Bandizip自带的有签名程序RegDll64.exe可被用于加载任意DLL

xiaojiakeji

最近无意中发现了Bandizip自带的两个EXE。分享一下，提醒同样在用Bandizip的朋友注意一下。

现象
安装Bandizip后，在安装目录下的 data 文件夹里，有两个exe文件：   RegDll.x64.exe   RegDll.x86.exe直接双击这两个exe，会弹出命令行帮助窗口，显示支持的各种操作参数。

这两个exe都有一个共同特点：拥有Bandizip官方的有效数字签名。这意味着它们在被执行时，会被Windows和大多数安全软件视为可信程序。 帮助信息提示，RegDll64.exe支持的功能包括：注册DLL、卸载DLL、直接加载并调用指定DLL中的指定函数、添加或删除系统PATH、重启资源管理器。其中最需要注意的是calldll这个功能，可以让这个有签名的exe加载任意DLL文件并执行其中的函数。只需要一条命令行：

[PowerShell] 纯文本查看 复制代码

RegDll64.exe /calldll 任意DLL.dll 函数名

我写了一个DLL，测试结果如下： 结果DLL被成功加载，弹窗正常弹出。这是典型的白加黑攻击：白文件是RegDll64.exe，有合法数字签名；黑DLL是攻击者准备的恶意DLL；执行方式是通过命令行让白文件加载黑DLL。攻击者只需要一个BAT脚本，一个DLL就能在有签名掩护的情况下执行任意恶意代码。这种方式可以绕过部分依赖静态签名检测的安全软件。另外几个接口也可能被滥用：addpath可以把恶意目录加到系统PATH中实现持久化；restartexplorer可以配合其他操作；regdll可以注册或卸载系统DLL。
总结：这不算传统意义上的CVE漏洞，但仍然有很高的安全风险
逆向分析(RegDll.x64.exe)：获取进程完整命令行参数
解析命令行参数
解析失败弹使用说明
/calldll 部分

无任何校验，进入sub_14000352 sub_14000352直接调用LoadLibraryW加载DLL
附件(测试DLL)： 测试DLL.zip (132.56 KB, 下载次数: 0)

2026-6-7 04:57 上传

点击文件名下载附件
下载积分: 吾爱币 -1 CB