当前位置：首页 > news >正文

PowerShdll源码深度分析：从DLL导出到控制台劫持的完整实现原理

news 2026/6/5 11:05:07

PowerShdll源码深度分析：从DLL导出到控制台劫持的完整实现原理

【免费下载链接】PowerShdllRun PowerShell with rundll32. Bypass software restrictions.项目地址: https://gitcode.com/gh_mirrors/po/PowerShdll

PowerShdll是一个创新的PowerShell绕过工具，它允许用户在不直接调用powershell.exe的情况下运行PowerShell脚本。这个安全研究工具通过DLL文件实现PowerShell功能，能够绕过多种软件限制和应用程序白名单策略。在前100字的介绍中，我们已经提到了PowerShdll的核心功能：通过DLL运行PowerShell并绕过软件限制。本文将深入解析PowerShdll的源码实现原理，从DLL导出函数到控制台劫持的完整技术栈。

🔍 PowerShdll项目概述

PowerShdll是一个专门为安全研究人员和渗透测试人员设计的工具，其主要目标是在受限制的环境中执行PowerShell命令。与传统的PowerShell执行方式不同，PowerShdll不依赖powershell.exe可执行文件，而是直接调用PowerShell自动化DLL，实现了软件限制绕过和应用程序控制规避。

📁 项目结构解析

项目包含两个主要组件：

DLL模式(dll/目录) - 核心实现，支持多种加载方式
EXE模式(exe/目录) - 独立可执行文件版本

关键文件路径：

核心逻辑实现：dll/Common.cs
DLL入口点：dll/Program.cs
EXE入口点：exe/Program.cs

🛠️ DLL导出函数的巧妙设计

PowerShdll的DLL模式是其最精妙的部分。通过精心设计的DLL导出函数，它可以被多种系统工具加载执行：

主要导出函数

在dll/Program.cs中，定义了三个关键的导出函数：

[DllExport("main", CallingConvention = CallingConvention.Cdecl)] public static void main(IntPtr hwnd, IntPtr hinst, string lpszCmdLine, int nCmdShow) [DllExport("DllRegisterServer", CallingConvention = CallingConvention.StdCall)] public static void DllRegisterServer() [DllExport("DllUnregisterServer", CallingConvention = CallingConvention.StdCall)] public static void DllUnregisterServer()

多加载方式支持

这种设计使得PowerShdll.dll可以通过以下方式加载：

rundll32.exe- 最常用的加载方式
```
rundll32 PowerShdll,main <script>
```

installutil.exe- .NET安装工具

installutil.exe /logfile= /LogToConsole=false /U PowerShdll.dll

regsvcs.exe- COM+服务注册工具
```
regsvcs.exe PowerShdll.dll
```
regasm.exe- .NET程序集注册工具
```
regasm.exe /U PowerShdll.dll
```
regsvr32.exe- DLL注册工具
```
regsvr32 /s PowerShdll.dll
```

🎯 控制台劫持技术深度解析

PowerShdll的核心技术之一是控制台劫持，这使得它能够在父进程的控制台中输出结果，实现无缝交互。

控制台管理类

在dll/Common.cs中，PSConsole类实现了控制台管理功能：

static class PSConsole { [DllImport("kernel32.dll", EntryPoint = "GetStdHandle", ...)] private static extern IntPtr GetStdHandle(int nStdHandle); [DllImport("kernel32.dll", EntryPoint = "AllocConsole", ...)] private static extern int AllocConsole(); [DllImport("kernel32", SetLastError = true)] static extern bool AttachConsole(uint dwProcessId); }

两种控制台获取方式

创建新控制台(getNewConsole方法)
- 使用AllocConsole()API创建全新的控制台窗口
- 适用于rundll32等没有控制台的父进程
劫持现有控制台(stealConsole方法)
- 使用AttachConsole()API附加到父进程的控制台
- 获取父进程的标准输出句柄
- 重定向输出到当前进程

进程挂起与恢复机制

PowerShdll在交互模式下会挂起父进程，防止控制台冲突：

pp = Process.GetCurrentProcess().Parent(); pp.Suspend(); // 挂起父进程 PSConsole.stealConsole(pp); // 劫持控制台 // ... 执行PowerShell命令 ... pp.Resume(); // 恢复父进程

🔧 PowerShell执行引擎实现

PowerShdll的PowerShell执行引擎封装在PS类中，位于dll/Common.cs：

初始化PowerShell运行空间

public class PS { Runspace runspace; Pipeline pipeline; public PS() { runspace = RunspaceFactory.CreateRunspace(); runspace.Open(); pipeline = runspace.CreatePipeline(); } }

命令执行流程

创建运行空间- 建立PowerShell执行环境
构建管道- 设置命令执行管道
添加命令- 将用户输入的命令添加到管道
执行并获取结果- 异步执行并捕获输出
错误处理- 捕获并处理执行错误

🚀 启动流程与参数解析

PowerShdll的启动逻辑在PowerShdll类的start方法中实现，支持多种运行模式：

参数解析逻辑

public void start(string[] args) { // 支持的模式： // -h: 显示帮助信息 // -w: 在新窗口中启动交互式控制台（默认） // -i: 在当前控制台中启动交互式控制台 // -f <path>: 运行指定文件中的脚本 // -n: 不显示输出（用于无控制台环境） }

交互模式实现

交互模式允许用户像使用普通PowerShell一样输入命令：

public void interact() { while (true) { Console.Write("PS>"); string cmd = Console.ReadLine(); if (cmd == "exit") break; Console.Write(ps.exe(cmd)); } }

🛡️ 安全特性与绕过机制

PowerShdll的设计包含多个安全绕过特性：

1. 无文件执行

不需要powershell.exe文件
直接使用PowerShell自动化DLL
绕过基于文件路径的检测

2. 进程继承

继承父进程的安全上下文
在受信任的进程（如rundll32）中运行
绕过进程白名单

3. 内存执行

脚本可以在内存中执行
减少磁盘痕迹
支持Base64编码的脚本

4. 多种加载方式

提供5种不同的DLL加载方法
增加检测难度
适应不同的环境限制

📊 技术架构对比

特性	传统PowerShell	PowerShdll
执行方式	powershell.exe	DLL加载
检测难度	高	低
依赖项	PowerShell可执行文件	PowerShell自动化DLL
加载方式	单一	5种不同方式
控制台输出	直接输出	控制台劫持
适用场景	普通环境	受限环境