Rundll32

今天看了两篇关于Rundll32的文章 发现Rundll32还可以调用DLL自定义导出函数

比如:你自己写了一个dll文件,里面有导出函数,那么在Rundll32上面就可以进行该dll函数的调用,比如下面:

Rundll32调用 DLL自定义导出函数格式:

例如:rundll32.exe "dllName.dll",RundllFuncExample TestRun

命令参数:

dllName.dll:需要调用的DLL(需加引号)

RundllFuncExample:DLL中导出的函数名,在调用的DLL之后,需加","分隔

TestRun:向导出函数传参数,在导出函数名后面加"空格" 传入,在DLL中参数lpszCmdLine中获取

rundll32在64位系统中所在的位置及调用DLL位数:

调用的是64位DLL
c:\windows\system32\rundll32.exe

调用的是32位DLL
c:\windows\SysWOW64\rundll32.exe


先讲下用Rundll32运行加载dll的好处有:当执行DLL文件中的内部函数,这样在进程当中,也只会有Rundll32.exe,而不会有DLL后门的进程,这样也就能够实现了进程上的隐藏。

还有需要注意的是:并不是只要是DLL中声明为导出函数的函数都可以通过Rundll32就可以进行调用,还需要被申明的导出函数的调用约定是__cdecl才可以,因为默认的导出函数的调用约定都是__stdcall

#include<Windows.h>

extern "C" __declspec(dllexport) void __cdecl MyDll(){
	MessageBox(NULL,TEXT("-MyDll-Test-"),TEXT("-MyDll-Test-"),MB_OK);
	return;
}

参考文章:https://payloads.online/archivers/2019-10-02/1

那么又有一个问题了,如果又作为一个加载恶意代码的导出函数效果又会怎么样呢???

posted @ 2020-03-07 19:36  zpchcbd  阅读(883)  评论(0编辑  收藏  举报