无忧启动论坛

标题: [不报毒版] 判断 MBR/PBR 是 nt5.x 还是 nt6.x 或以上的命令行工具 [打印本页]

作者: plusv 时间: 2020-12-28 18:05
标题: [不报毒版] 判断 MBR/PBR 是 nt5.x 还是 nt6.x 或以上的命令行工具
本帖最后由 plusv 于 2021-1-27 07:07 编辑

原起:

有没有判断MBR/PBR是nt5.x还是nt6.x或以上的命令行工具？

35F:
liuzhaoyzz>
有没有大神用c/c++写一个判断MBR/PBR是nt5.x还是nt6.x或以上的命令行工具？5大pecmd写的，没有加壳的版本，一会被360安全卫士咔嚓掉，mdyblog大神有免杀版pecmd，用这个免杀版pecmd内嵌脚本会不会好点？360一会又不报风险，我自己的确不用360（仅仅用于测试），但是发给别人就被咔嚓掉很郁闷。一楼有5大pecmd源代码。另外5大能否解释下这些代码的原理？从代码看不懂原理。

使用 Delphi 重写.
----------------------------------------------------

更新:
ShowMBRPBR_Update_01.7z
----------------------------------------------------

更新:
ShowMBRPBR_Update_02.7z

ShowMBRPBR.exe
1. 更改物理盘显示方式,美观与批处理容易提取
2. 异常不处里.

ShowMBRPBR_SpecEdtion.exe
特别版 --> 不需要 crtdll.dll,但取消物理盘显示

ShowMBRPBR_Update_02.7z

75.54 KB, 下载次数: 39, 下载积分: 无忧币 -2

ShowMBRPBR_Update_02.7z

ShowMBRPBR.7z

82.39 KB, 下载次数: 67, 下载积分: 无忧币 -2

ShowMBRPBR_Update_01.7z

84.19 KB, 下载次数: 65, 下载积分: 无忧币 -2

ShowMBRPBR_Update_01.7z

作者: plusv 时间: 2020-12-29 04:55
本帖最后由 plusv 于 2020-12-29 09:22 编辑

527104427 发表于 2020-12-28 18:28
貌似还有改进空间。这里缺点什么

因为找不到 MBR 特征码,所以空白,
只有内置 Windows XP(MBR)/7(MBR)/10(GPT) 3 种(我的 PC 目前配置),
1. 这 3 种以外就会找不到,特征码可能不同
2. OS 不同的语系/不同的更新,不知有没有不同的特征码

请上传你的 HD0 及 HD3 的 Physical Disks Offset 0x00-0x1FF .TXT 文件
并说明你的 OS 版本

HxD

Menu -> Extras -> Open Disk -> Physical Disks (Hard Disk 1 对应 HD0,Hard Disk 2 对应 HD1 ...)
Select 0x00-0x1FF
Menu -> File -> Export -> Editor View

作者: plusv 时间: 2020-12-29 13:30

527104427 发表于 2020-12-29 09:46
我的意思是，遇到不认的mbr，就用unknown占位，减少二次开发难度。
这种mbr很容易弄出来，比如dg重建mbr ...

更新:
ShowMBRPBR_Update_01.7z

作者: liuzhaoyzz 时间: 2020-12-29 20:48
本帖最后由 liuzhaoyzz 于 2020-12-29 21:04 编辑

感谢大神分享！原来我跟pauly聊过，他说刚开始用bcdboot命令创建NT5 NT6的MBR，并查找特征码，后来直接在bcdboot中查找，并且结合一些其他的特征码来判断的。

我刚才用360扫描过了，不压缩的就不报，压缩过的就报毒。

大神源代码可愿意分享下？留存备用。
所有闭源的软件，最后都灰飞烟灭了。
bootice源代码丢了，pecmd源代码丢了，clonecd的drvtype源代码丢了，19951001的磁盘扇区读写、分区信息管理工具dsptw源代码丢了……

作者: nttwqz 时间: 2020-12-29 23:19

liuzhaoyzz 发表于 2020-12-29 20:48
感谢大神分享！原来我跟pauly聊过，他说刚开始用bcdboot命令创建NT5 NT6的MBR，并查找特征码，后来直接在bc ...

那现在的pecmd是如何更新的？又重写了？！

作者: liuzhaoyzz 时间: 2020-12-30 07:32
本帖最后由 liuzhaoyzz 于 2021-1-21 09:04 编辑

nttwqz 发表于 2020-12-29 23:19
那现在的pecmd是如何更新的？又重写了？！

PECMD是lxl1638（老九）大神的原创，中途源代码丢失过，他曾经放出过2.4-2.8的某个版本源代码，mdyblog大神可能借鉴了这个放出来的源代码做了海量的功能重构与更新。大概是这样子，如果有错误，请批评指正。

mdyblog大神的pecmd里面，[更新376#2825]PECMD2012.1.80.13_Win32_64.多窗口多线程.裸机系统2.3.3.1+18M酷M... - PE讨论区 - 无忧启动论坛 - Powered by Discuz! http://bbs.wuyou.net/forum.php?m ... 5402&extra=page%3D1，已经做了来源说明：
欢迎使用 PECMD2012 - WinPE Commander，功能强大的 WinPE 命令解释工具！
PECMD - XCMD V2.2补充完善版，在XCMD V2.2基础上增加了 CALL、HOTK、FBWF等多条命令，在此向Yonsm等表示感谢！
PECMD2012 NonCopyRight，任何个人和组织(含商业组织)可随意免费使用，随意修改。技术支持可咨询作者。
PECMD2012 是参考PECMD2.4源码，重新设计而成。帮助文档整理排版：988668 @2012年5月10日(后面附录！)
PECMD2012 英文版翻译：ddsony @April 3,2015

pecmd2012.png (57.29 KB, 下载次数: 186)

作者: liuzhaoyzz 时间: 2021-1-11 14:42
大神，你写的ShowMBRPBR_Compress.exe，经过反馈之后，360解除误报了。看样子delphi写的程序，360容易解除误报啊！

亲爱的软件开发者
	您好！
	经360软件开放平台检测，您于2021-01-11 09:19:17提交的软件ID：3762363的ShowMBRPBR_Compress.rar，已解除木马弹窗提示，如有疑问请及时与我们联系。您提交的备注信息：判断MBR PBR是NT5 NT6的小工具。请参考360软件开放平台软件检测标准： http://open.soft.360.cn/guide/guide_2.html?i=4

感谢您对360软件开放平台的支持，如果您在使用过程中遇到问题，请及时与我们联系。申诉邮箱：opensoft@360.cn
本邮件为系统自动发送，请勿直接回复！	360软件开放平台 2021年01月11日

作者: liuzhaoyzz 时间: 2021-1-20 16:49
大神，能否做静态编译，运行出错了。小程序，统统建议做静态编译，抛弃运行库。

Windows 10 x64-2021-01-20-16-46-15.png (298.52 KB, 下载次数: 192)

作者: plusv 时间: 2021-1-20 18:33

liuzhaoyzz 发表于 2021-1-20 16:49
大神，能否做静态编译，运行出错了。小程序，统统建议做静态编译，抛弃运行库。

Delphi 自己的东西编译为 EXE 都是静态编译.

那个 crtdll.dll 是 MS OS 内的东西,
完整的 OS 都有 (WinXP/7/10/...)

1. 不会有 EXE 把 MS OS 的 DLL 编入,如 advapi32.dll crtdll.dll kernel32.dll oleaut32.dll user32.dll
2. 就算有,这样在不同版本的 OS 反而会无法运行.

作者: 窄口牛 时间: 2021-1-20 22:13
是有ext格式分区的时候会报错。

作者: liuzhaoyzz 时间: 2021-1-20 23:04

plusv 发表于 2021-1-20 18:33
Delphi 自己的东西编译为 EXE 都是静态编译.

那个 crtdll.dll 是 MS OS 内的东西,

如果带上这个crtdll.dll，估计也会起冲突，不同系统估计不一样吧。

作者: plusv 时间: 2021-1-20 23:43

liuzhaoyzz 发表于 2021-1-20 23:04
如果带上这个crtdll.dll，估计也会起冲突，不同系统估计不一样吧。

crtdll.dll 并非 OS 核心程序,
我比对了 WinXP/7/10 3 个文件,
内容虽不同,但版本一样,我猜可以通用.

作者: plusv 时间: 2021-1-20 23:52

窄口牛发表于 2021-1-20 22:13
是有ext格式分区的时候会报错。

我这边测试正常.

作者: liuzhaoyzz 时间: 2021-1-21 08:11
本帖最后由 liuzhaoyzz 于 2021-1-21 08:13 编辑

plusv 发表于 2021-1-20 23:43
crtdll.dll 并非 OS 核心程序,
我比对了 WinXP/7/10 3 个文件,
内容虽不同,但版本一样,我猜可以通用.

好像crtdll.dll是不通用的。我从WIN10中拷贝了一个到ShowMBRPBR.exe所在的目录，运行出错了。
文件名称: crtdll.dll
文件大小: 145.53 KB (149,019 字节)
文件版本: 4.00
修改时间: 2016年07月16日，19:42:48
MD5: D17A0D5E0B6F95BB133C6DD761EE78FD

你试试在这个微PE里面运行看看？https://cloud.189.cn/t/aiQ7NbBvUzEb

Windows 10 x64-2021-01-21-08-08-30.png (79.61 KB, 下载次数: 175)

Windows 10 x64-2021-01-21-08-08-44.png (71.31 KB, 下载次数: 195)

作者: dkzzlf 时间: 2021-1-21 08:20
感谢楼主分享

作者: hilsonma 时间: 2021-1-21 08:36
本帖最后由 hilsonma 于 2021-1-21 08:42 编辑

liuzhaoyzz 发表于 2020-12-30 07:32
PECMD是lxl1638（老九）大神的原创，中途源代码丢失过，他曾经放出过2.4-2.8的某个版本源代码，mdyblog大 ...

pecmd最原始的源代码应该是Yonsm 的
我当年使用ppc，ppc的rom定制就是使用他的工具
参考资料：
https://yonsm.github.io/celesetup/ 200704发布，其中有这一句：下载：（已过期，请参看更强大的 CeleCommand）
https://yonsm.github.io/celecmd-code/ 200708源代码
https://yonsm.github.io/celecmd/ 200901源代码
后来才有老九等人用到pe中，不过中间的文章介绍我找不到了，但看你引用文中的 "在此向Yonsm等表示感谢“ 这一句即可知道。
Yonsm是我所知的一位码神，他的代码简洁高效。

作者: liuzhaoyzz 时间: 2021-1-21 08:42

hilsonma 发表于 2021-1-21 08:36
pecmd最原始的源代码应该是Yonsm 的
我当年使用ppc，ppc的rom定制就是使用他的工具
参考资料：

是的，你说的没错。lxl1638的pecmd里面头版头条已经说明了的：

欢迎使用 PECMD - WinPE Commander，功能强大的 WinPE 命令解释工具！
PECMD - XCMD V2.2补充完善版，在XCMD V2.2基础上修改完善了CALL、DISP、LOGO、LOGS等10多条命令的参数和功能。
PECMD - XCMD V2.2补充完善版，在XCMD V2.2基础上增加了FONT、HOTK、FBWF等20多条命令，在此向Yonsm表示感谢！

QQ拼音截图20210121084134.png (40.64 KB, 下载次数: 197)

作者: hilsonma 时间: 2021-1-21 08:52

liuzhaoyzz 发表于 2021-1-21 08:42
是的，你说的没错。lxl1638的pecmd里面头版头条已经说明了的：

那就是了，应该是当年Yonsm同时发布了用于pe的xcmd，后来lxl1638补充完善变成pecmd
我没有注意看pecmd的版头说明，刚看到你这贴子，想起Yonsm，所以就回贴说一下。

作者: 窄口牛 时间: 2021-1-21 08:58

作者: plusv 时间: 2021-1-27 07:20

liuzhaoyzz 发表于 2021-1-21 08:11
好像crtdll.dll是不通用的。我从WIN10中拷贝了一个到ShowMBRPBR.exe所在的目录，运行出错了。
...

>你试试在这个微 PE 里面运行看看？
>https://cloud.189.cn/t/aiQ7NbBvUzEb
天翼云盘台湾不能下载,也不能注册.

>好像 crtdll.dll 是不通用的。我从 WIN10 中拷贝了一个到 ShowMBRPBR.exe 所在的目录，运行出错了。
我於 Windows XP/10 测试都正常.
附上 WinXP/7/10 crtdll.dll
1F 也更新,
有 1 個正常版跟 1 個特別版.

WinXP_7_10_crtdll.dll.7z

71.32 KB, 下载次数: 2, 下载积分: 无忧币 -2

WinXP_7_10_crtdll.dll.7z

作者: plusv 时间: 2021-1-27 07:38
本帖最后由 plusv 于 2021-1-27 08:01 编辑

liuzhaoyzz 发表于 2021-1-21 08:11
好像crtdll.dll是不通用的。我从WIN10中拷贝了一个到ShowMBRPBR.exe所在的目录，运行出错了。
...

你 14F 的错误信息有点奇怪,
4,294,967,295 (4 GB) 会报错,
我的硬盘 4,000,787,030,016 (3.64 TB) 大数却不报错,
我测试
1,234,567,890,123,456,789,012 (1070.817 EB) 大数也是正常的.

另外,看你能显示到 G:
猜是 G: 之后才报错,
细节我就不清楚了.

1F 更新异常不处里

作者: plusv 时间: 2021-1-27 07:39
本帖最后由 plusv 于 2021-1-27 07:54 编辑

窄口牛发表于 2021-1-21 08:58

看你能显示到 W:
猜是 W: 之后才报错,
细节我就不清楚了.

1F 更新异常不处里

作者: liuzhaoyzz 时间: 2021-1-27 08:28
本帖最后由 liuzhaoyzz 于 2021-1-27 08:47 编辑

plusv 发表于 2021-1-27 07:20
>你试试在这个微 PE 里面运行看看？
>https://cloud.189.cn/t/aiQ7NbBvUzEb
天翼云盘台湾不能下载,也 ...

https://ws28.cn/f/4kfdb2o7zt8
文叔叔网盘能下载吗？这个网盘只有7天分享时间，但是不限速。

我看了你发的crtdll.dll，WIN10下面的和我的电脑的是一样的md5.

我下载了你一楼上传的\ShowMBRPBR_Update_02\ShowMBRPBR_SpecEdtion.exe版本，不依赖crtdll.dll，在微PE里面运行也不报错了，感谢！

另外ShowMBRPBR_SpecEdtion.exe只有42KB，是压缩过的吧，360容易报毒，请发个没有压缩的版本（目前扫描通过，但是360容易发疯的）。这个程序不单单是给我自己用，有时候还可以给别人用，如果被360杀掉，批处理后续判断会出错，所以不能报毒。

作者: plusv 时间: 2021-1-27 08:43

liuzhaoyzz 发表于 2021-1-27 08:28
https://ws28.cn/f/4kfdb2o7zt8
文叔叔网盘能下载吗？这个网盘只有7天分享时间，但是不限速。

>文叔叔网盘能下载吗？这个网盘只有7天分享时间，但是不限速。
可以下载,
下载速限 35 Mbps.

>请发个没有压缩的版本（目前扫描通过，但是360容易发疯的）。
https://upx.github.io/

解壓 upx -d ShowMBRPBR.exe

作者: liuzhaoyzz 时间: 2021-1-27 08:52

plusv 发表于 2021-1-27 08:43
>文叔叔网盘能下载吗？这个网盘只有7天分享时间，但是不限速。
可以下载,
下载速限 35 Mbps.

请在一楼直接上传个没有压缩的版本吧，我这边已经用你的方法解压缩过了。

作者: plusv 时间: 2021-1-27 08:54

liuzhaoyzz 发表于 2021-1-27 08:28
https://ws28.cn/f/4kfdb2o7zt8
文叔叔网盘能下载吗？这个网盘只有7天分享时间，但是不限速。

>https://ws28.cn/f/4kfdb2o7zt8
>文叔叔网盘能下载吗？这个网盘只有7天分享时间，但是不限速

WinXP/7/10 crtdll.dll 测试都正常.

作者: plusv 时间: 2021-1-27 09:07

liuzhaoyzz 发表于 2021-1-27 08:52
请在一楼直接上传个没有压缩的版本吧，我这边已经用你的方法解压缩过了。

通常 UPX 很稳定,不易报毒.
解压后查壳能完美查出 Delphi,
压缩前与后程序码区段一模一样,
就不传了.

作者: fjice 时间: 2022-12-27 10:49

多谢分享

作者: erfsdfs 时间: 2023-5-19 14:35
很给力!

欢迎光临无忧启动论坛 (http://bbs.c3.wuyou.net/)