2026-06-11 04:40:37 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 知名压缩管理器Bandizip自带的签名工具regdll存在白加黑滥用风险，该工具因具有官方数字签名可被安全软件信任，但缺乏对加载DLL文件的路径、签名或白名单校验，攻击者可利用其加载任意恶意DLL绕过检测。风险对个人用户为中低级别，企业环境因可能用于横向移动或持久化而风险中等。建议用户不运行来源不明文件、更新软件，企业应监控regdll行为并部署EDR，官方应添加校验机制或移除危险参数。 综合评分： 90 文章分类： 恶意软件,终端安全,应用安全,漏洞分析,安全运营

cover_image

压缩管理器Bandizip自带签名工具存在白加黑滥用风险

河北镌远河北镌远

河北镌远网络科技有限公司

2026年6月10日 15:30 河北

在小说阅读器读本章

去阅读

近日，知名压缩管理器Bandizip自带的签名工具存在“白加黑”滥用风险，可被用于加载任意DLL文件。这一发现引发安全社区关注，可能影响大量Bandizip用户的终端安全。

缺陷详情：缺乏必要的路径/白名单/签名校验

Bandizip安装后会在安装目录里释放名为RegDll.x64.exe和RegDll.x86.exe的可执行程序。这两个文件本身带有班迪软件（Bandisoft）的官方数字签名，正常情况下会被安全软件视为可信程序直接放行。

RegDll支持的功能包括：注册DLL、卸载DLL、直接加载并指定DLL中的指定函数、添加或删除系统PATH环境变量、重启资源管理器。关键问题在于，RegDll在执行这些操作时，不会检测路径，不会校验调用文件的数字签名，也没有白名单机制，并且会直接通过LoadLibraryW加载任意DLL文件。这意味着，攻击者可以利用该工具加载任何恶意DLL，而安全软件因信任Bandizip的签名，可能不会拦截这一行为。

攻击场景：二阶段调用，辅助绕过安全检测

该问题属于典型的“白加黑”攻击模式——利用带有合法签名的可信程序（白文件）去加载带有恶意功能的DLL（黑文件），从而绕过安全软件的进程行为检测。

具体到Bandizip，RegDll扮演了完美的“白文件”跳板角色。攻击场景通常是二阶段调用：攻击者首先通过钓鱼邮件、漏洞利用等方式将初始攻击载荷（如BAT、EXE或DLL文件）落地到目标系统，然后调用RegDll加载这些恶意载荷。由于RegDll拥有有效数字签名，加载过程很可能被Microsoft Defender或其他安全软件放行，从而帮助黑客激活后门程序。

风险分级：个人用户中低风险，企业环境中等风险

RegDll本身使用当前进程权限发起调用，被触发的攻击载荷也只能继承当前进程权限。因此，直接使用RegDll既不能发起远程代码执行，也不能用于提权或高完整性运行。

综合来看，对个人用户而言，该风险属于中低级别；对企业环境而言，由于攻击者可能利用它进行横向移动或持久化，风险等级为中等。但需要强调的是，任何安全缺陷在实际攻击链中都可能被放大，尤其是Bandizip作为广泛使用的压缩工具，可能成为APT组织的研究目标。

防御建议与解决方案

目前尚不清楚该缺陷是否已上报给班迪软件官方。在官方发布修复版本之前，建议用户和IT管理员采取以下措施：

1. 个人用户应提高警惕，不轻易运行来源不明的BAT、EXE或DLL文件，定期更新Bandizip至最新版本，并保持安全软件正常开启。

2. 企业IT管理员应对Bandizip实施必要的权限控制，在终端安全策略中对RegDll等特定可执行文件进行监控，检测是否存在非正常的DLL加载行为。建议部署端点检测与响应（EDR）方案，建立对DLL侧加载攻击的主动防御能力。

3. 班迪软件官方应考虑为RegDll添加校验机制，例如：只允许调用具有合法签名的DLL、只允许调用Bandizip安装目录内具有班迪签名的DLL，或移除公开命令行中的/calldll参数，并增加交互式确认或管理员权限限制。

免责声明：因传播、利用本公众号“河北镌远网络科技有限公司”所提供信息而产生的任何直接或间接后果及损失，均由使用者本人自行承担，本公众号及作者不承担任何责任。本公众号所发表内容中，凡注明来源的，版权归原出处所有；无法查证版权或未注明出处的，均来自网络并系转载，转载旨在传递更多信息，版权归原作者所有。若存在侵权情况，请联系小编，我们将第一时间删除处理。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：河北镌远网络科技有限公司河北镌远河北镌远《压缩管理器Bandizip自带签名工具存在白加黑滥用风险》