无忧启动论坛

标题: PECMD.INI CMPS/CMPA 加密破解方法 [打印本页]

---

作者: liberize    时间: 2015-10-15 23:41
标题: PECMD.INI CMPS/CMPA 加密破解方法


前言：

最近在找一个好用的 PE，找到了阿弥陀佛的 Win7PE，符合我的需求，然而当我想定制一下的时候，却发现里面的 INI 脚本做了加密。
发信请求解密，没有得到回复，于是自己写了个小工具，解出了其中的 INI 脚本。

原理：

已开源在 GitHub：https://github.com/liberize/pecmd-decrypt，其实没有几行代码。

其实准确说“解密”无关，目前之所以没有破解只是因为算法没公开，我也没有去研究它的算法，
反正不管怎样，最后肯定要解出来才能执行，所以我在执行的地方替换了它调用的系统 API，从 API 参数里面拿到了解出来的脚本。

鉴于 mdyblog 已经做出了反应，相信他已经知道我 hook 的是哪个 API，没错，就是 MultiByteToWideChar。
pecmd 执行每一行的时候会将其转为 unicode 编码，便会调用上面的 api，过滤一下就可以得到原始内容。

理论上此方法适用于使用所有加密方式加密的 ini，不限于 CMPS/CMPA。

用什么版本的 pecmd.exe 其实无所谓，但是最近的 m 版 pecmd，启动时会执行一个内置脚本，这个脚本的内容也会出现在生成的 ini 文件中，
为了避免混在一起无法区分，请使用不会执行内置脚本的 pecmd，谁有的话欢迎提供（我就不传了，附件只能传 500k）。
判断方法：用一个没有加密的脚本去跑，如果解出来是一样的，那么就不会执行内置脚本。

步骤：

本人比较懒，所以直接发布简陋的命令行工具，没有做成 GUI 工具。以下步骤在 PE 下进行。

1. 先得到加密的 pecmd.ini，如果内置于 pecmd.exe，请用 res hacker 提取
2. 找一个不会执行内置脚本的 pecmd.exe，32/64 位其实无所谓，只要 PE 能运行就可以
3. 下载附件，使用与 pecmd.exe 对应的版本，比如 pecmd.exe 是 64 位的就使用 x64 文件夹中的版本
4. 将 1、2 里面的 pecmd.exe 和 pecmd.ini 放在 x86/x64 这个目录下
5. 打开终端，运行 DetourHook.exe "pecmd.exe pecmd.ini" DetourHookDll.dll
6. 在当前目录生成 original.ini，便是解密后的 pecmd.ini



工具：

10-16 更新: 修复了乱码等若干 bug，生成的原始 ini 更加准确

http://pan.baidu.com/s/1hquEuv6 密码：hnjw

---

作者: 2012hzy6420    时间: 2015-10-15 23:42
xxfx谢谢分享

---

作者: 赤木刚宪    时间: 2015-10-16 00:03
LZ是通过日志判断？貌似不科学，对新版PECMD也无效

---

作者: 阿弥陀佛    时间: 2015-10-16 00:11
牛！我的PE被拿来开刀了。还好没有恶意代码
软件先收藏！

---

作者: 阿弥陀佛    时间: 2015-10-16 00:14

赤木刚宪 发表于 2015-10-16 00:03
LZ是通过日志判断？貌似不科学，对新版PECMD也无效

应该不是通过日志啊。软件还没测试，但是看截图跟我写的配置一样一样滴。牛逼！m大要哭了

---

作者: liberize    时间: 2015-10-16 00:17

赤木刚宪 发表于 2015-10-16 00:03
LZ是通过日志判断？貌似不科学，对新版PECMD也无效

其实准确说“解密”无关，目前之所以没有破解只是因为算法没公开，我也没有去研究它的算法，反正不管怎样，最后肯定要解出来才能执行，所以我在执行的地方替换了它调用的系统 API，从参数里面拿到了解出来的脚本。

---

作者: liberize    时间: 2015-10-16 00:19

阿弥陀佛 发表于 2015-10-16 00:11
牛！我的PE被拿来开刀了。还好没有恶意代码
软件先收藏！

---

作者: xzf680    时间: 2015-10-16 00:20
感谢分享，辛苦了

---

作者: 1400700226    时间: 2015-10-16 00:23

阿弥陀佛 发表于 2015-10-16 00:11
牛！我的PE被拿来开刀了。还好没有恶意代码
软件先收藏！

哈哈，不知道大神为啥要加密？这样不是无忧风格啊。。。。。。

---

作者: 阿弥陀佛    时间: 2015-10-16 00:24

liberize 发表于 2015-10-16 00:17
其实准确说“解密”无关，目前之所以没有破解只是因为算法没公开，我也没有去研究它的算法，反正不管怎样 ...

要是这样的话，那就算整个pecmd.exe压缩加壳，应该也可以拿到脚本吧

---

作者: liberize    时间: 2015-10-16 00:30

阿弥陀佛 发表于 2015-10-16 00:24
要是这样的话，那就算整个pecmd.exe压缩加壳，应该也可以拿到脚本吧

是的，不过其实这个破解的方法封住也不难

---

作者: 阿弥陀佛    时间: 2015-10-16 00:30

1400700226 发表于 2015-10-16 00:23
哈哈，不知道大神为啥要加密？这样不是无忧风格啊。。。。。。

这个么，在做这个win7PE之前我也从来不加密。但是无忧不是有段时间被某些人搅浑了。还有人就拿别人的pe随便改点皮毛就吹得天花乱坠。某些臭名昭著的个人或网站，甚至加了恶意软件。。。。我想有点水平的人配置文件完全可以自己写。这也是一种学习啊。而且我的pe也留了pecmd.ini最为diy的接口。

---

作者: liberize    时间: 2015-10-16 00:35

阿弥陀佛 发表于 2015-10-16 00:30
这个么，在做这个win7PE之前我也从来不加密。但是无忧不是有段时间被某些人搅浑了。还有人就拿别人的pe随 ...

其实我只是想把世界之窗换成比较小的 opera，虽说直接删掉世界之窗的文件就可以了，可是我有比较严重的洁癖 + 强迫症，不把世界之窗的代码删掉就浑身不爽，所以。。。

---

作者: 阿弥陀佛    时间: 2015-10-16 00:39

liberize 发表于 2015-10-16 00:30
是的，不过其实这个破解的方法封住也不难

那个7pe还有些问题。dism好像不完整。可能因为我添加的驱动不适合，有些人反应找不到磁盘。还有一个U盘不能自动分配盘符，这个只要kill explorer就行了，这句忘了。配置文件后面那段代码就是定时检测插入新磁盘就自动kill explorer的。本来想等问题多一点再作更新的。
如果你需要，我再传一个没有软件没有集成驱动的版本。

---

作者: 阿弥陀佛    时间: 2015-10-16 00:57
渣网速。上传限制得只有500kb/s。。传完了
链接: http://pan.baidu.com/s/1ntnI88T 密码: mmnq

---

作者: gylgw    时间: 2015-10-16 06:28


这个比较牛啊，谢谢楼主分享。

但是好像对我现在所用的PE解密不了，解出来是乱码。而且在RH中怎么判断哪个是PECMD呢？

和你一样位置没有内容

---

作者: tegl    时间: 2015-10-16 07:12
厉害，感谢分享宝贵经验

---

作者: chiannet    时间: 2015-10-16 07:41

liberize 发表于 2015-10-16 00:17
其实准确说“解密”无关，目前之所以没有破解只是因为算法没公开，我也没有去研究它的算法，反正不管怎样 ...

又一牛人。

---

作者: 赤木刚宪    时间: 2015-10-16 07:49

chiannet 发表于 2015-10-16 07:41
又一牛人。

我测试解密失败哦

---

作者: notepad    时间: 2015-10-16 08:19
给加密的脚本解密成功，感谢分享！

---

作者: skype2015    时间: 2015-10-16 08:30
感谢分享

---

作者: chiannet    时间: 2015-10-16 09:12

赤木刚宪 发表于 2015-10-16 07:49
我测试解密失败哦

我测试成功了

---

作者: bowpot    时间: 2015-10-16 09:46
不学习就跟不上了

---

作者: 2012jc天马行空    时间: 2015-10-16 10:45

chiannet 发表于 2015-10-16 09:12
我测试成功了

同样成功

---

作者: liberize    时间: 2015-10-16 10:58

chiannet 发表于 2015-10-16 09:12
我测试成功了

不能解的请贴上你们的 PECMD.EXE，我看一下

---

作者: liberize    时间: 2015-10-16 11:00

gylgw 发表于 2015-10-16 06:28
这个比较牛啊，谢谢楼主分享。

但是好像对我现在所用的PE解密不了，解出来是乱码。而且在RH中怎么判断哪 ...

你找的第二张图这个就是啊，一般比较大的资源，并且在开始有　ＣＭＰＡ　字样应该就是了
第三张图似乎只有注释乱码？也许原来的脚本就是这样子的

---

作者: liberize    时间: 2015-10-16 11:03

赤木刚宪 发表于 2015-10-16 07:49
我测试解密失败哦

不能解的请贴上你们的 PECMD.EXE，我看一下

---

作者: 青青草    时间: 2015-10-16 11:09

liberize 发表于 2015-10-16 11:03
不能解的请贴上你们的 PECMD.EXE，我看一下

麻烦您帮忙看一下，谢谢了！

PECMD.rar

2015-10-16 11:08 上传

点击文件名下载附件

下载积分: 无忧币 -2

691.97 KB, 下载次数: 123, 下载积分: 无忧币 -2

PECMDini.rar

2015-10-17 00:17 上传

点击文件名下载附件

下载积分: 无忧币 -2

10.28 KB, 下载次数: 66, 下载积分: 无忧币 -2

---

作者: liberize    时间: 2015-10-16 11:12

青青草 发表于 2015-10-16 11:09
麻烦您帮忙看一下，谢谢了！

你这个 PECMD 有点丧心病狂啊，资源里面放满了脚本，有加密的也有没加密的

---

作者: 青青草    时间: 2015-10-16 11:15

liberize 发表于 2015-10-16 11:12
你这个 PECMD 有点丧心病狂啊，资源里面放满了脚本，有加密的也有没加密的

呵呵，难怪找不到。谢谢了！

---

作者: gylgw    时间: 2015-10-16 11:20
我使用的PECMD.EXE和PECMD.INI，还有一个是三卡加载INI

PECMD.part1.rar

2015-10-16 11:19 上传

点击文件名下载附件

下载积分: 无忧币 -2

490 KB, 下载次数: 83, 下载积分: 无忧币 -2

PECMD.part2.rar

2015-10-16 11:19 上传

点击文件名下载附件

下载积分: 无忧币 -2

275.57 KB, 下载次数: 73, 下载积分: 无忧币 -2

---

作者: liberize    时间: 2015-10-16 11:20

青青草 发表于 2015-10-16 11:09
麻烦您帮忙看一下，谢谢了！

我看了，有一些乱码，还有一些内容不对，我再看一下

---

作者: 青青草    时间: 2015-10-16 11:29

liberize 发表于 2015-10-16 11:20
我看了，有一些乱码，还有一些内容不对，我再看一下

再次谢谢了！

---

作者: lbw2007    时间: 2015-10-16 13:05
不明觉厉……
说白了就是绕过加密了是吗。支持分享！

---

作者: 糊涂    时间: 2015-10-16 13:45
我就说嘛，有矛就有盾，只是时间问题，用不了多久，“一键式”明文程序就会出来！

---

作者: gylgw    时间: 2015-10-16 15:23

liberize 发表于 2015-10-16 11:03
不能解的请贴上你们的 PECMD.EXE，我看一下

麻烦帮我的看一下可以吗？在31楼，谢谢

---

作者: feng-aa    时间: 2015-10-16 16:16
是我不会用吗，没有成功，
菜鸟不懂 （1. 用 res hacker 提取 pecmd.exe 中加密的 ini 文件，保存到文件，比如 201）这个干嘛用
保存到什么后缀文件呢，这一步是不是看ini在那里啊
是不是直接下面的就可以啦
2. 下载附件，使用与 pecmd.exe 对应的版本，比如 pecmd.exe 是 64 位的就使用 x64 文件夹中的版本
3. 打开终端，运行 DetourHook.exe "pecmd.exe 201" DetourHookDll.dll
4. 在当前目录生成 log.txt，便是解密后的 pecmd.ini

---

作者: 2012jc天马行空    时间: 2015-10-16 16:30

feng-aa 发表于 2015-10-16 16:16
是我不会用吗，没有成功，
菜鸟不懂 （1. 用 res hacker 提取 pecmd.exe 中加密的 ini 文件，保存到文件， ...

他针对的是pecmd.exe与pecmd.ini合并的情况。有些分开的，只要拿pecmd.ini来解密就行了

---

作者: zds1210    时间: 2015-10-16 16:32
加我群。。人才

---

作者: awnuitfk    时间: 2015-10-16 17:38
支持！！！年年有牛人！今年又一个！嘿嘿！

---

作者: awnuitfk    时间: 2015-10-16 17:52
楼主，最后一步在终端运行，什么意思？我运行报错呀！！！！

---

作者: 大毛桃    时间: 2015-10-16 18:46
解密成功！

---

作者: my9823    时间: 2015-10-16 19:13
就是说利用pecmd加载配置文件时肯定要解密来获取解密后的ini，欲擒故纵！

---

作者: my9823    时间: 2015-10-16 19:27

awnuitfk 发表于 2015-10-16 17:52
楼主，最后一步在终端运行，什么意思？我运行报错呀！！！！

打开终端，运行 DetourHook.exe "pecmd.exe 201" DetourHookDll.dll
其中的201是你导出的加密的ini，用原版的pecmd加载这个配置，如果你导出时peinit，就把201改成你到处的文件名，我猜是这样用的！

---

作者: andos    时间: 2015-10-16 19:50
M似乎出手了?

http://bbs.wuyou.net/forum.php?m ... 9021&fromuid=329939

CMPS 加密的代码，请请UNICODE 带BOM格式保存。并换用最新版本。
用记事本另存为 UNICODE即可。
如图：


用WinHEX看，开始2个字节是 FF FE  就对了。

---

作者: zhczf    时间: 2015-10-16 19:55
楼主的教程太简陋了，搞详细更好

---

作者: 2012qz    时间: 2015-10-16 20:24

2012jc天马行空 发表于 2015-10-16 16:30
他针对的是pecmd.exe与pecmd.ini合并的情况。有些分开的，只要拿pecmd.ini来解密就行了

我的是分开的，好像不成功，解密后 log 内容都一样

---

作者: liberize    时间: 2015-10-16 20:29

2012qz 发表于 2015-10-16 20:24
我的是分开的，好像不成功，解密后 log 内容都一样

前面可能是内置脚本，看 1 楼

---

作者: liberize    时间: 2015-10-16 20:30

gylgw 发表于 2015-10-16 11:20
我使用的PECMD.EXE和PECMD.INI，还有一个是三卡加载INI

请再试试，乱码应该没有了，我这儿基本都能解，除了那个 PECMD.INI　一执行就重启。。。
注意前面一段可能是内置脚本，看 1 楼

---

作者: liberize    时间: 2015-10-16 20:32

青青草 发表于 2015-10-16 11:09
麻烦您帮忙看一下，谢谢了！

更新了，你再试试，乱码应该没有了，注意下前面可能是内置脚本，看 1 楼

---

作者: 2012qz    时间: 2015-10-16 20:32

liberize 发表于 2015-10-16 20:29
前面可能是内置脚本，看 1 楼

INI和WCS解密后只有3行代码，全部一样，不知道是不是我操作问题，换新版本解密后original.ini空白

---

作者: 2012qz    时间: 2015-10-16 20:57

liberize 发表于 2015-10-16 20:32
更新了，你再试试，乱码应该没有了，注意下前面可能是内置脚本，看 1 楼

我想问一下，被解密的 INI 要放在那个文件夹，DetourHook.exe等破解文件有要求放在哪个目录吗

---

作者: 23456    时间: 2015-10-16 21:49




成功了  原来是挑PECMD.EXE          大白菜03     PE乱码

---

作者: liberize    时间: 2015-10-16 22:07

23456 发表于 2015-10-16 21:49
成功了  原来是挑PECMD.EXE          大白菜03     PE乱码

这个不像是成功了。。

---

作者: 23456    时间: 2015-10-16 22:35

liberize 发表于 2015-10-16 22:07
这个不像是成功了。。

乱码


附原件      DBC3.zip (6.54 KB, 下载次数: 195)

2015-10-16 22:35 上传

点击文件名下载附件

改后缀

---

作者: 青青草    时间: 2015-10-17 00:21

liberize 发表于 2015-10-16 20:32
更新了，你再试试，乱码应该没有了，注意下前面可能是内置脚本，看 1 楼

还是不行。麻烦您再看一下好吗？我把pecmd.exe和pecmd.ini也一并上传了，在28楼。先谢谢了！

---

作者: liberize    时间: 2015-10-17 01:07

23456 发表于 2015-10-16 22:35
乱码

我试了，没问题啊

FIND MEM<384,FBWF P40 L96 H192!FBWF P50 L160 H299

TEAM ENVI W=%WinDir%|ENVI $WS=%WinDir%\SYSTEM32|ENVI WSD=%WS%\Drivers



TEAM LOGO %WS%\DBC.JPG |DISP B32|WAIT 169

//TEAM TEXT 正在启动大白菜WinPE维护系统 …… #0xFFFFFF L59 T490 R500 B520 $20*|WAIT 69

TEAM FILE %W%\TXTSETUP.SI*|PATH #%WS%\CONFIG|FILE %WS%\*.*_|FILE %WSD%\*.SY_

TEAM PATH %SystemDrive%\TEMP|INIT U,3690|EXEC @PECMD.EXE CALL $SHELL32.DLL,DllInstall,#1,U



TEAM ENVI V0=HKLM\System\CurrentControlSet\Services|ENVI V1=System32\Drivers

REGI %V0%\USBHUB\ImagePath=%V1%\USBHUB.SYS

REGI %V0%\USBCCGP\ImagePath=%V1%\USBCCGP.SYS

REGI %V0%\USBEHCI\ImagePath=%V1%\USBEHCI.SYS

REGI %V0%\USBOHCI\ImagePath=%V1%\USBOHCI.SYS

REGI %V0%\USBSTOR\ImagePath=%V1%\USBSTOR.SYS

REGI %V0%\USBUHCI\ImagePath=%V1%\USBUHCI.SYS

REGI %V0%\HIDUSB\ImagePath=%V1%\HIDUSB.SYS

REGI %V0%\MOUCLASS\ImagePath=%V1%\MOUCLASS.SYS

REGI %V0%\MOUHID\ImagePath=%V1%\MOUHID.SYS

REGI %V0%\KBDCLASS\ImagePath=%V1%\KBDCLASS.SYS

REGI %V0%\KBDHID\ImagePath=%V1%\KBDHID.SYS

REGI %V0%\CDROM\ImagePath=%V1%\CDROM.SYS



REGI %V0%\AMDHUB30\ImagePath=%V1%\AMDHUB30.SYS

REGI %V0%\AMDXHC\ImagePath=%V1%\AMDXHC.SYS

REGI %V0%\USBFILTER\ImagePath=%V1%\USBFILTER.SYS

REGI %V0%\ASMTHUB3\ImagePath=%V1%\ASMTHUB3.SYS

REGI %V0%\ASMTXHCI\ImagePath=%V1%\ASMTXHCI.SYS

REGI %V0%\ETRONHUB3\ImagePath=%V1%\ETRONHUB3.SYS

REGI %V0%\ETRONXHCI\ImagePath=%V1%\ETRONXHCI.SYS

REGI %V0%\NUSB3HUB\ImagePath=%V1%\NUSB3HUB.SYS

REGI %V0%\NUSB3XHC\ImagePath=%V1%\NUSB3XHC.SYS

REGI %V0%\RUSB3HUB\ImagePath=%V1%\RUSB3HUB.SYS

REGI %V0%\RUSB3XHC\ImagePath=%V1%\RUSB3XHC.SYS

REGI %V0%\nusb3xhc\ImagePath=%V1%\ViaHub3.sys



REGI HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace\{D20EA4E1-3957-11d2-A40B-0C5020524153}\!

REGI HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace\{D6277990-4C6A-11CF-8D87-00AA0060F5BF}\!  `删除任务计划

REGI HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{450D8FBA-AD25-11D0-98A8-0800361B1103}\!   `删除桌面我的文档

REGI HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\{59031a47-3f72-44a7-89c5-5595fe6b30ee}\!`删除共享文档



EXEC =!%WinDir%\SYSTEM32\SHOWDRIVE.EXE

//EXEC =!%WinDir%\SYSTEM32\ORDERDRV.CMD

EXEC =!%WinDir%\SYSTEM32\FIXUSB.EXE U



EXEC *=%WS%\7z.EXE x %WSD%\IntelRaid.sys -pBaiCai13287712562 -y -aoa -o"%Windir%\System32\"



//连接外置.CD+UD的选择和处理.挂载外置程序设置环境变量

FIND MEM>384,RAMD ImDisk,L125,NTFS,Z:,虚拟盘!RAMD ImDisk,L35,NTFS,Z:,虚拟盘

//FIND MEM>512,RAMD ImDisk* -e -s 50M -m Z:

PATH Z:\Temp\

WAIT 300

EXEC =!%WinDir%\SYSTEM32\dbc.exe (ud) output "idbc/peload/*" %WS%\%~nx

IFEX %WS%\BCUDTOOLS.INI,!EXEC !=%WS%\bootpart.exe -mount -readonly -driveletter V:

IFEX U:\IDBC\TOOLS\Extend.wim,exec @=%Windir%\System32\bootpart.exe  -eject

IFEX %WS%\BCUDTOOLS.INI,LOAD %WS%\BCUDTOOLS.INI!FORX !\IDBC\TOOLS\BCCDTOOLS.INI,IniCD,1,LOAD %IniCD%

WAIT 365



IFEX Z:\Tools\Basic.WIM,MOUN Z:\Tools\Basic.wim,Y:\Basic\,1,%Temp%

IFEX Z:\Tools\Extend.WIM,MOUN Z:\Tools\Extend.WIM,Y:\Extend\,1,%Temp%



ENVI OPDir=Y:\Basic

ENVI EXDir=Y:\Extend

//ENVI ICPT=X:\WXPE\SYSTEM32\ICO.DLL#

//ENVI ICSH=X:\WXPE\SYSTEM32\SHELL32.DLL#

ENVI DFUR=X:\Documents and Settings\Default User\

WAIT 369



//加载二级内核.创建桌面开始菜单快捷方式.注册热键.需要在7Z解压之后执行

//IFEX Z:\DBC3.7z,EXEC *=%WS%\7z.exe x Z:\DBC3.7z -pBaiCai13287712562 -y -aoa -o"%WinDir%\"

NUMK 0

RUNS PECMD.EXE EXEC !%WS%\INTERNAT.EXE,输入法指示器

EXEC !X:\WXPE\SYSTEM32\MMC.CMD

EXEC =!CMD.EXE /C "REGSVR32 /S X:\WXPE\SYSTEM32\SEND.DLL"

//REGI HKCR\*\shell\CAB-最大压缩\command\=makecab /v1 /D CompressionType=LZX /D CompressionMemory=21 "%1"

//EXEC !%OPDir%\输入工具\INSWB.CMD

EXEC *=%WS%\7z.exe x %OPDir%\输入工具\FREEWB.7z -y -aoa -o"%ProgramFiles%\FreeWB"

EXEC *%ProgramFiles%\FreeWB\REGISTRY.EXE /S

EXEC @%OPDir%\输入工具\ZG.EXE

EXEC *=%WS%\LOADSYS.EXE

TEAM FILE %WS%\LOADSYS.EXE|FILE %WSD%\IntelRaid.sys

WAIT 365

LINK %Desktop%\GHOST克隆  【Alt+G 】,%OPDir%\GHOST32\GHOST32.EXE

LINK %Desktop%\Win系统安装 【Alt+W】,%OPDir%\系统安装\WinNTSetup.exe

LINK %Desktop%\DG分区工具  【Alt+D】,%OPDir%\磁盘管理\diskgenius.exe

LINK %Desktop%\Win引导修复【Alt+F】,%OPDir%\系统维护\NTBOOTautofix.exe

LINK %Desktop%\登录密码清除【Alt+C】,%OPDir%\密码管理\NTPWEDIT.exe

LINK %Desktop%\虚拟光驱,%OPDir%\光盘工具\虚拟光驱\vdm.exe

FIND MEM<512,LINK %Desktop%\设置临时文件,%WS%\PECMD.EXE,LOAD %WS%\PESET.INI,SHELL32.DLL#12



//LINK %Programs%\临时文件,%WS%\PECMD.EXE,LOAD %WS%\PESET.INI,SHELL32.DLL#12

LINK %Programs%\我的工具,X:\WXPE\SYSTEM32\我的工具.exe



HOTK #112,PECMD.EXE        `注册热键：F1 帮助

HOTK #120,PECMD EXEC !X:\WXPE\SYSTEM32\SL.CMD

HOTK #121,PECMD EXEC !X:\WXPE\SYSTEM32\CLEANTEMP.CMD

HOTK #122,%OPDir%\图形图像\WINSNAP.EXE



HOTK Alt+D,Y:\Basic\磁盘管理\Diskgenius.EXE

HOTK Alt+G,Y:\Basic\GHOST32\GHOST32.EXE

HOTK Alt+W,Y:\Basic\系统安装\WinNTSetup.EXE

HOTK Alt+F,Y:\Basic\系统维护\NTBOOTautofix.EXE

HOTK Alt+C,Y:\Basic\密码管理\NTPWEDIT.EXE

HOTK Alt+Z,%WS%\DBCGhost.EXE

HOTK Alt+A,Y:\EXTEND\密码管理\dialupass.exe





//快捷启动和开始菜单.LNK

//LINK %QuickLaunch%\我的电脑,%WS%\MYC.LNK

LINK %QuickLaunch%\截图工具(F11),%OPDir%\图形图像\WINSNAP.EXE

LINK !%QuickLaunch%\临时文件清除,X:\WXPE\SYSTEM32\CLEANTEMP.CMD,,X:\WXPE\SYSTEM32\CLEANTEMP.ICO

LINK %QuickLaunch%\设置临时文件,%WS%\PECMD.EXE,LOAD %WS%\PESET.INI,SHELL32.DLL#12

LINK %QuickLaunch%\资源管理器,%W%\EXPLORER.EXE,/E,EXPLORER.EXE#1

LINK !%StartMenu%\刷新系统 [F9],X:\WXPE\SYSTEM32\SL.CMD,,X:\WXPE\SYSTEM32\CLEANTEMP.ICO

LINK %StartMenu%\设置临时文件,%WS%\PECMD.EXE,LOAD %WS%\PESET.INI,SHELL32.DLL#12





//************************************进入桌面***********************************

EXEC =%WS%\MYSET.EXE PUTSPT

IFEX %WS%\DBCGHOST.EXE,EXEC %WS%\DBCGHOST.EXE /AUTO



TEAM LOGO %WS%\DBC2.JPG |WAIT 1666

//TEAM TEXT 正在载入桌面，请稍候 …… #0x00ffff l150 t500 r500 b520 $20|wait 300

TEAM DISP W1024 H768 B32|WAIT 166

WALL %WS%\DESK.JPG

//WAIT 366

//EXEC WALLCMD %WS%\DESK.JPG

FIND Explorer.EXE,!TEAM SHEL %WinDir%\EXPLORER.EXE|WAIT 1999|LOGO

//************************************进入桌面***********************************





EXEC !X:\WXPE\SYSTEM32\NUMLOCK.EXE

FONT X:\WXPE\FONTS

//EXEC !%OPDir%\REGDOC.CMD

WAIT 669

SITE %USERPROFILE%\「开始」菜单\程序\启动,+H

EXEC =!%WinDir%\SYSTEM32\OEM.CMD

//EXEC =!%WinDir%\SYSTEM32\HFS.CMD

USER 装机专家,大白菜PE-www.winbaicai.com



//基本工具菜单

LINK %Programs%\GHOST32\Ghost32 11.0.2,%OPDir%\GHOST32\GHOST32.EXE

LINK %Programs%\GHOST32\GhostExp镜像浏览器,%OPDir%\GHOST32\ghostexp.exe

LINK %Programs%\GHOST32\GhoHash密码查看器,%OPDir%\GHOST32\ghohash.exe

LINK !%Programs%\WIM工具\启用Wimtool,%OPDir%\ISWIM.CMD,,%OPDir%\WIM工具\WIMTOOL.EXE

LINK !%Programs%\WIM工具\启用WimNT,%OPDir%\ISWIMT.CMD,,%OPDir%\WIM工具\WIMNT.EXE

LINK %Programs%\文件工具\WinRar,%OPDir%\WINRAR\WINRAR.EXE

LINK %Programs%\磁盘管理\DiskGenius磁盘分区,%OPDir%\磁盘管理\diskgenius.exe

LINK %Programs%\磁盘管理\Bootice引导扇区管理,%OPDir%\磁盘管理\bootice.exe

LINK %Programs%\光盘工具\虚拟光驱,%OPDir%\光盘工具\虚拟光驱\vdm.exe

LINK %Programs%\光盘工具\ULTRAISO,%OPDir%\光盘工具\ULTRAISO\UltraISO.exe

LINK %Programs%\密码管理\Windows密码清除器,%OPDir%\密码管理\NTPWEDIT.exe

LINK %Programs%\系统维护\系统启动引导修复,%OPDir%\系统维护\NTBOOTautofix.exe

LINK %Programs%\图形图像\ACDSEE图片编辑,%OPDir%\图形图像\ACDSEE\ACDSEE.exe

LINK %Programs%\图形图像\WINSNAP截图,%OPDir%\图形图像\WINSNAP.exe

LINK %Programs%\系统安装\NT6系统安装器gui,%OPDir%\系统安装\NT6快捷安装器.exe

LINK %Programs%\系统安装\Windows通用安装器,%OPDir%\系统安装\WinNTSetup.exe



//附件.查看

LINK %Programs%\附件工具\记事本,%WS%\NOTEPAD.EXE

LINK %Programs%\附件工具\命令提示符,%WS%\CMD.EXE

LINK %Programs%\附件工具\注册表编辑器,%W%\REGEDIT.EXE

LINK %Programs%\附件工具\资源管理器,%W%\EXPLORER.EXE,,EXPLORER.EXE#1

LINK %Programs%\系统微调\显示隐藏分区,%WS%\PECMD.EXE,SHOW -1:-1,SHELL32.DLL#101

LINK %Programs%\系统微调\分配磁盘盘符,%WS%\SHOWDRIVE.EXE,,Shell32.dll#8

LINK %Programs%\系统微调\设置临时文件,%WS%\PECMD.EXE,LOAD %WS%\PESET.INI,SHELL32.DLL#12

LINK %Programs%\附件工具\查看.详细方式,%WS%\XX.CMD,,Shell32.dll#19

LINK %Programs%\附件工具\查看.平铺方式,%WS%\PP.CMD,,Shell32.dll#19

LINK %Programs%\附件工具\查看.图标方式,%WS%\TB.CMD,,Shell32.dll#19

LINK %Programs%\附件工具\计算器,%WS%\CALC.EXE

LINK %Programs%\附件工具\画图,%WS%\MSPAINT.EXE

LINK !%Programs%\附件工具\清除临时文件 F10,%WS%\CLEANTEMP.CMD,,%WS%\CLEANTEMP.ICO

LINK !%Programs%\附件工具\加入 UltraISO 关联,%OPDir%\光盘工具\ULTRAISO\SETUP.CMD,,%OPDir%\光盘工具\ULTRAISO\ULTRAISO.exe



//扩展外置菜单

IFEX %exdir%\Readme.txt,CALL UD_EXTOOL



_SUB UD_EXTOOL



//BIOS工具

link %programs%\BIOS工具\AMI BIOS刷新,%exdir%\BIOS工具\afuwin4.45cn.exe

link %programs%\BIOS工具\Award BIOS刷新,%exdir%\BIOS工具\winflash1.97.exe

link %programs%\BIOS工具\Phoenix BIOS刷新,%exdir%\BIOS工具\winphlash2.0.3.4.exe,,

link %programs%\BIOS工具\BIOS万能备份,%exdir%\BIOS工具\bios_backup_tookit.exe



//GHOST工具

link %programs%\GHOST32\GHOST32 8.3,%exdir%\GHOST32\GHOST83.exe

link %programs%\GHOST32\GHOST32 11.5,%exdir%\GHOST32\GHOST115.exe



//wim工具

link %programs%\wim工具\GimageX,%exdir%\WIM工具\PEGimagex.exe



//办公阅读

link %programs%\办公阅读\PDF阅读器,%exdir%\办公阅读\PDF阅读器.exe

EXEC !REGEDIT /S %exdir%\办公阅读\KEY.REG

link !%programs%\办公阅读\WORD文字处理,%exdir%\办公阅读\Word.exe

link %programs%\办公阅读\EXCEL表格处理,%exdir%\办公阅读\Excel.exe

link %programs%\办公阅读\PPT幻灯片处理,%exdir%\办公阅读\PPTView.exe



//备份还原

link %programs%\备份还原\GhostSev网络服务端,%exdir%\备份还原\ghostsrv.exe

link %programs%\备份还原\ImageX一键恢复,%exdir%\备份还原\imagex.exe

link %programs%\备份还原\一键备份恢复,%exdir%\备份还原\CGI.exe



//磁盘管理

link %programs%\磁盘管理\ADDS无损分区,%exdir%\磁盘管理\ADDS\adds.exe

link %programs%\磁盘管理\LFormat磁盘低格,%exdir%\磁盘管理\lformat.exe

link %programs%\磁盘管理\PTDD分区表医生,%exdir%\磁盘管理\ptdd.exe

link %programs%\磁盘管理\UltraDefrag碎片整理,%exdir%\磁盘管理\ultradefrag.exe

link %programs%\磁盘管理\WinPm 7.0分区管理,%exdir%\磁盘管理\winpm.exe

link %programs%\磁盘管理\U盘格式化HDD,%exdir%\磁盘管理\HPUSBFW.exe

link %programs%\磁盘管理\磁盘分区助手,%exdir%\磁盘管理\PARTASSIST.exe

link %programs%\磁盘管理\识别苹果分区,%exdir%\磁盘管理\Apple.exe,-dnd

link %desktop%\识别苹果分区,%exdir%\磁盘管理\Apple.exe,-dnd



//密码管理

link %programs%\密码管理\CMOS密码清除,%exdir%\密码管理\cmos.exe

link %programs%\密码管理\ADSL密码查看,%exdir%\密码管理\dialupass.exe

link %programs%\密码管理\Win Nt密码编辑,%exdir%\密码管理\ntpwedit.exe

link %programs%\密码管理\Win Nt密码恢复,%exdir%\密码管理\passwdrenew.exe

link %programs%\密码管理\通用密码查看器,%exdir%\密码管理\密码查看.exe



//驱动管理

link %programs%\驱动管理\SDB驱动备份,%exdir%\驱动管理\driverbak.exe

link %programs%\驱动管理\DEP驱动备份,%exdir%\驱动管理\driverexportpe.exe

link %programs%\驱动管理\GDP驱动提取,%exdir%\驱动管理\getpedriver.exe

link %programs%\驱动管理\安装自定义驱动,%exdir%\驱动管理\mpeidrv.exe



//数据恢复

link %programs%\数据恢复\FinalData数据恢复,%exdir%\数据恢复\finaldata.exe

link %programs%\数据恢复\RSTUDIO数据恢复,%exdir%\数据恢复\RSTUDIO.EXE

link %programs%\数据恢复\易我数据恢复,%exdir%\数据恢复\易我数据恢复.exe

link %programs%\数据恢复\金山数据恢复,%exdir%\数据恢复\金山数据恢复.exe



//图形图像

link %programs%\图形图像\屏幕截取GIF,%exdir%\图形图像\GIF.exe

link %programs%\图形图像\PDF阅读器,%exdir%\图形图像\FOXITREADER.exe

link %programs%\图形图像\微型Photoshop,%exdir%\图形图像\StylePix.exe



//网络工具

IFEX %Desktop%\设置临时文件.LNK,!link %desktop%\加载网络组件,%exdir%\网络工具\Net03.exe

IFEX %Desktop%\设置临时文件.LNK,!link %programs%\网络工具\加载网络组件,%exdir%\网络工具\Net03.exe

IFEX %Desktop%\设置临时文件.LNK,!link %programs%\网络工具\简易FTP服务器,%exdir%\网络工具\FTPServer.exe

IFEX %Desktop%\设置临时文件.LNK,!link %programs%\网络工具\腾讯WebQQ,%exdir%\网络工具\WebQQ.url,,SHELL32.DLL#13



//文件工具

link %programs%\文件工具\FastCopy文件快拷,%exdir%\文件工具\fastcopy.exe

link %programs%\文件工具\畸形目录管理,%exdir%\文件工具\deformitydir.exe

link %programs%\文件工具\Hash文件信息校验,%exdir%\文件工具\md5.exe

link %programs%\文件工具\Winhex16位编辑器,%exdir%\文件工具\winhex.exe

link %programs%\文件工具\unlocker强制删除,%exdir%\文件工具\unlocker.exe

link %programs%\文件工具\文件搜索,%exdir%\文件工具\文件搜索.exe



//系统安装

link %programs%\系统安装\Windows安装助手,%exdir%\系统安装\setupxp.exe

link %programs%\系统安装\NT6系统安装器cmd,%exdir%\系统安装\SETUPWIN6X.exe

link %programs%\系统安装\Win通用安装2合1,%exdir%\系统安装\WIN$MAN.exe



//系统维护

link %programs%\系统维护\SRS驱动离线注入,%exdir%\系统维护\win系统srs驱动注入.exe

link %programs%\系统维护\ScanVirus安全分析,%exdir%\系统维护\scanvirus.exe

link %programs%\系统维护\Servicespe服务驱动管理,%exdir%\系统维护\servicespe.exe

link %programs%\系统维护\Windows启动修复,%exdir%\系统维护\WindowsFix.exe



//硬件检测

link %programs%\硬件检测\Memtest内存诊断,%exdir%\硬件检测\memtest.exe

link %programs%\硬件检测\HddScan磁盘扫描,%exdir%\硬件检测\hddscan.exe

link %programs%\硬件检测\Victoria磁盘扫描,%exdir%\硬件检测\victoria.exe

link %programs%\硬件检测\CPUZ处理器检测,%exdir%\硬件检测\CPUZ.exe

link %programs%\硬件检测\显示器测试,%exdir%\硬件检测\TESTPLAY.exe

link %programs%\硬件检测\笔记本电池检测,%exdir%\硬件检测\BatteryMon.exe

link %programs%\硬件检测\硬盘检测HDTune,%exdir%\硬件检测\HDTune.exe

link %programs%\硬件检测\Aida64环境检测,%exdir%\硬件检测\aida64.exe

link %programs%\硬件检测\键盘检测工具,%exdir%\硬件检测\KEYBOARDTEST.exe



_END



REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318}\=DVD/CD-ROM 驱动器

REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}\=磁盘驱动器

REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}\=显示卡

REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E969-E325-11CE-BFC1-08002BE10318}\=软盘控制器

REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\=IDE ATA/ATAPI 控制器

REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\=键盘

REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\=声音、视频和游戏控制器

REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318}\=鼠标和其它指针设备

REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\=网络适配器

REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E97D-E325-11CE-BFC1-08002BE10318}\=系统设备

REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F}\=存储卷



REGI HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\WebView=#1

REGI HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FindExtensions\Static\WebSearch\!

REGI HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SmallIcons\SmallIcons=no



TEAM EXEC =PECMD SERV !AudioSrv|EXEC =PECMD SERV AudioSrv|SERV EVENTLOG

TEAM WAIT 1000|KILL SMSS.EXE|KILL WINLOGON.EXE|FILE %WS%\SMSS.EXE|FILE %WS%\WINLOGON.EXE|FILE %WS%\WIN32K.SYS

TEAM WAIT 1000|FILE %WS%\ORDERDRV.CMD|FILE %WS%\MBRFIX.EXE|FILE %WS%\MOUNTVOL.EXE|FILE %WS%\DBC*.JPG

TEAM WAIT 1000|FILE X:\WXPE\TEMP\*.*|FILE %WS%\INSTALLIME.EXE|FILE Z:\DBC3.7Z|TEXT |ENVI



/////////////////////////////////////////验证HASH///////////////////////////////////////////

HASH %WinDir%\SYSTEM32\DBCGHOST.EXE,hPSW,SHA1

ENVI $DBCW=26C524D9C93B9C4A435A88ACCCB28549DB62E586

FIND $%DBCW%=%hPSW%,ENVI $CHCK=YES

FIND $%CHCK%=YES,CALL FU !CALL BU_FU

TEAM SET $CHCK|SET $DBCW



_SUB BU_FU

FILE %DESKTOP%\*.*

MESS 本PE核心文件未成功加载!10秒后自动重启!@大白菜WINPE提示! #OK *10000

SHUT R

_END





_SUB FU



FORX !\GHO\DBCPLUS.INI,DBCINI,1,LOAD %DBCINI%



_END

////////////////////////////////////////////////////////////////////////////////////////////

//配置结束

IFEX %WS%\DBC3,FILE %WS%\DBC3

---

作者: liberize    时间: 2015-10-17 01:12

青青草 发表于 2015-10-17 00:21
还是不行。麻烦您再看一下好吗？我把pecmd.exe和pecmd.ini也一并上传了，在28楼。先谢谢了！

这个是人家做了处理，我这儿每次跑也都给我关机了，我暂时没时间搞这个，不好意思

---

作者: 青青草    时间: 2015-10-17 01:18

liberize 发表于 2015-10-17 01:12
这个是人家做了处理，我这儿每次跑也都给我关机了，我暂时没时间搞这个，不好意思

没事。谢谢您！

---

作者: yurunghost    时间: 2015-10-17 01:23
求解密   一直解不成功

pecmd.zip

2015-10-17 01:22 上传

点击文件名下载附件

下载积分: 无忧币 -2

3.34 KB, 下载次数: 32, 下载积分: 无忧币 -2

---

作者: liberize    时间: 2015-10-17 01:48

yurunghost 发表于 2015-10-17 01:23
求解密   一直解不成功

额，没有快压，解压不了

---

作者: yurunghost    时间: 2015-10-17 01:57

liberize 发表于 2015-10-17 01:48
额，没有快压，解压不了

pecmd.rar (1.28 KB, 下载次数: 41)

2015-10-17 01:57 上传

点击文件名下载附件

---

作者: yurunghost    时间: 2015-10-17 02:20

liberize 发表于 2015-10-17 01:48
额，没有快压，解压不了

以上传RAR格式   求解密

---

作者: 2012qz    时间: 2015-10-17 07:36

liberize 发表于 2015-10-17 01:07
我试了，没问题啊

FIND MEM384,RAMD ImDisk,L125,NTFS,Z:,虚拟盘!RAMD ImDisk,L35,NTFS,Z:,虚拟盘

经测试，旧版本成功了，新版本解出来空白

---

作者: 青青草    时间: 2015-10-17 08:12

yurunghost 发表于 2015-10-17 02:20
以上传RAR格式   求解密

让我来帮你吧!
//初始化

EXEC Winpeshl

INIT U

REGI HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Systemrestore\DisableConfig=#1

REGI HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Systemrestore\DisableSR=#1

REGI $HKCR\DRIVE\SHELL\CHANGE-PASSPHRASE\COMMAND\=%SYSTEMROOT%\System32\BDECPW.CMD %%1

REGI $HKCR\DRIVE\SHELL\MANAGE-BDE\COMMAND\=%SYSTEMROOT%\System32\BDEOFF.CMD %%1

TEAM FILE %public%\desktop\desktop.ini|FILE %desktop%\desktop.ini|FILE X:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup|FILE X:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

REGI HKLM\SOFTWARE\Classes\CLSID\{F02C1A0D-BE21-4350-88B0-7367FC96EF3C}\ShellFolder\Attributes=#10940064

SHOW -1,-1



REGI HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Icons\29=X:\Windows\System32\ht.ico,0

EXEC !X:\Program Files\Imagine\Imagine64.EXE /assocext /regcontextmenu

EXEC !=X:\Program Files\Freeime\registry.exe /s

EXEC !%WinDir%\System32\EjectUSB.EXE

FORX *.ocx,Regocx,0,CALL $%Regocx%

FORX msxml*.dll,Regdll,0,CALL $%Regdll%

DEVI %SystemRoot%\inf\usb.inf

DEVI %SystemRoot%\inf\usbport.inf

DEVI $%SystemRoot%\System32\SRS_8x64.CAB,,%Temp%

EXEC %Windir%\System32\CTFMON.EXE



EXEC @REG DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /VA /F

EXEC @REG DELETE HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /VA /F

REGI HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Audit\!



SHEL %SystemRoot%\explorer.exe

EXEC =!X:\Program Files\Tools\REGDOC.cmd

EXEC =!X:\Program Files\Unlocker\setup.cmd

EXEC !regsvr32.exe /s "%ProgramFiles%\FastCopy\FastEx64.dll"

REGI HKCR\*\ShellEx\ContextMenuHandlers\FastCopy\FastCopyMenuFlags2=#0xfff13fff

SITE %Startup%,+H+R



EXEC !=X:\Program Files\Tools\Order.exe



HOTK #112,PECMD.EXE

HOTK #120,PECMD EXEC !X:\Windows\System32\Killep.cmd     `F9  刷新系统

HOTK #121,PECMD EXEC !X:\Windows\System32\CLEANTEMP.CMD  `F10 清除临时文件

HOTK #122,PECMD EXEC X:\Windows\System32\WinSnap64.exe   `F11 截图工具

HOTK Ctrl + #0x47,%ProgramFiles%\Ghost\Ghost64.exe       `Ctrl+G 手动Ghost

HOTK Ctrl + #0x4d,%ProgramFiles%\Tools\mouse.exe         `Ctrl+M 键盘控制鼠标

---

作者: yurunghost    时间: 2015-10-17 09:07

青青草 发表于 2015-10-17 08:12
让我来帮你吧!
//初始化

谢谢 但是我解出来的跟你解出来的不一样呢？

---

作者: 青青草    时间: 2015-10-17 10:09

yurunghost 发表于 2015-10-17 09:07
谢谢 但是我解出来的跟你解出来的不一样呢？

是吗？怎么会呢？
你觉得哪个比较完整呢？

---

作者: gylgw    时间: 2015-10-17 10:48
我这边测试1.1的版本比之前的版本要完整，而且没有多余的代码和乱码。
但是对于下面此PECMD.INI文件还是没有办法处理。

PECMD.rar

2015-10-17 10:48 上传

点击文件名下载附件

下载积分: 无忧币 -2

2.95 KB, 下载次数: 27, 下载积分: 无忧币 -2

---

作者: yurunghost    时间: 2015-10-17 10:50

青青草 发表于 2015-10-17 10:09
是吗？怎么会呢？
你觉得哪个比较完整呢？

不对  我错了   我这个PECMD.EXE是执行的内置脚本    求不会执行内置脚本的 pecmd.exe

---

作者: yurunghost    时间: 2015-10-17 11:54

青青草 发表于 2015-10-17 10:09
是吗？怎么会呢？
你觉得哪个比较完整呢？

为毛我的就不自动生成 original.ini这个文件呢

---

作者: yurunghost    时间: 2015-10-17 11:56
大神  为毛我的就不自动生成 original.ini这个文件呢 难道姿势不对（见70楼）

---

作者: yurunghost    时间: 2015-10-17 12:03
求大神帮解:pecmd.exe+pecmd.ini   pecmd.part1.rar (400 KB, 下载次数: 40)

2015-10-17 12:03 上传

点击文件名下载附件 pecmd.part2.rar (220.07 KB, 下载次数: 32)

2015-10-17 12:03 上传

点击文件名下载附件 pecmdini.rar (1.28 KB, 下载次数: 25)

2015-10-17 12:03 上传

点击文件名下载附件

---

作者: my9823    时间: 2015-10-17 12:17
m大改进算法，估计那些盈利的pe，为系统添加垃圾的pe们又笑了，从pe作者角度希望自己的pe不被修改，当然盈利者的这种想法更加强烈，但用户角度最痛恨这种盈利性的pe，真是两边不讨好！其实我无所谓，因为我已经很少使用pe，就算是用只是帮人家装一下系统而已，大不了直接用安装盘的iso写入U盘连pe都省了！个人观点，不吐不快，如有得罪之处，就当我放了个屁！

---

作者: 青青草    时间: 2015-10-17 12:31

yurunghost 发表于 2015-10-17 12:03
求大神帮解:pecmd.exe+pecmd.ini

//初始化

EXEC Winpeshl

INIT U

REGI HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Systemrestore\DisableConfig=#1

REGI HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Systemrestore\DisableSR=#1

REGI $HKCR\DRIVE\SHELL\CHANGE-PASSPHRASE\COMMAND\=%SYSTEMROOT%\System32\BDECPW.CMD %%1

REGI $HKCR\DRIVE\SHELL\MANAGE-BDE\COMMAND\=%SYSTEMROOT%\System32\BDEOFF.CMD %%1

TEAM FILE %public%\desktop\desktop.ini|FILE %desktop%\desktop.ini|FILE X:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup|FILE X:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

REGI HKLM\SOFTWARE\Classes\CLSID\{F02C1A0D-BE21-4350-88B0-7367FC96EF3C}\ShellFolder\Attributes=#10940064

SHOW -1,-1



REGI HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Icons\29=X:\Windows\System32\ht.ico,0

EXEC !X:\Program Files\Imagine\Imagine64.EXE /assocext /regcontextmenu

EXEC !=X:\Program Files\Freeime\registry.exe /s

EXEC !%WinDir%\System32\EjectUSB.EXE

FORX *.ocx,Regocx,0,CALL $%Regocx%

FORX msxml*.dll,Regdll,0,CALL $%Regdll%

DEVI %SystemRoot%\inf\usb.inf

DEVI %SystemRoot%\inf\usbport.inf

DEVI $%SystemRoot%\System32\SRS_8x64.CAB,,%Temp%

EXEC %Windir%\System32\CTFMON.EXE



EXEC @REG DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /VA /F

EXEC @REG DELETE HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /VA /F

REGI HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Audit\!



SHEL %SystemRoot%\explorer.exe

EXEC =!X:\Program Files\Tools\REGDOC.cmd

EXEC =!X:\Program Files\Unlocker\setup.cmd

EXEC !regsvr32.exe /s "%ProgramFiles%\FastCopy\FastEx64.dll"

REGI HKCR\*\ShellEx\ContextMenuHandlers\FastCopy\FastCopyMenuFlags2=#0xfff13fff

SITE %Startup%,+H+R



EXEC !=X:\Program Files\Tools\Order.exe



HOTK #112,PECMD.EXE

HOTK #120,PECMD EXEC !X:\Windows\System32\Killep.cmd     `F9  刷新系统

HOTK #121,PECMD EXEC !X:\Windows\System32\CLEANTEMP.CMD  `F10 清除临时文件

HOTK #122,PECMD EXEC X:\Windows\System32\WinSnap64.exe   `F11 截图工具

HOTK Ctrl + #0x47,%ProgramFiles%\Ghost\Ghost64.exe       `Ctrl+G 手动Ghost

HOTK Ctrl + #0x4d,%ProgramFiles%\Tools\mouse.exe         `Ctrl+M 键盘控制鼠标

---

作者: yurunghost    时间: 2015-10-17 12:35

青青草 发表于 2015-10-17 12:31
//初始化

EXEC Winpeshl

大神  为毛我的就不自动生成 original.ini这个文件呢 难道姿势不对（见70楼）

---

作者: rengrancunzai    时间: 2015-10-17 13:17
哈哈，神仙开调研会

---

作者: gylgw    时间: 2015-10-17 13:42

yurunghost 发表于 2015-10-17 11:54
为毛我的就不自动生成 original.ini这个文件呢

你文件倒数第三个不就是生成的INI文件吗？

---

作者: Gowim    时间: 2015-10-17 15:50


PECMD_X86.part1.rar (500 KB, 下载次数: 16)

2015-10-17 16:15 上传

点击文件名下载附件 PECMD_X86.part2.rar (43.34 KB, 下载次数: 14)

2015-10-17 16:15 上传

点击文件名下载附件 这个一直解不开，请帮忙看看

---

作者: Gowim    时间: 2015-10-17 16:22

zds1210 发表于 2015-10-16 16:32
加我群。。人才

解不开啊，不能用的吧。，http://bbs.wuyou.net/forum.php?m ... &extra=page%3D1

---

作者: 2012jc天马行空    时间: 2015-10-17 19:12
晕死了，用最新版的这个试着帮此贴http://bbs.wuyou.net/forum.php?mod=viewthread&tid=372396破解，结果把我的所有数据都删了，

---

作者: andos    时间: 2015-10-17 20:42
好像不能破解这个?
http://bbs.wuyou.net/forum.php?m ... &extra=page%3D2

---

作者: xzf680    时间: 2015-10-18 00:33


测试过了，有些会乱码，以下为电脑店配置：

#!PECMD

#!code=936

@LOGS **ON=0

FIND $%&__LOGS%=, IFEX XU.LOG, LOGS **ON=1 **2 **nl=1 * XU.LOG

ENVI^ EnviMode=1  //閬垮厤鎰忓�栭敊璇�锛岀┖鍙橀噺锛屽�栭儴鍙橀噺锛�

ENVI^ ForceLocal=1

SET$ &NL=0D  0A

SET$ &TAB=09

//{TP_MBR=1, TP_OS=2, TP_PEOUT=3, TP_DISK=4, TP_PE_PART=5, TP_PE_DISK, TP_PE_ISO=7, TP_PART, TP_DATA=9, TP_ISO=10, TP_RAW, TP_LIST, TP_FILE, TP_XFILE};



SET-def TP_MBR=0x01

SET-def TP_PE_ISO=0x07

SET-def TP_DATA=0x09

SET-def TP_ISO=0x0A

SET-def TP_SYSBAK=0xF0

SET-def TP_EFILDR=0xF1

SET-def TP_BIOSBOT=0xF3



TEAM ENVI &&SZ=-1| ENVI &&OFF=-1| ENVI &&FAT=-1| SET &PART_TP=hd| SET &BEFI=0

TEAM SET  &PART0=| SET  &PARTS=| SET  &PARTX=| SET  PARTN=0

SET-def SECPARAM=65 //鎬诲弬鏁拌〃



SET &mhide=0

SET &mall=0

SET &mountdrvs=

SET &mnom=0

SET &OnlyOne=0

SET &OnlySoft=0

SET &ClearTmp=0  //娓呴櫎涓存椂MBROS鍚�鍔ㄥ姞杞�

SET &umount=0

CALC -base=16 #&&CLEARMBROSTAGOFF=36s + 0x1C3

CALC -base=16 #&&CLEARMBROSTAGLEN=11

CALC -base=16 #&&CLEARMBROSTAGOFF2=36s + 0x1CE  //澶囦唤鐨勫垎鍖鸿〃

SET-def  CLEARMBROSTAG=0x43 0x4C 0x45 0x41 0x52 0x4D 0x42 0x52 0x4F 0x73 0x00  //CLEARMBROs\0

SET-def CLEARMBROSTAG2=0x43 0x4C 0x45 0x41 0x52 0x4D 0x42 0x52 0x4F 0x53 0x00  //CLEARMBROS\0

SET-def CLEARMBROSTAG3=0x43 0x4C 0x45 0x41 0x52 0x4D 0x42 0x52 0x4F 0x70 0x00  //CLEARMBROp\0

SET-def CLEARMBROSTAG4=0x43 0x4C 0x45 0x41 0x52 0x4D 0x42 0x52 0x4F 0x50 0x00  //CLEARMBROP\0



SET &va=%~1



FIND $%va%=ClearTmpMBROSAll, TEAM ClearTmpMBROSAll| EXIT FILE



FIND $%va%=moun, SET &va=mount



//MOUNT [-m] [-w] [-u|-ud|-uh|-muh|-muhg] [-mall] [-mhide] [-onlys] [-Cleartmp[Only]] \\.\PhysicalDrive1  Z:



FIND $%va%=mount,

{*

    SET &mountdrvs=ZYXWVUTSRQPONMLKJIHGFEBAD //榛樿�ゅ弽搴�

    SET &_exe=

    SET &mountop=-o ro

    SET &retv=

    SET &BWin=0

    ENVI &&I=2

    ENVI &&umount=0

    SET &retnm=

    SET &udmid=-0x8000000

    SET &udid=-0x8000000

    SET &_uplus=0

    SET &_w=0

    SET &_udfs=0

    SET &_udm_=0

    SET &udimg=

    SET &udmask=0

    SET &_mh=-0x8000

    LOOP #1=1,

    {

        MSTR &&va=<~%I%>%*

        LSTR &&c1=1,%va%

        FIND $%c1%<>-, EXIT LOOP

        FIND $-exe=%va%,   SET _exe=-exe

        FIND $-udfs=%va%,   SET _udfs=1

        FIND $-udm-=%va%,   SET _udm_=1

        FIND $-m=%va%,   SET BWin=m

        FIND $-w=%va%,   TEAM SET mountop=| SET _w=1

        FIND $-u=%va%,   SET umount=1  //鍜?ud鍚屼簡

        FIND $-ud=%va%,   SET umount=1

        FIND $-uh=%va%,   SET umount=2

        FIND $-muh=%va%,   SET umount=0x22

        FIND $-muhg=%va%,   SET umount=0x62  //杞�鍏夌洏涔熷嵏杞�

        FIND $-mhide=%va%,  SET mhide=1

        FIND $-mhide-=%va%,  SET mhide=0

        FIND $-mall=%va%,   SET mall=1

        FIND $-mnom=%va%,   SET mnom=1

        FIND $-onlys=%va%,   SET OnlySoft=1

        FIND $-Cleartmp=%va%,   CALC #ClearTmp=%ClearTmp% | 1

        FIND $-CleartmpOnly=%va%,   SET ClearTmp=2

        FIND $[ -ret:=%va% | -ret=%va% ], TEAM CALC I=%I% + 1| MSTR retnm=<~%I%>%*

        FIND $-udmid:=%va%, TEAM CALC I=%I% + 1| MSTR udmid=<~%I%>%*

        FIND $-udid:=%va%, TEAM CALC I=%I% + 1| MSTR udid=<~%I%>%*

        FIND $-udimg:=%va%, TEAM CALC I=%I% + 1| MSTR udimg=<~%I%>%*

        FIND $-udmask:=%va%, TEAM CALC I=%I% + 1| MSTR udmask=<~%I%>%*

        FIND $-mh:=%va%, TEAM CALC I=%I% + 1| MSTR _mh=<~%I%>%*

        FIND $-u+=%va%,   SET _uplus=1

        CALC &I=%I% + 1

    }

    FIND $%_mh%=efi, SET _mh=-1

    FIND $%_mh%=auto, SET _mh=0

    CALC -err=-0x8000 #_mh=(%_mh%) + 0

--udmid[%udmid%]

    MSTR &&DEV=<~%I%>%*

    CALC &I=%I% + 1

    MSTR &&drv=<~%I%>%*



    CALL ParseDrviList

    TEAM SET &MountDrv=| GetFreeDrive &MountDrv

    IFEX $[ %_udfs%>0 & ( %hd%>=0 | %_mh%<-1 ) ], MAPUD  "%&DEV%"  "%&drv%"  &retv



    IFEX $%_uplus%>0,  MountUplus "%&DEV%"  "%&MountDrv%"  %_w%

    IFEX $%_uplus%>0, IFEX $[ %udmid%<>-0x8000000 && %udmid%<0 ], EXIT FILE  





//THREAD+$ MESS. [MountMBROS    "%mountop%"   "%&DEV%"  "%&drv%"  &ret  %&_exe%]@debug

    IFEX $%_udm_%<1, CALL MountMBROS    "%mountop%"   "%&DEV%"  "%&drv%"  &retv  %_exe%

    FIND $%retnm%<>,  ENVI-ret %retnm%=%&retv%

    EXIT= 0

    EXIT FILE

}



// listudm  -ret: 杩斿洖鍚? 璁惧�囧�?

//////////////// listudm ////

FIND $%~1=listudm,

{*

    SET &retnm=

    SET &I=2

    MSTR &&va=<~%I%>%*

    FIND $[ -ret:=%va% | -ret=%va% ], TEAM CALC I=%I% + 1| MSTR retnm=<~%I%>%*| CALC I=%I% + 1

    MSTR &&IMG=<~%I%>%*

    ChekHD  &&hd "%IMG%"

--IMG[%IMG%] hd[%hd%]

    SET &FN=%IMG%

    SET &MBROS=%IMG%

    SET &PARTS=

    SET &PARTN=0

    SET &PARTX=

    SET &PART0=

    SET &PARTN=0

    EXIT= 0

    FIND $%IMG%<>,  GetUDPart %IMG%  ""   //all

    ENVI-ret %retnm%=%PARTX%

    EXIT FILE

}



FIND $%~1=listud,

{*

    SET &retnm=

    SET &I=2

    MSTR &&va=<~%I%>%*

    FIND $[ -ret:=%va% | -ret=%va% ], TEAM CALC I=%I% + 1| MSTR retnm=<~%I%>%*| CALC I=%I% + 1

    MSTR &&IMG=<~%I%>%*

    ChekHD  &&hd "%IMG%"

--IMG[%IMG%] hd[%hd%]

    EXIT= 0

    SET  &Vlist=

    IFEX $%hd%>=0, GETPUDMAP \\.\PhysicalDrive%hd%  &Vlist

    ENVI-ret %retnm%=%Vlist%

    EXIT FILE

}

FIND $%~1=sync,

{*  SET  &&_cmd=%*

    EXIT= 0

    %&_cmd%

    EXIT FILE

}



EXIT FILE



_SUB GetCFG *

    SET &IMG=%~1

    SET &EFIBOOTOFF=-1  //閿欒��鍊?
    SET &EFIBOOTSZ=-1

    CALC -base=16 &&p=%SECPARAM%s + 3

    GETF   %&IMG%,%p%#10,&&DAT

    FIND $%DAT%<>0x4D 0x42 0x52 0x4F 0x53 0x50 0x41 0x52 0x41 0x4D,  EXIT    //  MBROSOPARAM

    GETF#  %&IMG%,%SECPARAM%s#0x40,&&DAT

    FIND $0xFFFFFFFF=%DAT%, EXIT



    SET?long  &DAT=&EFIBOOTOFF:0x28  //EFIBOOT浣嶇疆 锛?x3F01锛?
    SET?long  &DAT=&EFIBOOTSZ:0x2C   //EFIBOOT闀垮害 锛?x821=0x800+33锛?//1M

_END



_SUB ParseDrviList

    MSTR &&c1=1,1,%drv%

    MSTR &&c2=2,1,%drv%

    FIND $%c2%=:, TEAM SET c2=| SET OnlyOne=1

    FIND $%c1%<>, FIND $%c2%=,  SET mountdrvs=%c1%

    FIND $%c2%<>,  FIND $%c2%<>-,   SET mountdrvs=%drv%

    FIND $%c1%<>, SET drv=%c1%:  //鍒濆�婦RIVE

    FIND $%c2%=-,

    {

        SET mountdrvs=

        FORX * A B C D E F G H I J K L M N O P Q R S T U V W Y Z,&&d, FIND $%d%>=%c1%, SET mountdrvs=%mountdrvs%%d%

    }

_END





//ChekHD 杩斿洖鍚?鏂囦欢鍚?
_SUB ChekHD

    LSTR &&LDEV=17,%~2

    ENVI &&hd=-0x8000

    SET &&c1=

    FIND $\\.\PhysicalDrive=%&LDEV%, MSTR &&c1=18,1,%&MBROS%

    MSTR &&c2=19,1,%&MBROS%

    MSTR &&c3=20,1,%&MBROS%

    CALC #&hd=%&hd%

    FIND $%&c1%>9, TEAM SET c1=

    FIND $%&c2%>9, TEAM SET c2=

    FIND $%&c3%>9, TEAM SET c3=

    FIND $%&c1%<0, TEAM SET c2=| SET c3=|

    FIND $%&c2%<0, TEAM SET c3=|

    FIND $%&c1%>=0, CALC #&hd=%c1%

    FIND $%&c2%>=0, CALC #&hd=%&hd% * 10 + %&c2%

    FIND $%&c3%>=0, CALC #&hd=%&hd% * 10 + %&c3%

    ENVI-ret %~1=%&hd%

_END





// GetWimName Name dev Off Len

_SUB GetWimName *

     ENVI %~1=%~2#%~3#%~4$

     //%s#%s#%s  p, sOff, sLen

_END



//FINDImdisk  id鍚? 鐩樼�﹀�?鏂囦欢鍚?
_SUB FINDImdisk

    SET-def id=-1

    SET-def drv=

    SET-def FN=%~3

    STRL &&len=%FN%

    CALC &&len2=%len% - 1  //鏃х増

    SET  &FN2=%FN%

    LSTR &&L4=4,%FN%

    FIND $\??\=%L4%, SET len=0! LSTR FN2=%len2%,%FN%



    RAMD ImDisk*&&all  -n -l

    SET-def vi=

    SET-def nm=

    FORX * %&all%,&&i,

    {

        RAMD ImDisk*&&v  -n -l -u %&i%

        READ  -*,1,&vi,&v

//Z: = \BaseNamedObjects\Global\PhysicalDrive1#aaa_bbb

//Z: = \??\D:\MDY\DESKTOP\ttt\MBROS.MOS

        MSTR &nm=6,%len%,%&vi%

        FIND $%&FN%=%&nm%,! FIND $%&FN2%=%&nm%,! EXIT -

        MSTR &drv=1,2,%&vi%

        ENVI &id=%&i%

        EXIT FORX

    }

    ENVI-ret %~1=%&id%

    ENVI-ret %~2=%&drv%



_END





// GetUDPart 鏂囦欢鍚?鍋忕Щ鍚?闀垮害鍚?
_SUB  GetUDPart

    ENVI^  ForceLocal=1

    ENVI &&FN=%~1

    SET  &un=%~2

//MESS. un=[%un%]

    GETF %FN%,0x7E36#5,&&V

    FIND $0x46 0x41 0x54 0x31 0x36=%V%, ENVI &FAT=16  //FAT16

    FIND $0x46 0x41 0x54 0x31 0x32=%V%, ENVI &FAT=12  //FAT12

    GETF %FN%,0x7E52#5,&&V

    FIND $0x46 0x41 0x54 0x33 0x32=%V%, ENVI &FAT=32  //FAT32

    IFEX $%FAT%>0,

    {   GETF %FN%,0x7E20#4,&V //ts32

        FIND $0x00 0x00 0x00 0x00=%V%,  GETF    %FN%,0x7E13#2,&V  //ts16

        MSTR &&V1,&&V2,&&V3,&&v4=<1*>%V% 0 0 0 0

        CALC #&SZ=%V1% + %V2% * 0x100 + %V3% * 0x10000 + %V4% * 0x1000000

        GETF    %FN%,0x7E1C#2,&V  //nhs_pre

        MSTR &&V1,&&V2,&&V3,&&v4=<1*>%V% 0 0  

        CALC #&OFF=%V1% + %V2% * 0x100

    }

    GETF  %FN%,0x7FFE#2,&&V

    FIND $0x55 0xAA=%V%,!  ENVI &SZ=-1

    GETF  %FN%,0x7FB4#4,&&V

    FIND $0x4D 0x42 0x52 0x53=%V%,!  ENVI &SZ=-1  //"MBRS"



    SET  PARTN=0

    SET &init1=0

    IFEX $%SZ%>0, SET &init1=1

    //FIND $%un%=-u,!!  SET &init1=0

    FIND $%&&init1%=1,

    {

        CALL *  GetWimName  &&WimName  PhysicalDrive%hd%  %OFF%   %SZ%

        FINDImdisk  &&id  &&drvm  "\BaseNamedObjects\Global\%&WimName%"

        CALC  &&SZK=%SZ% / 2

        SET  PART0=鏍稿績UDM鍒嗗尯 %SZK%K MBROS  //[%OFF% %SZ% 0x00]

        SET  PARTS=%PART0%

        SET  PARTX=鏍稿績UDM鍒嗗尯 %OFF% %SZ% 0x01 0x00 "MBROS" "%&drvm%" 鏍稿績UDM鍒嗗尯

        SET  PARTN=1

//THREAD+$ MESS %&PARTX% @1111

    }



    SET &FNx=%FN%

    SET &SECUMBR=66



    @TEAM SET &bUPARAM=0

    CALC -base=16 &&addr=65s +  0x3

    GETF %FN%,%addr%#10,&&V

    FIND $%V%=0x4D 0x42 0x52 0x4F 0x53 0x50 0x41 0x52 0x41 0x4D, SET bUPARAM=1

    CALC -base=16 &&addr=65s +  0xE

    GETF %FN%,%addr%#1,&&V

    IFEX $%bUPARAM%>0, IFEX $%V%>=4, SET bUPARAM=4

    IFEX $%bUPARAM%>=4, SET &SZ1=0x40! SET &SZ1=0x20

    CALC #&&SZP=1s / %SZ1% - 1



    CALC -base=16 &&addr=65s +  0x14

    GETF %FN%,%addr%#4,&&V

    MSTR &&V1,&&V2,&&V3,&&v4=<1*>%V% 0 0 0 0

    CALC #&NPS=%V1%  + %V2% * 0x100

    IFEX $%NPS%>0x40, SET NPS=0x40



    SET &MAX=0

    CALC #&&len=%SZP% * %SZ1%

    GETF %FN%,%SECUMBR%s#0x10,&V

    SET &I=0

    CALC -base=16 &&addr0=%SECUMBR%s

    LOOP #%I%<%NPS%,

    {*  CALC -base=16 &&addr=%SECUMBR%s + %I%s +  0x3

        GETF %FN%,%addr%#9,&&V1

        CALC -base=16 #&&addr=%SECUMBR%s + %I%s + 0x10

        CALC I=%I% + 1

        FIND $%V1%<>0x4D 0x42 0x52 0x4F 0x53 0x50 0x41 0x52 0x54,  EXIT

        GETF %FN%,%addr%#%len%,&V1

        @SET<  V= %V1%

        CALC #&MAX=%MAX% + %SZP%

    }

    SET &bUMBR=%MAX%



    SET &I=0

    CALC &&IOF=0x11 - %SZ1%

    CALC &&ISZ=0x15 - %SZ1%

    CALC &&ITP=0x19 - %SZ1% //FSTP 绫诲瀷 灞炴

---

作者: vaf    时间: 2015-10-18 13:04
牛淫, 能淫.

---

作者: liubt    时间: 2015-10-18 15:00
提取USM_PE能帮破解看看么, 破解PECMD.ini会重启。

x64.part1.rar

2015-10-18 14:59 上传

点击文件名下载附件

下载积分: 无忧币 -2

450 KB, 下载次数: 22, 下载积分: 无忧币 -2

x64.part2.rar

2015-10-18 14:59 上传

点击文件名下载附件

下载积分: 无忧币 -2

178.86 KB, 下载次数: 17, 下载积分: 无忧币 -2

---

作者: gylgw    时间: 2015-10-20 20:35
楼主还在更新吗？有办法解决那些有验证的配置文件不？

---

作者: netmjwork    时间: 2015-10-24 12:44
xp系统不能运行吗？
运行不了……

---

作者: xzf680    时间: 2015-10-25 16:43

netmjwork 发表于 2015-10-24 12:44
xp系统不能运行吗？
运行不了……

果然牛人，xp也能运行，去pe下测试吧、

---

作者: netmjwork    时间: 2015-10-26 14:45

xzf680 发表于 2015-10-25 16:43
果然牛人，xp也能运行，去pe下测试吧、

win8_64位的PE和实机都试了，输出的文件大小是0，看来还是有些加密方式不太好弄

---

作者: thtf    时间: 2015-10-27 07:47
首先，非常感谢楼主的付出，用它解密了自由天空PE的文件（RamOSinit.POST和RamOSinit.pre），其中RamOSinit.POST解密出来完成正常，用load装载运行完全一样，可是RamOSinit.pre解密出来的运行不了，就算把Exit File删掉也得不到原来的结果。原文件（RamOSinit.pre）只有5K，解密出来的文件有5K的86K，87K，88K，差距非常大，这完全取决于运行的环境（PE的版本，PECMD的版本）。请楼主抽点时间看看，谢谢了……附件里有原来的RamOSinit.pre（改名为pecmd.ini）,还有解密出来的三个版本的文件。再次谢谢……
original.rar (49.3 KB, 下载次数: 54)

2015-10-27 07:45 上传

点击文件名下载附件

---

作者: thtf    时间: 2015-10-27 07:48

netmjwork 发表于 2015-10-26 14:45
win8_64位的PE和实机都试了，输出的文件大小是0，看来还是有些加密方式不太好弄

你可以换换PE，换换PECMD.exe，我的也是这样，后来终于解开了

---

作者: xzf680    时间: 2015-10-27 21:52


乱码已经解决，非常完美，顶一下。

---

作者: awnuitfk    时间: 2015-11-6 03:22
楼主，有时间更新下吗？好多都破不了了呀！！！！！！！！！

---

作者: 2011momoto    时间: 2015-11-6 14:50
试了十数个PECMD，结果都一样，很无奈。

---

作者: 527104427    时间: 2015-11-8 00:46


将这个计算器的脚本压缩了一下，貌似解不开啊！请楼主再弄弄呗

其它的脚本都能解开，唯独这个不行。

这工具非常nice

计算器.7z

2015-11-8 00:45 上传

点击文件名下载附件

下载积分: 无忧币 -2

13.49 KB, 下载次数: 16, 下载积分: 无忧币 -2

---

作者: kcyou    时间: 2015-11-13 13:24
IMGGUI.EXE破解不了。。。。。。

---

作者: wangod    时间: 2015-11-18 17:04
这个必须要支持

---

作者: wangod    时间: 2015-11-19 10:10
我试了下大大的方法 不行啊 要不你帮我看看 根本不行 好像是pecmd版本问题 这个pecmd版本要高一些 http://pan.baidu.com/s/1mgxW0JI

---

作者: FLy3721    时间: 2015-12-14 12:38
帮忙看看，怎么解出来是空文件！

PECMD.zip

2015-12-14 12:37 上传

点击文件名下载附件

下载积分: 无忧币 -2

5.11 KB, 下载次数: 12, 下载积分: 无忧币 -2

---

作者: koko4u    时间: 2015-12-14 13:07
标题: pecmd


.

---

作者: koko4u    时间: 2015-12-14 13:12

FLy3721 发表于 2015-12-14 12:38
帮忙看看，怎么解出来是空文件！

pecmd_decrypt

PECMD.7z

2015-12-14 13:11 上传

点击文件名下载附件

下载积分: 无忧币 -2

3.66 KB, 下载次数: 64, 下载积分: 无忧币 -2

---

欢迎光临 无忧启动论坛 (http://wuyou.net/)

Powered by Discuz! X3.3