利用RunDLL32调用.NET Assembly技术详解<\/h1>

0x00 技术背景<\/h2>
随着安全防护技术的进步，Powershell环境变得越来越严格（由于AMSI、CLM和ScriptBlock日志记录），工具开发人员开始转向使用C#作为恶意软件和后渗透工具的开发语言。本文将详细介绍如何通过RunDLL32来启动.NET程序集(assembly)。<\/p>

0x01 技术原理<\/h2>
传统上，RunDLL32等工具需要DLL提供导出表信息来引用内部方法，而.NET类assembly通常不包含这些信息。通过特殊方法可以让.NET assembly也提供导出表，从而实现兼容。<\/p>

0x02 基础实现方法<\/h2>

方法一：手动修改IL代码<\/h3>

编写基础C#代码示例<\/strong>：<\/li> <\/ol>
namespace<\/span> Test { <\/span><\/span> public<\/span> class<\/span> TestClass<\/span> { <\/span><\/span> public<\/span> static<\/span> void<\/span> TestMethod() { <\/span><\/span> MessageBox.Show(".NET Assembly Running"<\/span>); <\/span><\/span> } <\/span><\/span> } <\/span><\/span>} <\/span><\/span><\/code><\/pre> 使用ildasm反编译为IL<\/strong>：<\/li> <\/ol> ildasm.exe \/out:TestUnmanaged.il TestUnmanaged.dll <\/code><\/pre> 修改IL代码添加导出标记<\/strong>：在方法定义前添加.export [1]<\/code>描述符：<\/li> <\/ol> .method public hidebysig static void TestMethod() cil managed { .export [1] \/\/ 方法实现 } <\/code><\/pre> 使用ilasm重新编译<\/strong>：<\/li> <\/ol> ilasm.exe TestUnmanaged.il \/DLL \/output=TestUnamanged.dll <\/code><\/pre> 验证方法<\/h3> 使用RunDLL32调用：<\/p> rundll32.exe TestUnmanaged.dll,TestMethod <\/code><\/pre> 0x03 高级实现方法<\/h2> 使用DllExport工具简化流程<\/h3> 安装DllExport<\/strong>：通过NuGet安装DllExport包，安装完成后删除NuGet包并运行DllExport_Configure.bat<\/code>进行配置。<\/p> <\/li> 代码修改<\/strong>：直接在方法上添加[DllExport]<\/code>属性：<\/p> <\/li> <\/ol> namespace<\/span> Test { <\/span><\/span> public<\/span> class<\/span> TestClass<\/span> { <\/span><\/span> [DllExport]<\/span> <\/span><\/span> public<\/span> static<\/span> void<\/span> TestMethod() { <\/span><\/span> MessageBox.Show(".NET Assembly Running"<\/span>); <\/span><\/span> } <\/span><\/span> } <\/span><\/span>} <\/span><\/span><\/code><\/pre> 项目设置<\/strong>：将输出类型改为"Class Library"。<\/li> <\/ol> 0x04 实际应用案例<\/h2> 以SafetyCatz工具为例的改造过程：<\/p> 修改入口点：<\/li> <\/ol> [DllExport]<\/span> <\/span><\/span>static<\/span> void<\/span> RunSafetyCatz() { <\/span><\/span> string<\/span>[] args; <\/span><\/span> if<\/span> (!IsHighIntegrity()) { <\/span><\/span> Console.WriteLine("\n[X] Not in high integrity, unable to grab a handle to lsass!\n"<\/span>); <\/span><\/span> } <\/span><\/span> \/\/ 其余代码...<\/span> <\/span><\/span>} <\/span><\/span><\/code><\/pre> 调用方式：<\/li> <\/ol> rundll32.exe SafetyCatz.dll,RunSafetyCatz <\/code><\/pre> 0x05 技术优势<\/h2> 绕过限制<\/strong>：可以在软件限制策略下隐蔽执行<\/li> 进程注入<\/strong>：可将.NET assembly远程注入到未加载CLR的进程(如iexplore.exe)<\/li> 兼容性<\/strong>：保留了.NET框架的全部功能<\/li> <\/ol> 0x06 注意事项<\/h2> 如需控制台输出，需添加Win32的AttachConsole(-1)<\/code>调用<\/li> 使用前需测试目标环境是否支持此技术<\/li> 某些安全产品可能会检测此类行为<\/li> <\/ol> 0x07 扩展应用<\/h2> 此技术还可用于：<\/p> 红队工具开发<\/li> 后渗透阶段的功能扩展<\/li> 绕过某些应用程序白名单限制<\/li> <\/ul> 通过这种方法，我们成功地将.NET assembly的执行能力扩展到了传统的非托管环境中，为安全研究和渗透测试提供了更多可能性。<\/p>

利用RunDLL32调用.NET Assembly技术详解<\/h1>

0x01 技术原理<\/h2> 传统上，RunDLL32等工具需要DLL提供导出表信息来引用内部方法，而.NET类assembly通常不包含这些信息。通过特殊方法可以让.NET assembly也提供导出表，从而实现兼容。<\/p>

0x02 基础实现方法<\/h2>

0x03 高级实现方法<\/h2>

0x01 技术原理<\/h2>
传统上，RunDLL32等工具需要DLL提供导出表信息来引用内部方法，而.NET类assembly通常不包含这些信息。通过特殊方法可以让.NET assembly也提供导出表，从而实现兼容。<\/p>