Bandizip自带的有签名程序RegDll64.exe可被用于加载任意DLL

xiaojiakeji

最近无意中发现了Bandizip自带的两个EXE。分享一下，提醒同样在用Bandizip的朋友注意一下。

现象
安装Bandizip后，在安装目录下的 data 文件夹里，有两个exe文件：   

RegDll.x64.exe   RegDll.x86.exe
直接双击这两个exe，会弹出命令行帮助窗口，显示支持的各种操作参数。

这两个exe都有一个共同特点：拥有Bandizip官方的有效数字签名。这意味着它们在被执行时，会被Windows和大多数安全软件视为可信程序。



帮助信息提示，RegDll64.exe支持的功能包括：注册DLL、卸载DLL、直接加载并调用指定DLL中的指定函数、添加或删除系统PATH、重启资源管理器。

其中最需要注意的是calldll这个功能，可以让这个有签名的exe加载任意DLL文件并执行其中的函数。

只需要一条命令行：

[PowerShell] 纯文本查看 复制代码

RegDll64.exe /calldll 任意DLL.dll 函数名

我写了一个DLL，测试结果如下：

结果DLL被成功加载，弹窗正常弹出。

这是典型的白加黑攻击：白文件是RegDll64.exe，有合法数字签名；黑DLL是攻击者准备的恶意DLL；执行方式是通过命令行让白文件加载黑DLL。

攻击者只需要一个BAT脚本，一个DLL就能在有签名掩护的情况下执行任意恶意代码。这种方式可以绕过部分依赖静态签名检测的安全软件。

另外几个接口也可能被滥用：addpath可以把恶意目录加到系统PATH中实现持久化；restartexplorer可以配合其他操作；regdll可以注册或卸载系统DLL。

总结：这不算传统意义上的CVE漏洞，但仍然有很高的安全风险



逆向分析(RegDll.x64.exe)：
获取进程完整命令行参数




解析命令行参数



解析失败弹使用说明



/calldll 部分



无任何校验，进入sub_140003528

sub_140003528直接调用LoadLibraryW加载DLL


附件(测试DLL)： 测试DLL.zip (132.56 KB, 下载次数: 9)

2026-6-7 04:57 上传

点击文件名下载附件
下载积分: 吾爱币 -1 CB

tjy

[C++] 纯文本查看 复制代码

#include <windows.h>

// DLL入口点
BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved) {
    switch (fdwReason) {
        case DLL_PROCESS_ATTACH:
            // 禁用线程通知，减少干扰
            DisableThreadLibraryCalls(hinstDLL);
            
            // 弹窗显示成功信息
            MessageBox(
				NULL,
				TEXT("DLL调用成功，是时候展现真正的技术啦~~"),
				TEXT("DLL Hijack Test"),
				MB_OK
			);
            break;
            
        case DLL_PROCESS_DETACH:
            // 可选：清理资源
            break;
    }
    return TRUE;
}

// 可选：添加一个导出函数，方便测试
__declspec(dllexport) void DummyFunction() {
    MessageBoxA(NULL, "导出函数被调用", "Test", MB_OK);
}

编译验证：
gcc -shared -o test.dll demo.c -luser32

tjy

好看的皮囊千篇一律，有趣的灵魂万里挑一。我只能说，楼主带我们体验了把黑\\\\产\\团\\\/伙的白加黑，不看广告看疗效，试了都说好。。卡巴斯基、火绒、冰盾全过了，无拦截。

一生一趟

说不定银狐就利用了这个

BrutusScipio

工具预期功能吧，PsExec 这一类也差不多都是可能类滥用