无忧启动论坛

标题: PECMD.INI CMPS/CMPA 加密破解方法 [打印本页]

作者: liberize    时间: 2015-10-15 23:41
标题: PECMD.INI CMPS/CMPA 加密破解方法
本帖最后由 liberize 于 2015-10-18 02:22 编辑

前言:

最近在找一个好用的 PE,找到了阿弥陀佛的 Win7PE,符合我的需求,然而当我想定制一下的时候,却发现里面的 INI 脚本做了加密。
发信请求解密,没有得到回复,于是自己写了个小工具,解出了其中的 INI 脚本。

原理:

已开源在 GitHub:https://github.com/liberize/pecmd-decrypt,其实没有几行代码。

其实准确说“解密”无关,目前之所以没有破解只是因为算法没公开,我也没有去研究它的算法,
反正不管怎样,最后肯定要解出来才能执行,所以我在执行的地方替换了它调用的系统 API,从 API 参数里面拿到了解出来的脚本。

鉴于 mdyblog 已经做出了反应,相信他已经知道我 hook 的是哪个 API,没错,就是 MultiByteToWideChar。
pecmd 执行每一行的时候会将其转为 unicode 编码,便会调用上面的 api,过滤一下就可以得到原始内容。

理论上此方法适用于使用所有加密方式加密的 ini,不限于 CMPS/CMPA。

用什么版本的 pecmd.exe 其实无所谓,但是最近的 m 版 pecmd,启动时会执行一个内置脚本,这个脚本的内容也会出现在生成的 ini 文件中,
为了避免混在一起无法区分,请使用不会执行内置脚本的 pecmd,谁有的话欢迎提供(我就不传了,附件只能传 500k)。
判断方法:用一个没有加密的脚本去跑,如果解出来是一样的,那么就不会执行内置脚本。

步骤:

本人比较懒,所以直接发布简陋的命令行工具,没有做成 GUI 工具。以下步骤在 PE 下进行。

1. 先得到加密的 pecmd.ini,如果内置于 pecmd.exe,请用 res hacker 提取
2. 找一个不会执行内置脚本的 pecmd.exe,32/64 位其实无所谓,只要 PE 能运行就可以
3. 下载附件,使用与 pecmd.exe 对应的版本,比如 pecmd.exe 是 64 位的就使用 x64 文件夹中的版本
4. 将 1、2 里面的 pecmd.exe 和 pecmd.ini 放在 x86/x64 这个目录下
5. 打开终端,运行 DetourHook.exe "pecmd.exe pecmd.ini" DetourHookDll.dll
6. 在当前目录生成 original.ini,便是解密后的 pecmd.ini



工具:

10-16 更新: 修复了乱码等若干 bug,生成的原始 ini 更加准确

http://pan.baidu.com/s/1hquEuv6 密码:hnjw

QQ截图20151015233241.png (79.17 KB, 下载次数: 523)

QQ截图20151015233241.png

作者: 2012hzy6420    时间: 2015-10-15 23:42
xxfx谢谢分享
作者: 赤木刚宪    时间: 2015-10-16 00:03
LZ是通过日志判断?貌似不科学,对新版PECMD也无效
作者: 阿弥陀佛    时间: 2015-10-16 00:11
牛!我的PE被拿来开刀了。还好没有恶意代码
软件先收藏!
作者: 阿弥陀佛    时间: 2015-10-16 00:14
赤木刚宪 发表于 2015-10-16 00:03
LZ是通过日志判断?貌似不科学,对新版PECMD也无效

应该不是通过日志啊。软件还没测试,但是看截图跟我写的配置一样一样滴。牛逼!m大要哭了
作者: liberize    时间: 2015-10-16 00:17
赤木刚宪 发表于 2015-10-16 00:03
LZ是通过日志判断?貌似不科学,对新版PECMD也无效

其实准确说“解密”无关,目前之所以没有破解只是因为算法没公开,我也没有去研究它的算法,反正不管怎样,最后肯定要解出来才能执行,所以我在执行的地方替换了它调用的系统 API,从参数里面拿到了解出来的脚本。
作者: liberize    时间: 2015-10-16 00:19
阿弥陀佛 发表于 2015-10-16 00:11
牛!我的PE被拿来开刀了。还好没有恶意代码
软件先收藏!


作者: xzf680    时间: 2015-10-16 00:20
感谢分享,辛苦了
作者: 1400700226    时间: 2015-10-16 00:23
阿弥陀佛 发表于 2015-10-16 00:11
牛!我的PE被拿来开刀了。还好没有恶意代码
软件先收藏!

哈哈,不知道大神为啥要加密?这样不是无忧风格啊。。。。。。
作者: 阿弥陀佛    时间: 2015-10-16 00:24
liberize 发表于 2015-10-16 00:17
其实准确说“解密”无关,目前之所以没有破解只是因为算法没公开,我也没有去研究它的算法,反正不管怎样 ...

要是这样的话,那就算整个pecmd.exe压缩加壳,应该也可以拿到脚本吧
作者: liberize    时间: 2015-10-16 00:30
阿弥陀佛 发表于 2015-10-16 00:24
要是这样的话,那就算整个pecmd.exe压缩加壳,应该也可以拿到脚本吧

是的,不过其实这个破解的方法封住也不难
作者: 阿弥陀佛    时间: 2015-10-16 00:30
1400700226 发表于 2015-10-16 00:23
哈哈,不知道大神为啥要加密?这样不是无忧风格啊。。。。。。

这个么,在做这个win7PE之前我也从来不加密。但是无忧不是有段时间被某些人搅浑了。还有人就拿别人的pe随便改点皮毛就吹得天花乱坠。某些臭名昭著的个人或网站,甚至加了恶意软件。。。。我想有点水平的人配置文件完全可以自己写。这也是一种学习啊。而且我的pe也留了pecmd.ini最为diy的接口。
作者: liberize    时间: 2015-10-16 00:35
阿弥陀佛 发表于 2015-10-16 00:30
这个么,在做这个win7PE之前我也从来不加密。但是无忧不是有段时间被某些人搅浑了。还有人就拿别人的pe随 ...

其实我只是想把世界之窗换成比较小的 opera,虽说直接删掉世界之窗的文件就可以了,可是我有比较严重的洁癖 + 强迫症,不把世界之窗的代码删掉就浑身不爽,所以。。。
作者: 阿弥陀佛    时间: 2015-10-16 00:39
liberize 发表于 2015-10-16 00:30
是的,不过其实这个破解的方法封住也不难

那个7pe还有些问题。dism好像不完整。可能因为我添加的驱动不适合,有些人反应找不到磁盘。还有一个U盘不能自动分配盘符,这个只要kill explorer就行了,这句忘了。配置文件后面那段代码就是定时检测插入新磁盘就自动kill explorer的。本来想等问题多一点再作更新的。
如果你需要,我再传一个没有软件没有集成驱动的版本。
作者: 阿弥陀佛    时间: 2015-10-16 00:57
渣网速。上传限制得只有500kb/s。。传完了
链接: http://pan.baidu.com/s/1ntnI88T 密码: mmnq
作者: gylgw    时间: 2015-10-16 06:28
本帖最后由 gylgw 于 2015-10-16 06:59 编辑

这个比较牛啊,谢谢楼主分享。

但是好像对我现在所用的PE解密不了,解出来是乱码。而且在RH中怎么判断哪个是PECMD呢?

sshot-1.png (52.16 KB, 下载次数: 489)

和你一样位置没有内容

和你一样位置没有内容

sshot-2.png (79.52 KB, 下载次数: 460)

sshot-2.png

sshot-3.png (35.73 KB, 下载次数: 482)

sshot-3.png

作者: tegl    时间: 2015-10-16 07:12
厉害,感谢分享宝贵经验
作者: chiannet    时间: 2015-10-16 07:41
liberize 发表于 2015-10-16 00:17
其实准确说“解密”无关,目前之所以没有破解只是因为算法没公开,我也没有去研究它的算法,反正不管怎样 ...

又一牛人。
作者: 赤木刚宪    时间: 2015-10-16 07:49
chiannet 发表于 2015-10-16 07:41
又一牛人。

我测试解密失败哦
作者: notepad    时间: 2015-10-16 08:19
给加密的脚本解密成功,感谢分享!
作者: skype2015    时间: 2015-10-16 08:30
感谢分享
作者: chiannet    时间: 2015-10-16 09:12
赤木刚宪 发表于 2015-10-16 07:49
我测试解密失败哦

我测试成功了
作者: bowpot    时间: 2015-10-16 09:46
不学习就跟不上了
作者: 2012jc天马行空    时间: 2015-10-16 10:45
chiannet 发表于 2015-10-16 09:12
我测试成功了

同样成功
作者: liberize    时间: 2015-10-16 10:58
chiannet 发表于 2015-10-16 09:12
我测试成功了

不能解的请贴上你们的 PECMD.EXE,我看一下
作者: liberize    时间: 2015-10-16 11:00
gylgw 发表于 2015-10-16 06:28
这个比较牛啊,谢谢楼主分享。

但是好像对我现在所用的PE解密不了,解出来是乱码。而且在RH中怎么判断哪 ...

你找的第二张图这个就是啊,一般比较大的资源,并且在开始有 CMPA 字样应该就是了
第三张图似乎只有注释乱码?也许原来的脚本就是这样子的
作者: liberize    时间: 2015-10-16 11:03
赤木刚宪 发表于 2015-10-16 07:49
我测试解密失败哦

不能解的请贴上你们的 PECMD.EXE,我看一下
作者: 青青草    时间: 2015-10-16 11:09
本帖最后由 青青草 于 2015-10-17 00:17 编辑
liberize 发表于 2015-10-16 11:03
不能解的请贴上你们的 PECMD.EXE,我看一下


麻烦您帮忙看一下,谢谢了!

PECMD.rar

691.97 KB, 下载次数: 123, 下载积分: 无忧币 -2

PECMDini.rar

10.28 KB, 下载次数: 66, 下载积分: 无忧币 -2


作者: liberize    时间: 2015-10-16 11:12
青青草 发表于 2015-10-16 11:09
麻烦您帮忙看一下,谢谢了!

你这个 PECMD 有点丧心病狂啊,资源里面放满了脚本,有加密的也有没加密的
作者: 青青草    时间: 2015-10-16 11:15
liberize 发表于 2015-10-16 11:12
你这个 PECMD 有点丧心病狂啊,资源里面放满了脚本,有加密的也有没加密的

呵呵,难怪找不到。谢谢了!
作者: gylgw    时间: 2015-10-16 11:20
我使用的PECMD.EXE和PECMD.INI,还有一个是三卡加载INI

PECMD.part1.rar

490 KB, 下载次数: 83, 下载积分: 无忧币 -2

PECMD.part2.rar

275.57 KB, 下载次数: 73, 下载积分: 无忧币 -2


作者: liberize    时间: 2015-10-16 11:20
青青草 发表于 2015-10-16 11:09
麻烦您帮忙看一下,谢谢了!

我看了,有一些乱码,还有一些内容不对,我再看一下
作者: 青青草    时间: 2015-10-16 11:29
liberize 发表于 2015-10-16 11:20
我看了,有一些乱码,还有一些内容不对,我再看一下

再次谢谢了!
作者: lbw2007    时间: 2015-10-16 13:05
不明觉厉……
说白了就是绕过加密了是吗。支持分享!
作者: 糊涂    时间: 2015-10-16 13:45
我就说嘛,有矛就有盾,只是时间问题,用不了多久,“一键式”明文程序就会出来!
作者: gylgw    时间: 2015-10-16 15:23
liberize 发表于 2015-10-16 11:03
不能解的请贴上你们的 PECMD.EXE,我看一下

麻烦帮我的看一下可以吗?在31楼,谢谢
作者: feng-aa    时间: 2015-10-16 16:16
是我不会用吗,没有成功,
菜鸟不懂 (1. 用 res hacker 提取 pecmd.exe 中加密的 ini 文件,保存到文件,比如 201)这个干嘛用
保存到什么后缀文件呢,这一步是不是看ini在那里啊
是不是直接下面的就可以啦
2. 下载附件,使用与 pecmd.exe 对应的版本,比如 pecmd.exe 是 64 位的就使用 x64 文件夹中的版本
3. 打开终端,运行 DetourHook.exe "pecmd.exe 201" DetourHookDll.dll
4. 在当前目录生成 log.txt,便是解密后的 pecmd.ini




作者: 2012jc天马行空    时间: 2015-10-16 16:30
feng-aa 发表于 2015-10-16 16:16
是我不会用吗,没有成功,
菜鸟不懂 (1. 用 res hacker 提取 pecmd.exe 中加密的 ini 文件,保存到文件, ...

他针对的是pecmd.exe与pecmd.ini合并的情况。有些分开的,只要拿pecmd.ini来解密就行了
作者: zds1210    时间: 2015-10-16 16:32
加我群。。人才

作者: awnuitfk    时间: 2015-10-16 17:38
支持!!!年年有牛人!今年又一个!嘿嘿!
作者: awnuitfk    时间: 2015-10-16 17:52
楼主,最后一步在终端运行,什么意思?我运行报错呀!!!!
作者: 大毛桃    时间: 2015-10-16 18:46
解密成功!
作者: my9823    时间: 2015-10-16 19:13
就是说利用pecmd加载配置文件时肯定要解密来获取解密后的ini,欲擒故纵!
作者: my9823    时间: 2015-10-16 19:27
awnuitfk 发表于 2015-10-16 17:52
楼主,最后一步在终端运行,什么意思?我运行报错呀!!!!

打开终端,运行 DetourHook.exe "pecmd.exe 201" DetourHookDll.dll
其中的201是你导出的加密的ini,用原版的pecmd加载这个配置,如果你导出时peinit,就把201改成你到处的文件名,我猜是这样用的!
作者: andos    时间: 2015-10-16 19:50
M似乎出手了?

http://bbs.wuyou.net/forum.php?m ... 9021&fromuid=329939


CMPS 加密的代码,请请UNICODE 带BOM格式保存。并换用最新版本。
用记事本另存为 UNICODE即可。
如图:


用WinHEX看,开始2个字节是 FF FE  就对了。



作者: zhczf    时间: 2015-10-16 19:55
楼主的教程太简陋了,搞详细更好
作者: 2012qz    时间: 2015-10-16 20:24
2012jc天马行空 发表于 2015-10-16 16:30
他针对的是pecmd.exe与pecmd.ini合并的情况。有些分开的,只要拿pecmd.ini来解密就行了

我的是分开的,好像不成功,解密后 log 内容都一样
作者: liberize    时间: 2015-10-16 20:29
2012qz 发表于 2015-10-16 20:24
我的是分开的,好像不成功,解密后 log 内容都一样

前面可能是内置脚本,看 1 楼
作者: liberize    时间: 2015-10-16 20:30
gylgw 发表于 2015-10-16 11:20
我使用的PECMD.EXE和PECMD.INI,还有一个是三卡加载INI

请再试试,乱码应该没有了,我这儿基本都能解,除了那个 PECMD.INI 一执行就重启。。。
注意前面一段可能是内置脚本,看 1 楼
作者: liberize    时间: 2015-10-16 20:32
青青草 发表于 2015-10-16 11:09
麻烦您帮忙看一下,谢谢了!

更新了,你再试试,乱码应该没有了,注意下前面可能是内置脚本,看 1 楼
作者: 2012qz    时间: 2015-10-16 20:32
本帖最后由 2012qz 于 2015-10-16 20:52 编辑
liberize 发表于 2015-10-16 20:29
前面可能是内置脚本,看 1 楼


INI和WCS解密后只有3行代码,全部一样,不知道是不是我操作问题,换新版本解密后original.ini空白
作者: 2012qz    时间: 2015-10-16 20:57
liberize 发表于 2015-10-16 20:32
更新了,你再试试,乱码应该没有了,注意下前面可能是内置脚本,看 1 楼

我想问一下,被解密的 INI 要放在那个文件夹,DetourHook.exe等破解文件有要求放在哪个目录吗
作者: 23456    时间: 2015-10-16 21:49
本帖最后由 23456 于 2015-10-16 22:06 编辑



成功了  原来是挑PECMD.EXE          大白菜03     PE乱码
作者: liberize    时间: 2015-10-16 22:07
23456 发表于 2015-10-16 21:49
成功了  原来是挑PECMD.EXE          大白菜03     PE乱码

这个不像是成功了。。
作者: 23456    时间: 2015-10-16 22:35
liberize 发表于 2015-10-16 22:07
这个不像是成功了。。








乱码


附原件      DBC3.zip (6.54 KB, 下载次数: 190)

改后缀
作者: 青青草    时间: 2015-10-17 00:21
liberize 发表于 2015-10-16 20:32
更新了,你再试试,乱码应该没有了,注意下前面可能是内置脚本,看 1 楼

还是不行。麻烦您再看一下好吗?我把pecmd.exe和pecmd.ini也一并上传了,在28楼。先谢谢了!
作者: liberize    时间: 2015-10-17 01:07
23456 发表于 2015-10-16 22:35
乱码

我试了,没问题啊

FIND MEM<384,FBWF P40 L96 H192!FBWF P50 L160 H299

TEAM ENVI W=%WinDir%|ENVI $WS=%WinDir%\SYSTEM32|ENVI WSD=%WS%\Drivers



TEAM LOGO %WS%\DBC.JPG |DISP B32|WAIT 169

//TEAM TEXT 正在启动大白菜WinPE维护系统 …… #0xFFFFFF L59 T490 R500 B520 $20*|WAIT 69

TEAM FILE %W%\TXTSETUP.SI*|PATH #%WS%\CONFIG|FILE %WS%\*.*_|FILE %WSD%\*.SY_

TEAM PATH %SystemDrive%\TEMP|INIT U,3690|EXEC @PECMD.EXE CALL $SHELL32.DLL,DllInstall,#1,U



TEAM ENVI V0=HKLM\System\CurrentControlSet\Services|ENVI V1=System32\Drivers

REGI %V0%\USBHUB\ImagePath=%V1%\USBHUB.SYS

REGI %V0%\USBCCGP\ImagePath=%V1%\USBCCGP.SYS

REGI %V0%\USBEHCI\ImagePath=%V1%\USBEHCI.SYS

REGI %V0%\USBOHCI\ImagePath=%V1%\USBOHCI.SYS

REGI %V0%\USBSTOR\ImagePath=%V1%\USBSTOR.SYS

REGI %V0%\USBUHCI\ImagePath=%V1%\USBUHCI.SYS

REGI %V0%\HIDUSB\ImagePath=%V1%\HIDUSB.SYS

REGI %V0%\MOUCLASS\ImagePath=%V1%\MOUCLASS.SYS

REGI %V0%\MOUHID\ImagePath=%V1%\MOUHID.SYS

REGI %V0%\KBDCLASS\ImagePath=%V1%\KBDCLASS.SYS

REGI %V0%\KBDHID\ImagePath=%V1%\KBDHID.SYS

REGI %V0%\CDROM\ImagePath=%V1%\CDROM.SYS



REGI %V0%\AMDHUB30\ImagePath=%V1%\AMDHUB30.SYS

REGI %V0%\AMDXHC\ImagePath=%V1%\AMDXHC.SYS

REGI %V0%\USBFILTER\ImagePath=%V1%\USBFILTER.SYS

REGI %V0%\ASMTHUB3\ImagePath=%V1%\ASMTHUB3.SYS

REGI %V0%\ASMTXHCI\ImagePath=%V1%\ASMTXHCI.SYS

REGI %V0%\ETRONHUB3\ImagePath=%V1%\ETRONHUB3.SYS

REGI %V0%\ETRONXHCI\ImagePath=%V1%\ETRONXHCI.SYS

REGI %V0%\NUSB3HUB\ImagePath=%V1%\NUSB3HUB.SYS

REGI %V0%\NUSB3XHC\ImagePath=%V1%\NUSB3XHC.SYS

REGI %V0%\RUSB3HUB\ImagePath=%V1%\RUSB3HUB.SYS

REGI %V0%\RUSB3XHC\ImagePath=%V1%\RUSB3XHC.SYS

REGI %V0%\nusb3xhc\ImagePath=%V1%\ViaHub3.sys



REGI HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace\{D20EA4E1-3957-11d2-A40B-0C5020524153}\!

REGI HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace\{D6277990-4C6A-11CF-8D87-00AA0060F5BF}\!  `删除任务计划

REGI HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{450D8FBA-AD25-11D0-98A8-0800361B1103}\!   `删除桌面我的文档

REGI HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\{59031a47-3f72-44a7-89c5-5595fe6b30ee}\!`删除共享文档



EXEC =!%WinDir%\SYSTEM32\SHOWDRIVE.EXE

//EXEC =!%WinDir%\SYSTEM32\ORDERDRV.CMD

EXEC =!%WinDir%\SYSTEM32\FIXUSB.EXE U



EXEC *=%WS%\7z.EXE x %WSD%\IntelRaid.sys -pBaiCai13287712562 -y -aoa -o"%Windir%\System32\"



//连接外置.CD+UD的选择和处理.挂载外置程序设置环境变量

FIND MEM>384,RAMD ImDisk,L125,NTFS,Z:,虚拟盘!RAMD ImDisk,L35,NTFS,Z:,虚拟盘

//FIND MEM>512,RAMD ImDisk* -e -s 50M -m Z:

PATH Z:\Temp\

WAIT 300

EXEC =!%WinDir%\SYSTEM32\dbc.exe (ud) output "idbc/peload/*" %WS%\%~nx

IFEX %WS%\BCUDTOOLS.INI,!EXEC !=%WS%\bootpart.exe -mount -readonly -driveletter V:

IFEX U:\IDBC\TOOLS\Extend.wim,exec @=%Windir%\System32\bootpart.exe  -eject

IFEX %WS%\BCUDTOOLS.INI,LOAD %WS%\BCUDTOOLS.INI!FORX !\IDBC\TOOLS\BCCDTOOLS.INI,IniCD,1,LOAD %IniCD%

WAIT 365



IFEX Z:\Tools\Basic.WIM,MOUN Z:\Tools\Basic.wim,Y:\Basic\,1,%Temp%

IFEX Z:\Tools\Extend.WIM,MOUN Z:\Tools\Extend.WIM,Y:\Extend\,1,%Temp%



ENVI OPDir=Y:\Basic

ENVI EXDir=Y:\Extend

//ENVI ICPT=X:\WXPE\SYSTEM32\ICO.DLL#

//ENVI ICSH=X:\WXPE\SYSTEM32\SHELL32.DLL#

ENVI DFUR=X:\Documents and Settings\Default User\

WAIT 369



//加载二级内核.创建桌面开始菜单快捷方式.注册热键.需要在7Z解压之后执行

//IFEX Z:\DBC3.7z,EXEC *=%WS%\7z.exe x Z:\DBC3.7z -pBaiCai13287712562 -y -aoa -o"%WinDir%\"

NUMK 0

RUNS PECMD.EXE EXEC !%WS%\INTERNAT.EXE,输入法指示器

EXEC !X:\WXPE\SYSTEM32\MMC.CMD

EXEC =!CMD.EXE /C "REGSVR32 /S X:\WXPE\SYSTEM32\SEND.DLL"

//REGI HKCR\*\shell\CAB-最大压缩\command\=makecab /v1 /D CompressionType=LZX /D CompressionMemory=21 "%1"

//EXEC !%OPDir%\输入工具\INSWB.CMD

EXEC *=%WS%\7z.exe x %OPDir%\输入工具\FREEWB.7z -y -aoa -o"%ProgramFiles%\FreeWB"

EXEC *%ProgramFiles%\FreeWB\REGISTRY.EXE /S

EXEC @%OPDir%\输入工具\ZG.EXE

EXEC *=%WS%\LOADSYS.EXE

TEAM FILE %WS%\LOADSYS.EXE|FILE %WSD%\IntelRaid.sys

WAIT 365

LINK %Desktop%\GHOST克隆  【Alt+G 】,%OPDir%\GHOST32\GHOST32.EXE

LINK %Desktop%\Win系统安装 【Alt+W】,%OPDir%\系统安装\WinNTSetup.exe

LINK %Desktop%\DG分区工具  【Alt+D】,%OPDir%\磁盘管理\diskgenius.exe

LINK %Desktop%\Win引导修复【Alt+F】,%OPDir%\系统维护\NTBOOTautofix.exe

LINK %Desktop%\登录密码清除【Alt+C】,%OPDir%\密码管理\NTPWEDIT.exe

LINK %Desktop%\虚拟光驱,%OPDir%\光盘工具\虚拟光驱\vdm.exe

FIND MEM<512,LINK %Desktop%\设置临时文件,%WS%\PECMD.EXE,LOAD %WS%\PESET.INI,SHELL32.DLL#12



//LINK %Programs%\临时文件,%WS%\PECMD.EXE,LOAD %WS%\PESET.INI,SHELL32.DLL#12

LINK %Programs%\我的工具,X:\WXPE\SYSTEM32\我的工具.exe



HOTK #112,PECMD.EXE        `注册热键:F1 帮助

HOTK #120,PECMD EXEC !X:\WXPE\SYSTEM32\SL.CMD

HOTK #121,PECMD EXEC !X:\WXPE\SYSTEM32\CLEANTEMP.CMD

HOTK #122,%OPDir%\图形图像\WINSNAP.EXE



HOTK Alt+D,Y:\Basic\磁盘管理\Diskgenius.EXE

HOTK Alt+G,Y:\Basic\GHOST32\GHOST32.EXE

HOTK Alt+W,Y:\Basic\系统安装\WinNTSetup.EXE

HOTK Alt+F,Y:\Basic\系统维护\NTBOOTautofix.EXE

HOTK Alt+C,Y:\Basic\密码管理\NTPWEDIT.EXE

HOTK Alt+Z,%WS%\DBCGhost.EXE

HOTK Alt+A,Y:\EXTEND\密码管理\dialupass.exe





//快捷启动和开始菜单.LNK

//LINK %QuickLaunch%\我的电脑,%WS%\MYC.LNK

LINK %QuickLaunch%\截图工具(F11),%OPDir%\图形图像\WINSNAP.EXE

LINK !%QuickLaunch%\临时文件清除,X:\WXPE\SYSTEM32\CLEANTEMP.CMD,,X:\WXPE\SYSTEM32\CLEANTEMP.ICO

LINK %QuickLaunch%\设置临时文件,%WS%\PECMD.EXE,LOAD %WS%\PESET.INI,SHELL32.DLL#12

LINK %QuickLaunch%\资源管理器,%W%\EXPLORER.EXE,/E,EXPLORER.EXE#1

LINK !%StartMenu%\刷新系统 [F9],X:\WXPE\SYSTEM32\SL.CMD,,X:\WXPE\SYSTEM32\CLEANTEMP.ICO

LINK %StartMenu%\设置临时文件,%WS%\PECMD.EXE,LOAD %WS%\PESET.INI,SHELL32.DLL#12





//************************************进入桌面***********************************

EXEC =%WS%\MYSET.EXE PUTSPT

IFEX %WS%\DBCGHOST.EXE,EXEC %WS%\DBCGHOST.EXE /AUTO



TEAM LOGO %WS%\DBC2.JPG |WAIT 1666

//TEAM TEXT 正在载入桌面,请稍候 …… #0x00ffff l150 t500 r500 b520 $20|wait 300

TEAM DISP W1024 H768 B32|WAIT 166

WALL %WS%\DESK.JPG

//WAIT 366

//EXEC WALLCMD %WS%\DESK.JPG

FIND Explorer.EXE,!TEAM SHEL %WinDir%\EXPLORER.EXE|WAIT 1999|LOGO

//************************************进入桌面***********************************





EXEC !X:\WXPE\SYSTEM32\NUMLOCK.EXE

FONT X:\WXPE\FONTS

//EXEC !%OPDir%\REGDOC.CMD

WAIT 669

SITE %USERPROFILE%\「开始」菜单\程序\启动,+H

EXEC =!%WinDir%\SYSTEM32\OEM.CMD

//EXEC =!%WinDir%\SYSTEM32\HFS.CMD

USER 装机专家,大白菜PE-www.winbaicai.com



//基本工具菜单

LINK %Programs%\GHOST32\Ghost32 11.0.2,%OPDir%\GHOST32\GHOST32.EXE

LINK %Programs%\GHOST32\GhostExp镜像浏览器,%OPDir%\GHOST32\ghostexp.exe

LINK %Programs%\GHOST32\GhoHash密码查看器,%OPDir%\GHOST32\ghohash.exe

LINK !%Programs%\WIM工具\启用Wimtool,%OPDir%\ISWIM.CMD,,%OPDir%\WIM工具\WIMTOOL.EXE

LINK !%Programs%\WIM工具\启用WimNT,%OPDir%\ISWIMT.CMD,,%OPDir%\WIM工具\WIMNT.EXE

LINK %Programs%\文件工具\WinRar,%OPDir%\WINRAR\WINRAR.EXE

LINK %Programs%\磁盘管理\DiskGenius磁盘分区,%OPDir%\磁盘管理\diskgenius.exe

LINK %Programs%\磁盘管理\Bootice引导扇区管理,%OPDir%\磁盘管理\bootice.exe

LINK %Programs%\光盘工具\虚拟光驱,%OPDir%\光盘工具\虚拟光驱\vdm.exe

LINK %Programs%\光盘工具\ULTRAISO,%OPDir%\光盘工具\ULTRAISO\UltraISO.exe

LINK %Programs%\密码管理\Windows密码清除器,%OPDir%\密码管理\NTPWEDIT.exe

LINK %Programs%\系统维护\系统启动引导修复,%OPDir%\系统维护\NTBOOTautofix.exe

LINK %Programs%\图形图像\ACDSEE图片编辑,%OPDir%\图形图像\ACDSEE\ACDSEE.exe

LINK %Programs%\图形图像\WINSNAP截图,%OPDir%\图形图像\WINSNAP.exe

LINK %Programs%\系统安装\NT6系统安装器gui,%OPDir%\系统安装\NT6快捷安装器.exe

LINK %Programs%\系统安装\Windows通用安装器,%OPDir%\系统安装\WinNTSetup.exe



//附件.查看

LINK %Programs%\附件工具\记事本,%WS%\NOTEPAD.EXE

LINK %Programs%\附件工具\命令提示符,%WS%\CMD.EXE

LINK %Programs%\附件工具\注册表编辑器,%W%\REGEDIT.EXE

LINK %Programs%\附件工具\资源管理器,%W%\EXPLORER.EXE,,EXPLORER.EXE#1

LINK %Programs%\系统微调\显示隐藏分区,%WS%\PECMD.EXE,SHOW -1:-1,SHELL32.DLL#101

LINK %Programs%\系统微调\分配磁盘盘符,%WS%\SHOWDRIVE.EXE,,Shell32.dll#8

LINK %Programs%\系统微调\设置临时文件,%WS%\PECMD.EXE,LOAD %WS%\PESET.INI,SHELL32.DLL#12

LINK %Programs%\附件工具\查看.详细方式,%WS%\XX.CMD,,Shell32.dll#19

LINK %Programs%\附件工具\查看.平铺方式,%WS%\PP.CMD,,Shell32.dll#19

LINK %Programs%\附件工具\查看.图标方式,%WS%\TB.CMD,,Shell32.dll#19

LINK %Programs%\附件工具\计算器,%WS%\CALC.EXE

LINK %Programs%\附件工具\画图,%WS%\MSPAINT.EXE

LINK !%Programs%\附件工具\清除临时文件 F10,%WS%\CLEANTEMP.CMD,,%WS%\CLEANTEMP.ICO

LINK !%Programs%\附件工具\加入 UltraISO 关联,%OPDir%\光盘工具\ULTRAISO\SETUP.CMD,,%OPDir%\光盘工具\ULTRAISO\ULTRAISO.exe



//扩展外置菜单

IFEX %exdir%\Readme.txt,CALL UD_EXTOOL



_SUB UD_EXTOOL



//BIOS工具

link %programs%\BIOS工具\AMI BIOS刷新,%exdir%\BIOS工具\afuwin4.45cn.exe

link %programs%\BIOS工具\Award BIOS刷新,%exdir%\BIOS工具\winflash1.97.exe

link %programs%\BIOS工具\Phoenix BIOS刷新,%exdir%\BIOS工具\winphlash2.0.3.4.exe,,

link %programs%\BIOS工具\BIOS万能备份,%exdir%\BIOS工具\bios_backup_tookit.exe



//GHOST工具

link %programs%\GHOST32\GHOST32 8.3,%exdir%\GHOST32\GHOST83.exe

link %programs%\GHOST32\GHOST32 11.5,%exdir%\GHOST32\GHOST115.exe



//wim工具

link %programs%\wim工具\GimageX,%exdir%\WIM工具\PEGimagex.exe



//办公阅读

link %programs%\办公阅读\PDF阅读器,%exdir%\办公阅读\PDF阅读器.exe

EXEC !REGEDIT /S %exdir%\办公阅读\KEY.REG

link !%programs%\办公阅读\WORD文字处理,%exdir%\办公阅读\Word.exe

link %programs%\办公阅读\EXCEL表格处理,%exdir%\办公阅读\Excel.exe

link %programs%\办公阅读\PPT幻灯片处理,%exdir%\办公阅读\PPTView.exe



//备份还原

link %programs%\备份还原\GhostSev网络服务端,%exdir%\备份还原\ghostsrv.exe

link %programs%\备份还原\ImageX一键恢复,%exdir%\备份还原\imagex.exe

link %programs%\备份还原\一键备份恢复,%exdir%\备份还原\CGI.exe



//磁盘管理

link %programs%\磁盘管理\ADDS无损分区,%exdir%\磁盘管理\ADDS\adds.exe

link %programs%\磁盘管理\LFormat磁盘低格,%exdir%\磁盘管理\lformat.exe

link %programs%\磁盘管理\PTDD分区表医生,%exdir%\磁盘管理\ptdd.exe

link %programs%\磁盘管理\UltraDefrag碎片整理,%exdir%\磁盘管理\ultradefrag.exe

link %programs%\磁盘管理\WinPm 7.0分区管理,%exdir%\磁盘管理\winpm.exe

link %programs%\磁盘管理\U盘格式化HDD,%exdir%\磁盘管理\HPUSBFW.exe

link %programs%\磁盘管理\磁盘分区助手,%exdir%\磁盘管理\PARTASSIST.exe

link %programs%\磁盘管理\识别苹果分区,%exdir%\磁盘管理\Apple.exe,-dnd

link %desktop%\识别苹果分区,%exdir%\磁盘管理\Apple.exe,-dnd



//密码管理

link %programs%\密码管理\CMOS密码清除,%exdir%\密码管理\cmos.exe

link %programs%\密码管理\ADSL密码查看,%exdir%\密码管理\dialupass.exe

link %programs%\密码管理\Win Nt密码编辑,%exdir%\密码管理\ntpwedit.exe

link %programs%\密码管理\Win Nt密码恢复,%exdir%\密码管理\passwdrenew.exe

link %programs%\密码管理\通用密码查看器,%exdir%\密码管理\密码查看.exe



//驱动管理

link %programs%\驱动管理\SDB驱动备份,%exdir%\驱动管理\driverbak.exe

link %programs%\驱动管理\DEP驱动备份,%exdir%\驱动管理\driverexportpe.exe

link %programs%\驱动管理\GDP驱动提取,%exdir%\驱动管理\getpedriver.exe

link %programs%\驱动管理\安装自定义驱动,%exdir%\驱动管理\mpeidrv.exe



//数据恢复

link %programs%\数据恢复\FinalData数据恢复,%exdir%\数据恢复\finaldata.exe

link %programs%\数据恢复\RSTUDIO数据恢复,%exdir%\数据恢复\RSTUDIO.EXE

link %programs%\数据恢复\易我数据恢复,%exdir%\数据恢复\易我数据恢复.exe

link %programs%\数据恢复\金山数据恢复,%exdir%\数据恢复\金山数据恢复.exe



//图形图像

link %programs%\图形图像\屏幕截取GIF,%exdir%\图形图像\GIF.exe

link %programs%\图形图像\PDF阅读器,%exdir%\图形图像\FOXITREADER.exe

link %programs%\图形图像\微型Photoshop,%exdir%\图形图像\StylePix.exe



//网络工具

IFEX %Desktop%\设置临时文件.LNK,!link %desktop%\加载网络组件,%exdir%\网络工具\Net03.exe

IFEX %Desktop%\设置临时文件.LNK,!link %programs%\网络工具\加载网络组件,%exdir%\网络工具\Net03.exe

IFEX %Desktop%\设置临时文件.LNK,!link %programs%\网络工具\简易FTP服务器,%exdir%\网络工具\FTPServer.exe

IFEX %Desktop%\设置临时文件.LNK,!link %programs%\网络工具\腾讯WebQQ,%exdir%\网络工具\WebQQ.url,,SHELL32.DLL#13



//文件工具

link %programs%\文件工具\FastCopy文件快拷,%exdir%\文件工具\fastcopy.exe

link %programs%\文件工具\畸形目录管理,%exdir%\文件工具\deformitydir.exe

link %programs%\文件工具\Hash文件信息校验,%exdir%\文件工具\md5.exe

link %programs%\文件工具\Winhex16位编辑器,%exdir%\文件工具\winhex.exe

link %programs%\文件工具\unlocker强制删除,%exdir%\文件工具\unlocker.exe

link %programs%\文件工具\文件搜索,%exdir%\文件工具\文件搜索.exe



//系统安装

link %programs%\系统安装\Windows安装助手,%exdir%\系统安装\setupxp.exe

link %programs%\系统安装\NT6系统安装器cmd,%exdir%\系统安装\SETUPWIN6X.exe

link %programs%\系统安装\Win通用安装2合1,%exdir%\系统安装\WIN$MAN.exe



//系统维护

link %programs%\系统维护\SRS驱动离线注入,%exdir%\系统维护\win系统srs驱动注入.exe

link %programs%\系统维护\ScanVirus安全分析,%exdir%\系统维护\scanvirus.exe

link %programs%\系统维护\Servicespe服务驱动管理,%exdir%\系统维护\servicespe.exe

link %programs%\系统维护\Windows启动修复,%exdir%\系统维护\WindowsFix.exe



//硬件检测

link %programs%\硬件检测\Memtest内存诊断,%exdir%\硬件检测\memtest.exe

link %programs%\硬件检测\HddScan磁盘扫描,%exdir%\硬件检测\hddscan.exe

link %programs%\硬件检测\Victoria磁盘扫描,%exdir%\硬件检测\victoria.exe

link %programs%\硬件检测\CPUZ处理器检测,%exdir%\硬件检测\CPUZ.exe

link %programs%\硬件检测\显示器测试,%exdir%\硬件检测\TESTPLAY.exe

link %programs%\硬件检测\笔记本电池检测,%exdir%\硬件检测\BatteryMon.exe

link %programs%\硬件检测\硬盘检测HDTune,%exdir%\硬件检测\HDTune.exe

link %programs%\硬件检测\Aida64环境检测,%exdir%\硬件检测\aida64.exe

link %programs%\硬件检测\键盘检测工具,%exdir%\硬件检测\KEYBOARDTEST.exe



_END



REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318}\=DVD/CD-ROM 驱动器

REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}\=磁盘驱动器

REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}\=显示卡

REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E969-E325-11CE-BFC1-08002BE10318}\=软盘控制器

REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\=IDE ATA/ATAPI 控制器

REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\=键盘

REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\=声音、视频和游戏控制器

REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318}\=鼠标和其它指针设备

REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\=网络适配器

REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E97D-E325-11CE-BFC1-08002BE10318}\=系统设备

REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F}\=存储卷



REGI HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\WebView=#1

REGI HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FindExtensions\Static\WebSearch\!

REGI HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SmallIcons\SmallIcons=no



TEAM EXEC =PECMD SERV !AudioSrv|EXEC =PECMD SERV AudioSrv|SERV EVENTLOG

TEAM WAIT 1000|KILL SMSS.EXE|KILL WINLOGON.EXE|FILE %WS%\SMSS.EXE|FILE %WS%\WINLOGON.EXE|FILE %WS%\WIN32K.SYS

TEAM WAIT 1000|FILE %WS%\ORDERDRV.CMD|FILE %WS%\MBRFIX.EXE|FILE %WS%\MOUNTVOL.EXE|FILE %WS%\DBC*.JPG

TEAM WAIT 1000|FILE X:\WXPE\TEMP\*.*|FILE %WS%\INSTALLIME.EXE|FILE Z:\DBC3.7Z|TEXT |ENVI



/////////////////////////////////////////验证HASH///////////////////////////////////////////

HASH %WinDir%\SYSTEM32\DBCGHOST.EXE,hPSW,SHA1

ENVI $DBCW=26C524D9C93B9C4A435A88ACCCB28549DB62E586

FIND $%DBCW%=%hPSW%,ENVI $CHCK=YES

FIND $%CHCK%=YES,CALL FU !CALL BU_FU

TEAM SET $CHCK|SET $DBCW



_SUB BU_FU

FILE %DESKTOP%\*.*

MESS 本PE核心文件未成功加载!10秒后自动重启!@大白菜WINPE提示! #OK *10000

SHUT R

_END





_SUB FU



FORX !\GHO\DBCPLUS.INI,DBCINI,1,LOAD %DBCINI%



_END

////////////////////////////////////////////////////////////////////////////////////////////

//配置结束

IFEX %WS%\DBC3,FILE %WS%\DBC3
作者: liberize    时间: 2015-10-17 01:12
青青草 发表于 2015-10-17 00:21
还是不行。麻烦您再看一下好吗?我把pecmd.exe和pecmd.ini也一并上传了,在28楼。先谢谢了!

这个是人家做了处理,我这儿每次跑也都给我关机了,我暂时没时间搞这个,不好意思
作者: 青青草    时间: 2015-10-17 01:18
liberize 发表于 2015-10-17 01:12
这个是人家做了处理,我这儿每次跑也都给我关机了,我暂时没时间搞这个,不好意思

没事。谢谢您!
作者: yurunghost    时间: 2015-10-17 01:23
求解密   一直解不成功

pecmd.zip

3.34 KB, 下载次数: 32, 下载积分: 无忧币 -2


作者: liberize    时间: 2015-10-17 01:48
yurunghost 发表于 2015-10-17 01:23
求解密   一直解不成功

额,没有快压,解压不了
作者: yurunghost    时间: 2015-10-17 01:57
liberize 发表于 2015-10-17 01:48
额,没有快压,解压不了

pecmd.rar (1.28 KB, 下载次数: 41)
作者: yurunghost    时间: 2015-10-17 02:20
liberize 发表于 2015-10-17 01:48
额,没有快压,解压不了

以上传RAR格式   求解密
作者: 2012qz    时间: 2015-10-17 07:36
本帖最后由 2012qz 于 2015-10-17 07:48 编辑
liberize 发表于 2015-10-17 01:07
我试了,没问题啊

FIND MEM384,RAMD ImDisk,L125,NTFS,Z:,虚拟盘!RAMD ImDisk,L35,NTFS,Z:,虚拟盘


经测试,旧版本成功了,新版本解出来空白
作者: 青青草    时间: 2015-10-17 08:12
yurunghost 发表于 2015-10-17 02:20
以上传RAR格式   求解密

让我来帮你吧!
//初始化

EXEC Winpeshl

INIT U

REGI HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Systemrestore\DisableConfig=#1

REGI HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Systemrestore\DisableSR=#1

REGI $HKCR\DRIVE\SHELL\CHANGE-PASSPHRASE\COMMAND\=%SYSTEMROOT%\System32\BDECPW.CMD %%1

REGI $HKCR\DRIVE\SHELL\MANAGE-BDE\COMMAND\=%SYSTEMROOT%\System32\BDEOFF.CMD %%1

TEAM FILE %public%\desktop\desktop.ini|FILE %desktop%\desktop.ini|FILE X:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup|FILE X:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

REGI HKLM\SOFTWARE\Classes\CLSID\{F02C1A0D-BE21-4350-88B0-7367FC96EF3C}\ShellFolder\Attributes=#10940064

SHOW -1,-1



REGI HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Icons\29=X:\Windows\System32\ht.ico,0

EXEC !X:\Program Files\Imagine\Imagine64.EXE /assocext /regcontextmenu

EXEC !=X:\Program Files\Freeime\registry.exe /s

EXEC !%WinDir%\System32\EjectUSB.EXE

FORX *.ocx,Regocx,0,CALL $%Regocx%

FORX msxml*.dll,Regdll,0,CALL $%Regdll%

DEVI %SystemRoot%\inf\usb.inf

DEVI %SystemRoot%\inf\usbport.inf

DEVI $%SystemRoot%\System32\SRS_8x64.CAB,,%Temp%

EXEC %Windir%\System32\CTFMON.EXE



EXEC @REG DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /VA /F

EXEC @REG DELETE HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /VA /F

REGI HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Audit\!



SHEL %SystemRoot%\explorer.exe

EXEC =!X:\Program Files\Tools\REGDOC.cmd

EXEC =!X:\Program Files\Unlocker\setup.cmd

EXEC !regsvr32.exe /s "%ProgramFiles%\FastCopy\FastEx64.dll"

REGI HKCR\*\ShellEx\ContextMenuHandlers\FastCopy\FastCopyMenuFlags2=#0xfff13fff

SITE %Startup%,+H+R



EXEC !=X:\Program Files\Tools\Order.exe



HOTK #112,PECMD.EXE

HOTK #120,PECMD EXEC !X:\Windows\System32\Killep.cmd     `F9  刷新系统

HOTK #121,PECMD EXEC !X:\Windows\System32\CLEANTEMP.CMD  `F10 清除临时文件

HOTK #122,PECMD EXEC X:\Windows\System32\WinSnap64.exe   `F11 截图工具

HOTK Ctrl + #0x47,%ProgramFiles%\Ghost\Ghost64.exe       `Ctrl+G 手动Ghost

HOTK Ctrl + #0x4d,%ProgramFiles%\Tools\mouse.exe         `Ctrl+M 键盘控制鼠标
作者: yurunghost    时间: 2015-10-17 09:07
青青草 发表于 2015-10-17 08:12
让我来帮你吧!
//初始化

谢谢 但是我解出来的跟你解出来的不一样呢?
作者: 青青草    时间: 2015-10-17 10:09
yurunghost 发表于 2015-10-17 09:07
谢谢 但是我解出来的跟你解出来的不一样呢?

是吗?怎么会呢?
你觉得哪个比较完整呢?
作者: gylgw    时间: 2015-10-17 10:48
我这边测试1.1的版本比之前的版本要完整,而且没有多余的代码和乱码。
但是对于下面此PECMD.INI文件还是没有办法处理。

PECMD.rar

2.95 KB, 下载次数: 27, 下载积分: 无忧币 -2


作者: yurunghost    时间: 2015-10-17 10:50
青青草 发表于 2015-10-17 10:09
是吗?怎么会呢?
你觉得哪个比较完整呢?

不对  我错了   我这个PECMD.EXE是执行的内置脚本    求不会执行内置脚本的 pecmd.exe
作者: yurunghost    时间: 2015-10-17 11:54
青青草 发表于 2015-10-17 10:09
是吗?怎么会呢?
你觉得哪个比较完整呢?

为毛我的就不自动生成 original.ini这个文件呢


作者: yurunghost    时间: 2015-10-17 11:56
大神  为毛我的就不自动生成 original.ini这个文件呢 难道姿势不对(见70楼)


作者: yurunghost    时间: 2015-10-17 12:03
求大神帮解:pecmd.exe+pecmd.ini   pecmd.part1.rar (400 KB, 下载次数: 40) pecmd.part2.rar (220.07 KB, 下载次数: 32) pecmdini.rar (1.28 KB, 下载次数: 25)
作者: my9823    时间: 2015-10-17 12:17
m大改进算法,估计那些盈利的pe,为系统添加垃圾的pe们又笑了,从pe作者角度希望自己的pe不被修改,当然盈利者的这种想法更加强烈,但用户角度最痛恨这种盈利性的pe,真是两边不讨好!其实我无所谓,因为我已经很少使用pe,就算是用只是帮人家装一下系统而已,大不了直接用安装盘的iso写入U盘连pe都省了!个人观点,不吐不快,如有得罪之处,就当我放了个屁!
作者: 青青草    时间: 2015-10-17 12:31
yurunghost 发表于 2015-10-17 12:03
求大神帮解:pecmd.exe+pecmd.ini

//初始化

EXEC Winpeshl

INIT U

REGI HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Systemrestore\DisableConfig=#1

REGI HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Systemrestore\DisableSR=#1

REGI $HKCR\DRIVE\SHELL\CHANGE-PASSPHRASE\COMMAND\=%SYSTEMROOT%\System32\BDECPW.CMD %%1

REGI $HKCR\DRIVE\SHELL\MANAGE-BDE\COMMAND\=%SYSTEMROOT%\System32\BDEOFF.CMD %%1

TEAM FILE %public%\desktop\desktop.ini|FILE %desktop%\desktop.ini|FILE X:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup|FILE X:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

REGI HKLM\SOFTWARE\Classes\CLSID\{F02C1A0D-BE21-4350-88B0-7367FC96EF3C}\ShellFolder\Attributes=#10940064

SHOW -1,-1



REGI HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Icons\29=X:\Windows\System32\ht.ico,0

EXEC !X:\Program Files\Imagine\Imagine64.EXE /assocext /regcontextmenu

EXEC !=X:\Program Files\Freeime\registry.exe /s

EXEC !%WinDir%\System32\EjectUSB.EXE

FORX *.ocx,Regocx,0,CALL $%Regocx%

FORX msxml*.dll,Regdll,0,CALL $%Regdll%

DEVI %SystemRoot%\inf\usb.inf

DEVI %SystemRoot%\inf\usbport.inf

DEVI $%SystemRoot%\System32\SRS_8x64.CAB,,%Temp%

EXEC %Windir%\System32\CTFMON.EXE



EXEC @REG DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /VA /F

EXEC @REG DELETE HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /VA /F

REGI HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Audit\!



SHEL %SystemRoot%\explorer.exe

EXEC =!X:\Program Files\Tools\REGDOC.cmd

EXEC =!X:\Program Files\Unlocker\setup.cmd

EXEC !regsvr32.exe /s "%ProgramFiles%\FastCopy\FastEx64.dll"

REGI HKCR\*\ShellEx\ContextMenuHandlers\FastCopy\FastCopyMenuFlags2=#0xfff13fff

SITE %Startup%,+H+R



EXEC !=X:\Program Files\Tools\Order.exe



HOTK #112,PECMD.EXE

HOTK #120,PECMD EXEC !X:\Windows\System32\Killep.cmd     `F9  刷新系统

HOTK #121,PECMD EXEC !X:\Windows\System32\CLEANTEMP.CMD  `F10 清除临时文件

HOTK #122,PECMD EXEC X:\Windows\System32\WinSnap64.exe   `F11 截图工具

HOTK Ctrl + #0x47,%ProgramFiles%\Ghost\Ghost64.exe       `Ctrl+G 手动Ghost

HOTK Ctrl + #0x4d,%ProgramFiles%\Tools\mouse.exe         `Ctrl+M 键盘控制鼠标
作者: yurunghost    时间: 2015-10-17 12:35
青青草 发表于 2015-10-17 12:31
//初始化

EXEC Winpeshl


大神  为毛我的就不自动生成 original.ini这个文件呢 难道姿势不对(见70楼)
作者: rengrancunzai    时间: 2015-10-17 13:17
哈哈,神仙开调研会
作者: gylgw    时间: 2015-10-17 13:42
yurunghost 发表于 2015-10-17 11:54
为毛我的就不自动生成 original.ini这个文件呢

你文件倒数第三个不就是生成的INI文件吗?
作者: Gowim    时间: 2015-10-17 15:50
本帖最后由 Gowim 于 2015-10-17 16:16 编辑

PECMD_X86.part1.rar (500 KB, 下载次数: 16) PECMD_X86.part2.rar (43.34 KB, 下载次数: 14) 这个一直解不开,请帮忙看看
作者: Gowim    时间: 2015-10-17 16:22
zds1210 发表于 2015-10-16 16:32
加我群。。人才

解不开啊,不能用的吧。,http://bbs.wuyou.net/forum.php?m ... &extra=page%3D1
作者: 2012jc天马行空    时间: 2015-10-17 19:12
晕死了,用最新版的这个试着帮此贴http://bbs.wuyou.net/forum.php?mod=viewthread&tid=372396破解,结果把我的所有数据都删了,
作者: andos    时间: 2015-10-17 20:42
好像不能破解这个?
http://bbs.wuyou.net/forum.php?m ... &extra=page%3D2
作者: xzf680    时间: 2015-10-18 00:33
本帖最后由 xzf680 于 2015-10-18 02:47 编辑

测试过了,有些会乱码,以下为电脑店配置:

#!PECMD

#!code=936

@LOGS **ON=0

FIND $%&__LOGS%=, IFEX XU.LOG, LOGS **ON=1 **2 **nl=1 * XU.LOG

ENVI^ EnviMode=1  //閬垮厤鎰忓閿欒锛岀┖鍙橀噺锛屽閮ㄥ彉閲忥紝

ENVI^ ForceLocal=1

SET$ &NL=0D  0A

SET$ &TAB=09

//{TP_MBR=1, TP_OS=2, TP_PEOUT=3, TP_DISK=4, TP_PE_PART=5, TP_PE_DISK, TP_PE_ISO=7, TP_PART, TP_DATA=9, TP_ISO=10, TP_RAW, TP_LIST, TP_FILE, TP_XFILE};



SET-def TP_MBR=0x01

SET-def TP_PE_ISO=0x07

SET-def TP_DATA=0x09

SET-def TP_ISO=0x0A

SET-def TP_SYSBAK=0xF0

SET-def TP_EFILDR=0xF1

SET-def TP_BIOSBOT=0xF3



TEAM ENVI &&SZ=-1| ENVI &&OFF=-1| ENVI &&FAT=-1| SET &PART_TP=hd| SET &BEFI=0

TEAM SET  &PART0=| SET  &PARTS=| SET  &PARTX=| SET  PARTN=0

SET-def SECPARAM=65 //鎬诲弬鏁拌〃



SET &mhide=0

SET &mall=0

SET &mountdrvs=

SET &mnom=0

SET &OnlyOne=0

SET &OnlySoft=0

SET &ClearTmp=0  //娓呴櫎涓存椂MBROS鍚姩鍔犺浇

SET &umount=0

CALC -base=16 #&&CLEARMBROSTAGOFF=36s + 0x1C3

CALC -base=16 #&&CLEARMBROSTAGLEN=11

CALC -base=16 #&&CLEARMBROSTAGOFF2=36s + 0x1CE  //澶囦唤鐨勫垎鍖鸿〃

SET-def  CLEARMBROSTAG=0x43 0x4C 0x45 0x41 0x52 0x4D 0x42 0x52 0x4F 0x73 0x00  //CLEARMBROs\0

SET-def CLEARMBROSTAG2=0x43 0x4C 0x45 0x41 0x52 0x4D 0x42 0x52 0x4F 0x53 0x00  //CLEARMBROS\0

SET-def CLEARMBROSTAG3=0x43 0x4C 0x45 0x41 0x52 0x4D 0x42 0x52 0x4F 0x70 0x00  //CLEARMBROp\0

SET-def CLEARMBROSTAG4=0x43 0x4C 0x45 0x41 0x52 0x4D 0x42 0x52 0x4F 0x50 0x00  //CLEARMBROP\0



SET &va=%~1



FIND $%va%=ClearTmpMBROSAll, TEAM ClearTmpMBROSAll| EXIT FILE



FIND $%va%=moun, SET &va=mount



//MOUNT [-m] [-w] [-u|-ud|-uh|-muh|-muhg] [-mall] [-mhide] [-onlys] [-Cleartmp[Only]] \\.\PhysicalDrive1  Z:



FIND $%va%=mount,

{*

    SET &mountdrvs=ZYXWVUTSRQPONMLKJIHGFEBAD //榛樿鍙嶅簭

    SET &_exe=

    SET &mountop=-o ro

    SET &retv=

    SET &BWin=0

    ENVI &&I=2

    ENVI &&umount=0

    SET &retnm=

    SET &udmid=-0x8000000

    SET &udid=-0x8000000

    SET &_uplus=0

    SET &_w=0

    SET &_udfs=0

    SET &_udm_=0

    SET &udimg=

    SET &udmask=0

    SET &_mh=-0x8000

    LOOP #1=1,

    {

        MSTR &&va=<~%I%>%*

        LSTR &&c1=1,%va%

        FIND $%c1%<>-, EXIT LOOP

        FIND $-exe=%va%,   SET _exe=-exe

        FIND $-udfs=%va%,   SET _udfs=1

        FIND $-udm-=%va%,   SET _udm_=1

        FIND $-m=%va%,   SET BWin=m

        FIND $-w=%va%,   TEAM SET mountop=| SET _w=1

        FIND $-u=%va%,   SET umount=1  //鍜?ud鍚屼簡

        FIND $-ud=%va%,   SET umount=1

        FIND $-uh=%va%,   SET umount=2

        FIND $-muh=%va%,   SET umount=0x22

        FIND $-muhg=%va%,   SET umount=0x62  //杞厜鐩樹篃鍗歌浇

        FIND $-mhide=%va%,  SET mhide=1

        FIND $-mhide-=%va%,  SET mhide=0

        FIND $-mall=%va%,   SET mall=1

        FIND $-mnom=%va%,   SET mnom=1

        FIND $-onlys=%va%,   SET OnlySoft=1

        FIND $-Cleartmp=%va%,   CALC #ClearTmp=%ClearTmp% | 1

        FIND $-CleartmpOnly=%va%,   SET ClearTmp=2

        FIND $[ -ret:=%va% | -ret=%va% ], TEAM CALC I=%I% + 1| MSTR retnm=<~%I%>%*

        FIND $-udmid:=%va%, TEAM CALC I=%I% + 1| MSTR udmid=<~%I%>%*

        FIND $-udid:=%va%, TEAM CALC I=%I% + 1| MSTR udid=<~%I%>%*

        FIND $-udimg:=%va%, TEAM CALC I=%I% + 1| MSTR udimg=<~%I%>%*

        FIND $-udmask:=%va%, TEAM CALC I=%I% + 1| MSTR udmask=<~%I%>%*

        FIND $-mh:=%va%, TEAM CALC I=%I% + 1| MSTR _mh=<~%I%>%*

        FIND $-u+=%va%,   SET _uplus=1

        CALC &I=%I% + 1

    }

    FIND $%_mh%=efi, SET _mh=-1

    FIND $%_mh%=auto, SET _mh=0

    CALC -err=-0x8000 #_mh=(%_mh%) + 0

--udmid[%udmid%]

    MSTR &&DEV=<~%I%>%*

    CALC &I=%I% + 1

    MSTR &&drv=<~%I%>%*



    CALL ParseDrviList

    TEAM SET &MountDrv=| GetFreeDrive &MountDrv

    IFEX $[ %_udfs%>0 & ( %hd%>=0 | %_mh%<-1 ) ], MAPUD  "%&DEV%"  "%&drv%"  &retv



    IFEX $%_uplus%>0,  MountUplus "%&DEV%"  "%&MountDrv%"  %_w%

    IFEX $%_uplus%>0, IFEX $[ %udmid%<>-0x8000000 && %udmid%<0 ], EXIT FILE  





//THREAD+$ MESS. [MountMBROS    "%mountop%"   "%&DEV%"  "%&drv%"  &ret  %&_exe%]@debug

    IFEX $%_udm_%<1, CALL MountMBROS    "%mountop%"   "%&DEV%"  "%&drv%"  &retv  %_exe%

    FIND $%retnm%<>,  ENVI-ret %retnm%=%&retv%

    EXIT= 0

    EXIT FILE

}



// listudm  -ret: 杩斿洖鍚? 璁惧鍚?

//////////////// listudm ////

FIND $%~1=listudm,

{*

    SET &retnm=

    SET &I=2

    MSTR &&va=<~%I%>%*

    FIND $[ -ret:=%va% | -ret=%va% ], TEAM CALC I=%I% + 1| MSTR retnm=<~%I%>%*| CALC I=%I% + 1

    MSTR &&IMG=<~%I%>%*

    ChekHD  &&hd "%IMG%"

--IMG[%IMG%] hd[%hd%]

    SET &FN=%IMG%

    SET &MBROS=%IMG%

    SET &PARTS=

    SET &PARTN=0

    SET &PARTX=

    SET &PART0=

    SET &PARTN=0

    EXIT= 0

    FIND $%IMG%<>,  GetUDPart %IMG%  ""   //all

    ENVI-ret %retnm%=%PARTX%

    EXIT FILE

}



FIND $%~1=listud,

{*

    SET &retnm=

    SET &I=2

    MSTR &&va=<~%I%>%*

    FIND $[ -ret:=%va% | -ret=%va% ], TEAM CALC I=%I% + 1| MSTR retnm=<~%I%>%*| CALC I=%I% + 1

    MSTR &&IMG=<~%I%>%*

    ChekHD  &&hd "%IMG%"

--IMG[%IMG%] hd[%hd%]

    EXIT= 0

    SET  &Vlist=

    IFEX $%hd%>=0, GETPUDMAP \\.\PhysicalDrive%hd%  &Vlist

    ENVI-ret %retnm%=%Vlist%

    EXIT FILE

}

FIND $%~1=sync,

{*  SET  &&_cmd=%*

    EXIT= 0

    %&_cmd%

    EXIT FILE

}



EXIT FILE



_SUB GetCFG *

    SET &IMG=%~1

    SET &EFIBOOTOFF=-1  //閿欒鍊?
    SET &EFIBOOTSZ=-1

    CALC -base=16 &&p=%SECPARAM%s + 3

    GETF   %&IMG%,%p%#10,&&DAT

    FIND $%DAT%<>0x4D 0x42 0x52 0x4F 0x53 0x50 0x41 0x52 0x41 0x4D,  EXIT    //  MBROSOPARAM

    GETF#  %&IMG%,%SECPARAM%s#0x40,&&DAT

    FIND $0xFFFFFFFF=%DAT%, EXIT



    SET?long  &DAT=&EFIBOOTOFF:0x28  //EFIBOOT浣嶇疆 锛?x3F01锛?
    SET?long  &DAT=&EFIBOOTSZ:0x2C   //EFIBOOT闀垮害 锛?x821=0x800+33锛?//1M

_END



_SUB ParseDrviList

    MSTR &&c1=1,1,%drv%

    MSTR &&c2=2,1,%drv%

    FIND $%c2%=:, TEAM SET c2=| SET OnlyOne=1

    FIND $%c1%<>, FIND $%c2%=,  SET mountdrvs=%c1%

    FIND $%c2%<>,  FIND $%c2%<>-,   SET mountdrvs=%drv%

    FIND $%c1%<>, SET drv=%c1%:  //鍒濆DRIVE

    FIND $%c2%=-,

    {

        SET mountdrvs=

        FORX * A B C D E F G H I J K L M N O P Q R S T U V W Y Z,&&d, FIND $%d%>=%c1%, SET mountdrvs=%mountdrvs%%d%

    }

_END





//ChekHD 杩斿洖鍚?鏂囦欢鍚?
_SUB ChekHD

    LSTR &&LDEV=17,%~2

    ENVI &&hd=-0x8000

    SET &&c1=

    FIND $\\.\PhysicalDrive=%&LDEV%, MSTR &&c1=18,1,%&MBROS%

    MSTR &&c2=19,1,%&MBROS%

    MSTR &&c3=20,1,%&MBROS%

    CALC #&hd=%&hd%

    FIND $%&c1%>9, TEAM SET c1=

    FIND $%&c2%>9, TEAM SET c2=

    FIND $%&c3%>9, TEAM SET c3=

    FIND $%&c1%<0, TEAM SET c2=| SET c3=|

    FIND $%&c2%<0, TEAM SET c3=|

    FIND $%&c1%>=0, CALC #&hd=%c1%

    FIND $%&c2%>=0, CALC #&hd=%&hd% * 10 + %&c2%

    FIND $%&c3%>=0, CALC #&hd=%&hd% * 10 + %&c3%

    ENVI-ret %~1=%&hd%

_END





// GetWimName Name dev Off Len

_SUB GetWimName *

     ENVI %~1=%~2#%~3#%~4$

     //%s#%s#%s  p, sOff, sLen

_END



//FINDImdisk  id鍚? 鐩樼鍚?鏂囦欢鍚?
_SUB FINDImdisk

    SET-def id=-1

    SET-def drv=

    SET-def FN=%~3

    STRL &&len=%FN%

    CALC &&len2=%len% - 1  //鏃х増

    SET  &FN2=%FN%

    LSTR &&L4=4,%FN%

    FIND $\??\=%L4%, SET len=0! LSTR FN2=%len2%,%FN%



    RAMD ImDisk*&&all  -n -l

    SET-def vi=

    SET-def nm=

    FORX * %&all%,&&i,

    {

        RAMD ImDisk*&&v  -n -l -u %&i%

        READ  -*,1,&vi,&v

//Z: = \BaseNamedObjects\Global\PhysicalDrive1#aaa_bbb

//Z: = \??\D:\MDY\DESKTOP\ttt\MBROS.MOS

        MSTR &nm=6,%len%,%&vi%

        FIND $%&FN%=%&nm%,! FIND $%&FN2%=%&nm%,! EXIT -

        MSTR &drv=1,2,%&vi%

        ENVI &id=%&i%

        EXIT FORX

    }

    ENVI-ret %~1=%&id%

    ENVI-ret %~2=%&drv%



_END





// GetUDPart 鏂囦欢鍚?鍋忕Щ鍚?闀垮害鍚?
_SUB  GetUDPart

    ENVI^  ForceLocal=1

    ENVI &&FN=%~1

    SET  &un=%~2

//MESS. un=[%un%]

    GETF %FN%,0x7E36#5,&&V

    FIND $0x46 0x41 0x54 0x31 0x36=%V%, ENVI &FAT=16  //FAT16

    FIND $0x46 0x41 0x54 0x31 0x32=%V%, ENVI &FAT=12  //FAT12

    GETF %FN%,0x7E52#5,&&V

    FIND $0x46 0x41 0x54 0x33 0x32=%V%, ENVI &FAT=32  //FAT32

    IFEX $%FAT%>0,

    {   GETF %FN%,0x7E20#4,&V //ts32

        FIND $0x00 0x00 0x00 0x00=%V%,  GETF    %FN%,0x7E13#2,&V  //ts16

        MSTR &&V1,&&V2,&&V3,&&v4=<1*>%V% 0 0 0 0

        CALC #&SZ=%V1% + %V2% * 0x100 + %V3% * 0x10000 + %V4% * 0x1000000

        GETF    %FN%,0x7E1C#2,&V  //nhs_pre

        MSTR &&V1,&&V2,&&V3,&&v4=<1*>%V% 0 0  

        CALC #&OFF=%V1% + %V2% * 0x100

    }

    GETF  %FN%,0x7FFE#2,&&V

    FIND $0x55 0xAA=%V%,!  ENVI &SZ=-1

    GETF  %FN%,0x7FB4#4,&&V

    FIND $0x4D 0x42 0x52 0x53=%V%,!  ENVI &SZ=-1  //"MBRS"



    SET  PARTN=0

    SET &init1=0

    IFEX $%SZ%>0, SET &init1=1

    //FIND $%un%=-u,!!  SET &init1=0

    FIND $%&&init1%=1,

    {

        CALL *  GetWimName  &&WimName  PhysicalDrive%hd%  %OFF%   %SZ%

        FINDImdisk  &&id  &&drvm  "\BaseNamedObjects\Global\%&WimName%"

        CALC  &&SZK=%SZ% / 2

        SET  PART0=鏍稿績UDM鍒嗗尯 %SZK%K MBROS  //[%OFF% %SZ% 0x00]

        SET  PARTS=%PART0%

        SET  PARTX=鏍稿績UDM鍒嗗尯 %OFF% %SZ% 0x01 0x00 "MBROS" "%&drvm%" 鏍稿績UDM鍒嗗尯

        SET  PARTN=1

//THREAD+$ MESS %&PARTX% @1111

    }



    SET &FNx=%FN%

    SET &SECUMBR=66



    @TEAM SET &bUPARAM=0

    CALC -base=16 &&addr=65s +  0x3

    GETF %FN%,%addr%#10,&&V

    FIND $%V%=0x4D 0x42 0x52 0x4F 0x53 0x50 0x41 0x52 0x41 0x4D, SET bUPARAM=1

    CALC -base=16 &&addr=65s +  0xE

    GETF %FN%,%addr%#1,&&V

    IFEX $%bUPARAM%>0, IFEX $%V%>=4, SET bUPARAM=4

    IFEX $%bUPARAM%>=4, SET &SZ1=0x40! SET &SZ1=0x20

    CALC #&&SZP=1s / %SZ1% - 1



    CALC -base=16 &&addr=65s +  0x14

    GETF %FN%,%addr%#4,&&V

    MSTR &&V1,&&V2,&&V3,&&v4=<1*>%V% 0 0 0 0

    CALC #&NPS=%V1%  + %V2% * 0x100

    IFEX $%NPS%>0x40, SET NPS=0x40



    SET &MAX=0

    CALC #&&len=%SZP% * %SZ1%

    GETF %FN%,%SECUMBR%s#0x10,&V

    SET &I=0

    CALC -base=16 &&addr0=%SECUMBR%s

    LOOP #%I%<%NPS%,

    {*  CALC -base=16 &&addr=%SECUMBR%s + %I%s +  0x3

        GETF %FN%,%addr%#9,&&V1

        CALC -base=16 #&&addr=%SECUMBR%s + %I%s + 0x10

        CALC I=%I% + 1

        FIND $%V1%<>0x4D 0x42 0x52 0x4F 0x53 0x50 0x41 0x52 0x54,  EXIT

        GETF %FN%,%addr%#%len%,&V1

        @SET<  V= %V1%

        CALC #&MAX=%MAX% + %SZP%

    }

    SET &bUMBR=%MAX%



    SET &I=0

    CALC &&IOF=0x11 - %SZ1%

    CALC &&ISZ=0x15 - %SZ1%

    CALC &&ITP=0x19 - %SZ1% //FSTP 绫诲瀷 灞炴
作者: vaf    时间: 2015-10-18 13:04
牛淫, 能淫.
作者: liubt    时间: 2015-10-18 15:00
提取USM_PE能帮破解看看么, 破解PECMD.ini会重启。

x64.part1.rar

450 KB, 下载次数: 22, 下载积分: 无忧币 -2

x64.part2.rar

178.86 KB, 下载次数: 17, 下载积分: 无忧币 -2


作者: gylgw    时间: 2015-10-20 20:35
楼主还在更新吗?有办法解决那些有验证的配置文件不?
作者: netmjwork    时间: 2015-10-24 12:44
xp系统不能运行吗?
运行不了……

121.png (9.77 KB, 下载次数: 302)

121.png

作者: xzf680    时间: 2015-10-25 16:43
netmjwork 发表于 2015-10-24 12:44
xp系统不能运行吗?
运行不了……

果然牛人,xp也能运行,去pe下测试吧、
作者: netmjwork    时间: 2015-10-26 14:45
xzf680 发表于 2015-10-25 16:43
果然牛人,xp也能运行,去pe下测试吧、

win8_64位的PE和实机都试了,输出的文件大小是0,看来还是有些加密方式不太好弄
作者: thtf    时间: 2015-10-27 07:47
首先,非常感谢楼主的付出,用它解密了自由天空PE的文件(RamOSinit.POST和RamOSinit.pre),其中RamOSinit.POST解密出来完成正常,用load装载运行完全一样,可是RamOSinit.pre解密出来的运行不了,就算把Exit File删掉也得不到原来的结果。原文件(RamOSinit.pre)只有5K,解密出来的文件有5K的86K,87K,88K,差距非常大,这完全取决于运行的环境(PE的版本,PECMD的版本)。请楼主抽点时间看看,谢谢了……附件里有原来的RamOSinit.pre(改名为pecmd.ini),还有解密出来的三个版本的文件。再次谢谢……
original.rar (49.3 KB, 下载次数: 54)
作者: thtf    时间: 2015-10-27 07:48
netmjwork 发表于 2015-10-26 14:45
win8_64位的PE和实机都试了,输出的文件大小是0,看来还是有些加密方式不太好弄

你可以换换PE,换换PECMD.exe,我的也是这样,后来终于解开了
作者: xzf680    时间: 2015-10-27 21:52
本帖最后由 xzf680 于 2015-10-30 21:55 编辑

乱码已经解决,非常完美,顶一下。
作者: awnuitfk    时间: 2015-11-6 03:22
楼主,有时间更新下吗?好多都破不了了呀!!!!!!!!!
作者: 2011momoto    时间: 2015-11-6 14:50
试了十数个PECMD,结果都一样,很无奈。

作者: 527104427    时间: 2015-11-8 00:46
本帖最后由 527104427 于 2015-11-8 01:06 编辑

将这个计算器的脚本压缩了一下,貌似解不开啊!请楼主再弄弄呗

其它的脚本都能解开,唯独这个不行。

这工具非常nice

1.png (21.02 KB, 下载次数: 205)

1.png

计算器.7z

13.49 KB, 下载次数: 16, 下载积分: 无忧币 -2


作者: kcyou    时间: 2015-11-13 13:24
IMGGUI.EXE破解不了。。。。。。
作者: wangod    时间: 2015-11-18 17:04
这个必须要支持
作者: wangod    时间: 2015-11-19 10:10
我试了下大大的方法 不行啊 要不你帮我看看 根本不行 好像是pecmd版本问题 这个pecmd版本要高一些 http://pan.baidu.com/s/1mgxW0JI
作者: FLy3721    时间: 2015-12-14 12:38
帮忙看看,怎么解出来是空文件!

PECMD.zip

5.11 KB, 下载次数: 12, 下载积分: 无忧币 -2


作者: koko4u    时间: 2015-12-14 13:07
标题: pecmd
本帖最后由 koko4u 于 2015-12-14 13:13 编辑

.
作者: koko4u    时间: 2015-12-14 13:12
FLy3721 发表于 2015-12-14 12:38
帮忙看看,怎么解出来是空文件!

pecmd_decrypt

PECMD.7z

3.66 KB, 下载次数: 64, 下载积分: 无忧币 -2






欢迎光临 无忧启动论坛 (http://bbs.c3.wuyou.net/) Powered by Discuz! X3.3