Rundll32

今天看了两篇关于Rundll32的文章 发现Rundll32还可以调用DLL自定义导出函数

比如：你自己写了一个dll文件，里面有导出函数，那么在Rundll32上面就可以进行该dll函数的调用，比如下面：

Rundll32调用 DLL自定义导出函数格式：

例如：rundll32.exe "dllName.dll",RundllFuncExample TestRun

命令参数：

dllName.dll：需要调用的DLL（需加引号）

RundllFuncExample：DLL中导出的函数名，在调用的DLL之后，需加","分隔

TestRun：向导出函数传参数，在导出函数名后面加"空格"　传入，在DLL中参数lpszCmdLine中获取

rundll32在64位系统中所在的位置及调用DLL位数：

调用的是64位DLL
c:\windows\system32\rundll32.exe

调用的是32位DLL
c:\windows\SysWOW64\rundll32.exe

---

先讲下用Rundll32运行加载dll的好处有：当执行DLL文件中的内部函数，这样在进程当中，也只会有Rundll32.exe，而不会有DLL后门的进程，这样也就能够实现了进程上的隐藏。

还有需要注意的是：并不是只要是DLL中声明为导出函数的函数都可以通过Rundll32就可以进行调用，还需要被申明的导出函数的调用约定是__cdecl才可以，因为默认的导出函数的调用约定都是__stdcall

#include<Windows.h>
 
extern "C" __declspec(dllexport) void __cdecl MyDll(){
	MessageBox(NULL,TEXT("-MyDll-Test-"),TEXT("-MyDll-Test-"),MB_OK);
	return;
}

参考文章：https://payloads.online/archivers/2019-10-02/1

那么又有一个问题了，如果又作为一个加载恶意代码的导出函数效果又会怎么样呢？？？