9ab98e9f8b2924f7b8aa1faef94f3adc91eb8b61/e8ca24ff-3766-43fd-a7e6-9ac7254791a7
payload:
- "C:\Windows\System32\rundll32.exe" "C:\Users\admin\AppData\Local\Temp\emotet_exe_e4_8fb2c48223952ffa157c8a0b9ab98e9f8b2924f7b8aa1faef94f3adc91eb8b61_2022-03-17__084608.exe", DllRegisterServer
https://any.run/report/6adf75ae4502208cb1d295a95bc3f7263b14a2568c0108554e7ea30cec2fa1c2/f1d9aabb-45b6-4221-8a50-e060633f23c9
payload:
- "C:\Windows\System32\rundll32.exe" "C:\Users\admin\AppData\Local\Temp\88e6dde5e03da6a889feae1525551ab2.exe", DllRegisterServer
标签:
安全分析
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 全程不用写代码,我用AI程序员写了一个飞机大战
· MongoDB 8.0这个新功能碉堡了,比商业数据库还牛
· 记一次.NET内存居高不下排查解决与启示
· 白话解读 Dapr 1.15:你的「微服务管家」又秀新绝活了
· DeepSeek 开源周回顾「GitHub 热点速览」
2018-03-20 leetcode 796. Rotate String
2018-03-20 leetcode 717. 1-bit and 2-bit Characters
2018-03-20 leetcode 606. Construct String from Binary Tree
2018-03-20 confusion_matrix函数的使用
2018-03-20 spark groupByKey().mapValues
2018-03-20 TFLearn 在给定模型精度时候提前终止训练
2017-03-20 bleve搜索引擎源码分析之索引——mapping和lucene一样,也有_all