rundll32 使用和无文件攻击的一些示例

rundll32

加载并运行32位动态链接库 (Dll) 。 没有适用于 Rundll32.exe 的可配置设置。 为使用 rundll32.exe 命令运行的特定 DLL 提供了帮助信息。

必须从提升的命令提示符运行 rundll32.exe 命令。 若要打开提升的命令提示符,请单击 " 开始",右键单击 " 命令提示符",然后单击 "以 管理员身份运行"。

语法

 
rundll32 <DLLname>

参数

参数说明
Rundll32.exe printui.dll,PrintUIEntry 显示打印机用户界面。

注解

Rundll32.exe 只能从显式编写的 DLL 调用函数,以由 Rundll32.exe 调用。

 

攻击案例:

https://zhuanlan.zhihu.com/p/451532819

 

恶意文件示例:

https://any.run/report/d3bb148224cfec7d4487b7d9ce1d74ab9b67f3354afa9367c9aa050f4aabc117/4512f557-ae0d-4b8c-95e1-c8c7a58dd5ae

payload:

"C:\Windows\System32\rundll32.exe" "C:\Users\admin\Desktop\6LwTlnmRwRA9milh9.bin.exe", Control_RunDLL

 

https://any.run/report/8fb2c48223952ffa157c8a0b9ab98e9f8b2924f7b8aa1faef94f3adc91eb8b61/e8ca24ff-3766-43fd-a7e6-9ac7254791a7

payload:

"C:\Windows\System32\rundll32.exe" "C:\Users\admin\AppData\Local\Temp\emotet_exe_e4_8fb2c48223952ffa157c8a0b9ab98e9f8b2924f7b8aa1faef94f3adc91eb8b61_2022-03-17__084608.exe", DllRegisterServer

https://any.run/report/6adf75ae4502208cb1d295a95bc3f7263b14a2568c0108554e7ea30cec2fa1c2/f1d9aabb-45b6-4221-8a50-e060633f23c9

payload:

"C:\Windows\System32\rundll32.exe" "C:\Users\admin\AppData\Local\Temp\88e6dde5e03da6a889feae1525551ab2.exe", DllRegisterServer
posted @ 2022-03-20 17:18  bonelee  阅读(567)  评论(0编辑  收藏  举报