今天看了两篇关于Rundll32
的文章 发现Rundll32还可以调用DLL自定义导出函数
比如:你自己写了一个dll文件,里面有导出函数,那么在Rundll32上面就可以进行该dll函数的调用,比如下面:
Rundll32调用 DLL自定义导出函数格式:
例如:rundll32.exe "dllName.dll",RundllFuncExample TestRun
命令参数:
dllName.dll
:需要调用的DLL(需加引号)
RundllFuncExample
:DLL中导出的函数名,在调用的DLL之后,需加","分隔
TestRun
:向导出函数传参数,在导出函数名后面加"空格" 传入,在DLL中参数lpszCmdLine中获取
rundll32在64位系统中所在的位置及调用DLL位数:
调用的是64位DLL
c:windowssystem32
undll32.exe
调用的是32位DLL
c:windowsSysWOW64
undll32.exe
先讲下用Rundll32运行加载dll的好处有:当执行DLL文件中的内部函数,这样在进程当中,也只会有Rundll32.exe,而不会有DLL后门的进程,这样也就能够实现了进程上的隐藏。
还有需要注意的是:并不是只要是DLL中声明为导出函数的函数都可以通过Rundll32就可以进行调用,还需要被申明的导出函数的调用约定是__cdecl才可以,因为默认的导出函数的调用约定都是__stdcall
#include<Windows.h>
extern "C" __declspec(dllexport) void __cdecl MyDll(){
MessageBox(NULL,TEXT("-MyDll-Test-"),TEXT("-MyDll-Test-"),MB_OK);
return;
}
参考文章:https://payloads.online/archivers/2019-10-02/1
那么又有一个问题了,如果又作为一个加载恶意代码的导出函数效果又会怎么样呢???