无忧启动论坛

 找回密码
 注册
搜索
系统gho:最纯净好用系统下载站投放广告、加入VIP会员,请联系 微信:wuyouceo
楼主: mdyblog
打印 上一主题 下一主题

[更新376#2825]PECMD2012.1.80.13_Win32_64.多窗口多线程.裸机系统2.3.3.1+18M酷M...

    [复制链接]
19291#
 楼主| 发表于 2024-6-6 20:29:07 | 只看该作者
回复

使用道具 举报

19292#
发表于 2024-6-6 21:33:47 | 只看该作者
本帖最后由 Zap 于 2024-6-6 21:37 编辑
mdyblog 发表于 2024-6-6 20:29
太长了。 最小代码,仅仅够 演示 你的问题。
52行替换为 set d=123:456 : 后边的字符被吞了
回复

使用道具 举报

19293#
 楼主| 发表于 2024-6-6 21:38:38 | 只看该作者
Zap 发表于 2024-6-6 21:33
52行替换为 set d=123:456 : 后边的字符被吞了

如是sed问题
专门 写一个 小脚本 演示问题。
回复

使用道具 举报

19294#
 楼主| 发表于 2024-6-6 21:40:23 | 只看该作者
新版 可以 返会 字体名称

FONT   -p:&&f:&&fnm segmdl2.ttf.cmz
MESS. font:[%&f%]  [%&fnm%]

=================
font:[0x700021B]  ["Segoe MDL2 Assets"]
回复

使用道具 举报

19295#
发表于 2024-6-6 21:57:47 | 只看该作者
本帖最后由 Zap 于 2024-6-6 21:59 编辑
mdyblog 发表于 2024-6-6 21:38
如是sed问题
专门 写一个 小脚本 演示问题。

19302楼已修改 点替换便知set d=123:456 而光标处替换成了"123
回复

使用道具 举报

19296#
发表于 2024-6-6 22:05:47 | 只看该作者
LOAD --mem可以支持偏移吗

点评

//LOAD --mem &MyStript A B C SET-mkfixdummy &MyStript3 =&MyStript@$16;~ //偏移16WCHAR LOAD --mem &MyStript16 A B C  详情 回复 发表于 2024-6-6 22:27
回复

使用道具 举报

19297#
 楼主| 发表于 2024-6-6 22:27:06 | 只看该作者
泮安宁 发表于 2024-6-6 22:05
LOAD --mem可以支持偏移吗

//LOAD --mem &MyStript A B C  
SET-mkfixdummy  &MyStript3 =&MyStript@$16;~  //偏移16WCHAR
LOAD --mem &MyStript16 A B C  
回复

使用道具 举报

19298#
 楼主| 发表于 2024-6-6 22:42:45 | 只看该作者
Zap 发表于 2024-6-6 21:33
52行替换为 set d=123:456 : 后边的字符被吞了

试试 SED -ts1
这个 禁止 转义符。 就是普通字符串 替换。

ENVI^ EnviMode=1
SET$ &NL=0d 0a
SET V1=123X456
SED  -ts1  &v2=,X,\1,%&V1%
MESS.   v1[%&NL%%&v1%]%&NL%%&NL% v2[%&NL%%&v2%]

=================
  v1[
123X456]

v2[
123\1456

回复

使用道具 举报

19299#
发表于 2024-6-6 23:04:00 | 只看该作者
mdyblog 发表于 2024-6-6 22:27
//LOAD --mem &MyStript A B C  
SET-mkfixdummy  &MyStript3 =&MyStript@$16;~  //偏移16WCHAR
LOAD - ...

load --mem好像不支持动态改变啊,比如load --mem &a但&a中有一句清空a内容的语句,那么清空语句后面的命令继续执行时因内容改变应该导致执行结果相应改变(在这个例子中应该没有反应)
  1. ENVI$# &a=0x4D 0x45 0x53 0x53 0x20 0x61 0x61 0x61 0x0D 0x0A 0x45 0x4E 0x56 0x49 0x2D 0x7A 0x65 0x72 0x6F 0x20 0x26 0x61 0x3D 0x0D 0x0A 0x4D 0x45 0x53 0x53 0x20 0x62 0x62 0x62
  2. LOAD --mem &a
复制代码
a的原始内容为
  1. MESS aaa
  2. ENVI-zero &a=
  3. MESS bbb
复制代码


点评

为什么要动态改变, 什么用处?  详情 回复 发表于 2024-6-6 23:22
回复

使用道具 举报

19300#
 楼主| 发表于 2024-6-6 23:22:51 | 只看该作者
泮安宁 发表于 2024-6-6 23:04
load --mem好像不支持动态改变啊,比如load --mem &a但&a中有一句清空a内容的语句,那么清空语句后面的命 ...

为什么要动态改变, 什么用处?
回复

使用道具 举报

19301#
发表于 2024-6-6 23:35:35 | 只看该作者
本帖最后由 泮安宁 于 2024-6-6 23:37 编辑
mdyblog 发表于 2024-6-6 23:22
为什么要动态改变, 什么用处?

看说明说支持
  1. LOAD [--logs:[*]log文件名]  --mem 变量名 [命令行参数]      //运行内存动态文件代码
复制代码


可能我理解错了,以为是实时改变的
回复

使用道具 举报

19302#
发表于 2024-6-7 08:00:15 | 只看该作者
mdyblog 发表于 2024-6-6 22:42
试试 SED -ts1
这个 禁止 转义符。 就是普通字符串 替换。

19302楼已修改 但不理想
回复

使用道具 举报

19303#
发表于 2024-6-8 10:17:23 | 只看该作者
PECMD怎么判断服务是否被禁用(手动、自动),比如 defragsvc 。以及怎么判断这个服务是否存在,没被精简
回复

使用道具 举报

19304#
发表于 2024-6-8 11:37:58 来自手机 | 只看该作者
liangnijian 发表于 2024-6-8 10:17
PECMD怎么判断服务是否被禁用(手动、自动),比如 defragsvc 。以及怎么判断这个服务是否存在,没被精简

SERV有查询功能,多试几下就晓得了
回复

使用道具 举报

19305#
发表于 2024-6-9 16:56:24 | 只看该作者
辛苦了
回复

使用道具 举报

19306#
发表于 2024-6-10 17:17:31 | 只看该作者
回复

使用道具 举报

19307#
发表于 2024-6-11 14:52:56 | 只看该作者
LOOP能否只输入循环条件不加比较符就能循环而且不是死循环,比如:LOOP 2,MESS 1  就循环两次
回复

使用道具 举报

19308#
发表于 2024-6-11 14:57:13 | 只看该作者
liangnijian 发表于 2024-6-11 14:52
LOOP能否只输入循环条件不加比较符就能循环而且不是死循环,比如:LOOP 2,MESS 1  就循环两次
  1. FORX *L 1 1 2,,MESS. 1
复制代码
FORX[;:] *[v|L] 变量表[名],<变量>,<命令> [参数表]   //*v后为变量表名  //*L后 开始 步长 结束
回复

使用道具 举报

19309#
发表于 2024-6-11 15:02:26 | 只看该作者
红毛樱木 发表于 2024-6-11 14:57
FORX[;:] *[v|L] 变量表[名],, [参数表]   //*v后为变量表名  //*L后 开始 步长 结束

学习了
回复

使用道具 举报

19310#
发表于 2024-6-12 13:46:25 | 只看该作者
本帖最后由 Anson4 于 2024-6-12 14:07 编辑
mdyblog 发表于 2024-6-6 23:22
为什么要动态改变, 什么用处?

最近论坛里出现了这款解密工具:新出炉的CMPA解密工具,可解密二合一pecmd.exe
http://bbs.wuyou.net/forum.php?mod=viewthread&tid=440927

我测试了一下,有些脚本能解解密,有些不能。
无疑这个对使用PECMD编写程序的积极性打击很大,有什么方法能防止解密呢?

还有CMPS指令的-bin参数具体起什么作用呢?
回复

使用道具 举报

19311#
发表于 2024-6-12 14:58:48 来自手机 | 只看该作者
Anson4 发表于 2024-6-12 13:46
最近论坛里出现了这款解密工具:新出炉的CMPA解密工具,可解密二合一pecmd.exe
http://bbs.wuyou.net/fo ...

接受吧,还能咋样。
回复

使用道具 举报

19312#
发表于 2024-6-12 15:42:14 | 只看该作者
红毛樱木 发表于 2024-6-12 14:58
接受吧,还能咋样。

过去的已经过去,可是还得要将来的吧。
回复

使用道具 举报

19313#
发表于 2024-6-12 16:49:55 | 只看该作者
Anson4 发表于 2024-6-12 15:42
过去的已经过去,可是还得要将来的吧。

淡定点接受,否则自己会狠难受。
回复

使用道具 举报

19314#
发表于 2024-6-12 17:10:01 | 只看该作者
Anson4 发表于 2024-6-12 15:42
过去的已经过去,可是还得要将来的吧。

换c语言编程吧。毕竟脚本语言不是直接把代码编译成cpu指令,肯定有个释放的过程,有释放就会被抓住漏洞,怎么都无法避免被破解的命运。不过那些老外也是吃饱了没事干,老揪着pecmd搞破坏很爽?
回复

使用道具 举报

19315#
发表于 2024-6-12 19:20:17 | 只看该作者
527104427 发表于 2024-6-12 17:10
换c语言编程吧。毕竟脚本语言不是直接把代码编译成cpu指令,肯定有个释放的过程,有释放就会被抓住漏洞, ...

我不是吃编程这碗饭的,平时折腾纯粹就是因为兴趣。
再去学习其他编程语言,成本有点高。
回复

使用道具 举报

19316#
发表于 2024-6-12 19:25:33 | 只看该作者

不错啊
谢谢分享
回复

使用道具 举报

19317#
发表于 2024-6-12 21:12:54 | 只看该作者
Anson4 发表于 2024-6-12 15:42
过去的已经过去,可是还得要将来的吧。

使用内置脚本,再使用mpress进行最小压缩
回复

使用道具 举报

19318#
发表于 2024-6-12 21:21:53 | 只看该作者
conlin888 发表于 2024-6-12 21:12
使用内置脚本,再使用mpress进行最小压缩



没啥用啊,这个貌似是在本论坛下载的CGI,一样被爆破



回复

使用道具 举报

19319#
发表于 2024-6-12 23:15:50 | 只看该作者
Anson4 发表于 2024-6-12 13:46
最近论坛里出现了这款解密工具:新出炉的CMPA解密工具,可解密二合一pecmd.exe
http://bbs.wuyou.net/fo ...

把有些不能的发我试下
回复

使用道具 举报

19320#
发表于 2024-6-13 10:33:13 | 只看该作者
527104427 发表于 2024-6-12 21:21
没啥用啊,这个貌似是在本论坛下载的CGI,一样被爆破

他说的是使用 mpress 压缩 PE 文件的所有资源,也就是加一道防护
不脱壳的话,无法提取内嵌在 PE 文件中的脚本
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2024-11-24 12:09

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表