Bandizip自带的有签名程序RegDll64.exe可被用于加载任意DLL

xiaojiakeji

最近无意中发现了Bandizip自带的两个EXE。分享一下，提醒同样在用Bandizip的朋友注意一下。

现象
安装Bandizip后，在安装目录下的 data 文件夹里，有两个exe文件：   

RegDll.x64.exe   RegDll.x86.exe
直接双击这两个exe，会弹出命令行帮助窗口，显示支持的各种操作参数。

这两个exe都有一个共同特点：拥有Bandizip官方的有效数字签名。这意味着它们在被执行时，会被Windows和大多数安全软件视为可信程序。



帮助信息提示，RegDll64.exe支持的功能包括：注册DLL、卸载DLL、直接加载并调用指定DLL中的指定函数、添加或删除系统PATH、重启资源管理器。

其中最需要注意的是calldll这个功能，可以让这个有签名的exe加载任意DLL文件并执行其中的函数。

只需要一条命令行：

[PowerShell] 纯文本查看 复制代码

RegDll64.exe /calldll 任意DLL.dll 函数名

我写了一个DLL，测试结果如下：

结果DLL被成功加载，弹窗正常弹出。

这是典型的白加黑攻击：白文件是RegDll64.exe，有合法数字签名；黑DLL是攻击者准备的恶意DLL；执行方式是通过命令行让白文件加载黑DLL。

攻击者只需要一个BAT脚本，一个DLL就能在有签名掩护的情况下执行任意恶意代码。这种方式可以绕过部分依赖静态签名检测的安全软件。

另外几个接口也可能被滥用：addpath可以把恶意目录加到系统PATH中实现持久化；restartexplorer可以配合其他操作；regdll可以注册或卸载系统DLL。

总结：这不算传统意义上的CVE漏洞，但仍然有很高的安全风险



逆向分析(RegDll.x64.exe)：
获取进程完整命令行参数




解析命令行参数



解析失败弹使用说明



/calldll 部分



无任何校验，进入sub_140003528

sub_140003528直接调用LoadLibraryW加载DLL


官方回信(@AI-Compare )：

官方回信，关于安全反馈的原文以及豆包信达雅版
感谢卡饭帮帮团 （123456aaaafsdeg）协助，致谢

Hello. This is Bandisoft.

* Windows already includes tools such as regsvr32.exe that can load and invoke DLL functions. Therefore, the ability of RegDll.x64.exe to call a DLL function is not considered a security vulnerability.

* Windows also provides utilities such as setx.exe that can modify the PATH environment variable. Therefore, the addpath feature of RegDll.x64.exe is not considered a security vulnerability either.

If an attacker is already able to execute arbitrary scripts or commands on a remote system, there are many built-in Windows tools that provide capabilities equal to or greater than those offered by RegDll.x64.exe.

For these reasons, we do not consider the reported behavior to be a security issue.

Best regards,
Park, KH

您好，这里是班迪软件（Bandisoft）公司

Windows 系统本身已内置 regsvr32.exe 等工具，可加载并调用动态链接库（DLL）函数。因此，RegDll.x64.exe 具备调用 DLL 函数的能力，不被视为安全漏洞

Windows 系统同样提供了 setx.exe 等实用程序，可用于修改 PATH 环境变量。因此，RegDll.x64.exe 的添加路径（addpath）功能，也不被视为安全漏洞

若攻击者已能够在远程系统上执行任意脚本或命令，那么 Windows 系统中存在大量内置工具，其功能与 RegDll.x64.exe 相当甚至更强。

基于上述原因，我方不认为贵方所报告的行为属于安全问题。

此致
敬礼
朴康昊（Park, KH）

附件(测试DLL)： 测试DLL.zip (132.56 KB, 下载次数: 41)

2026-6-7 04:57 上传

点击文件名下载附件

tjy

好看的皮囊千篇一律，有趣的灵魂万里挑一。我只能说，楼主带我们体验了把黑\\\\产\\团\\\/伙的白加黑，不看广告看疗效，试了都说好。。卡巴斯基、火绒、冰盾全过了，无拦截。

Caraciold_Jr

EXE是签名的问题是这个dll，它是未签名的，杀毒软件不扫DLL模块吗，我感觉这类签名文件加载第三方dll有很多。。。至于杀毒没报毒感觉应该是你测试的dll它没啥危险代码吧

logafo

感觉是这个软件公司专门为偷偷安装自己软件准备的

YukiSakura

问了Codex，它认为贴主夸大了漏洞危害，事实上大多数杀毒软件是会验证你注册的DLL内容的

tjy

[C++] 纯文本查看 复制代码

#include <windows.h>

// DLL入口点
BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved) {
    switch (fdwReason) {
        case DLL_PROCESS_ATTACH:
            // 禁用线程通知，减少干扰
            DisableThreadLibraryCalls(hinstDLL);
            
            // 弹窗显示成功信息
            MessageBox(
				NULL,
				TEXT("DLL调用成功，是时候展现真正的技术啦~~"),
				TEXT("DLL Hijack Test"),
				MB_OK
			);
            break;
            
        case DLL_PROCESS_DETACH:
            // 可选：清理资源
            break;
    }
    return TRUE;
}

// 可选：添加一个导出函数，方便测试
__declspec(dllexport) void DummyFunction() {
    MessageBoxA(NULL, "导出函数被调用", "Test", MB_OK);
}

编译验证：
gcc -shared -o test.dll demo.c -luser32

AI-Compare

官方回信，关于安全反馈的原文以及豆包信达雅版
感谢卡饭帮帮团 （123456aaaafsdeg）协助，致谢

Hello. This is Bandisoft.

* Windows already includes tools such as regsvr32.exe that can load and invoke DLL functions. Therefore, the ability of RegDll.x64.exe to call a DLL function is not considered a security vulnerability.

* Windows also provides utilities such as setx.exe that can modify the PATH environment variable. Therefore, the addpath feature of RegDll.x64.exe is not considered a security vulnerability either.

If an attacker is already able to execute arbitrary scripts or commands on a remote system, there are many built-in Windows tools that provide capabilities equal to or greater than those offered by RegDll.x64.exe.

For these reasons, we do not consider the reported behavior to be a security issue.

Best regards,
Park, KH

您好，这里是班迪软件（Bandisoft）公司

Windows 系统本身已内置 regsvr32.exe 等工具，可加载并调用动态链接库（DLL）函数。因此，RegDll.x64.exe 具备调用 DLL 函数的能力，不被视为安全漏洞

Windows 系统同样提供了 setx.exe 等实用程序，可用于修改 PATH 环境变量。因此，RegDll.x64.exe 的添加路径（addpath）功能，也不被视为安全漏洞

若攻击者已能够在远程系统上执行任意脚本或命令，那么 Windows 系统中存在大量内置工具，其功能与 RegDll.x64.exe 相当甚至更强。

基于上述原因，我方不认为贵方所报告的行为属于安全问题。

此致
敬礼
朴康昊（Park, KH）

跌宕起伏

好像加载辅助DLL可以试试  

一生一趟

说不定银狐就利用了这个

BrutusScipio

工具预期功能吧，PsExec 这一类也差不多都是可能类滥用

homehome

这就下载BANDIZIP，把这两个重要文件保留一下

AI-Compare

Caraciold_Jr 发表于 2026-6-7 11:54
EXE是签名的问题是这个dll，它是未签名的，杀毒软件不扫DLL模块吗

目前最新版和测试版  相关 dll 均已数字签名，时间戳 2023 年
是不是找错位置了？如果指白加黑的黑，那得看具体杀毒情况

问题程序路径
\data\RegDll.a64.exe　　　测试版暂时独占
\data\RegDll.x64.exe　　　目前最新正式版
\data\RegDll.x86.exe　　　目前最新正式版

组件
Bandisoft International Inc.
2023 年 09 月 22 日，15 点 28 分 37 秒
Sectigo Public Code Signing CA R36 签发
SHA1 和 SHA256 摘要算法，RSA 摘要加密算法
证书序列号：45 2d ba a0 52 13 f6 ea e3 56 65 03 d3 5c 05 ad

Caraciold_Jr

AI-Compare 发表于 2026-6-7 12:01
目前最新版和测试版  相关 dll 均已数字签名，时间戳 2023 年
是不是找错位置了？如果指白加黑的黑，那 ...

嗯，我是说加载的黑dll，看上面哥们说卡巴斯基、火绒、冰盾全过了，无拦截。本来是回复他的忘记选他了

AI-Compare

Caraciold_Jr 发表于 2026-6-7 12:10
嗯，我是说加载的黑dll，看上面哥们说卡巴斯基、火绒、冰盾全过了，无拦截。本来是回复他的忘记 ...

最近火绒案例（这是驱动级，本帖是白签程序）
https://www.52pojie.cn/thread-2110223-1-1.html

其实不难理解，因为可以通过白完整获取到指定信息
例如补丁安装到多少之类，这些操作正常但又不正常

再针对下毒或生成式下毒，文件窃密，社工攻击是最基本的了
简单情况的重写文件头形成类勒索恐吓用户，只要信息足够多