无忧启动论坛

标题: PECMD.INI CMPS/CMPA 加密破解方法 [打印本页]

作者: liberize 时间: 2015-10-15 23:41
标题: PECMD.INI CMPS/CMPA 加密破解方法
本帖最后由 liberize 于 2015-10-18 02:22 编辑

前言：

最近在找一个好用的 PE，找到了阿弥陀佛的 Win7PE，符合我的需求，然而当我想定制一下的时候，却发现里面的 INI 脚本做了加密。
发信请求解密，没有得到回复，于是自己写了个小工具，解出了其中的 INI 脚本。

原理：

已开源在 GitHub：https://github.com/liberize/pecmd-decrypt，其实没有几行代码。

其实准确说“解密”无关，目前之所以没有破解只是因为算法没公开，我也没有去研究它的算法，
反正不管怎样，最后肯定要解出来才能执行，所以我在执行的地方替换了它调用的系统 API，从 API 参数里面拿到了解出来的脚本。

鉴于 mdyblog 已经做出了反应，相信他已经知道我 hook 的是哪个 API，没错，就是 MultiByteToWideChar。
pecmd 执行每一行的时候会将其转为 unicode 编码，便会调用上面的 api，过滤一下就可以得到原始内容。

理论上此方法适用于使用所有加密方式加密的 ini，不限于 CMPS/CMPA。

用什么版本的 pecmd.exe 其实无所谓，但是最近的 m 版 pecmd，启动时会执行一个内置脚本，这个脚本的内容也会出现在生成的 ini 文件中，
为了避免混在一起无法区分，请使用不会执行内置脚本的 pecmd，谁有的话欢迎提供（我就不传了，附件只能传 500k）。
判断方法：用一个没有加密的脚本去跑，如果解出来是一样的，那么就不会执行内置脚本。

步骤：

本人比较懒，所以直接发布简陋的命令行工具，没有做成 GUI 工具。以下步骤在 PE 下进行。

1. 先得到加密的 pecmd.ini，如果内置于 pecmd.exe，请用 res hacker 提取
2. 找一个不会执行内置脚本的 pecmd.exe，32/64 位其实无所谓，只要 PE 能运行就可以
3. 下载附件，使用与 pecmd.exe 对应的版本，比如 pecmd.exe 是 64 位的就使用 x64 文件夹中的版本
4. 将 1、2 里面的 pecmd.exe 和 pecmd.ini 放在 x86/x64 这个目录下
5. 打开终端，运行 DetourHook.exe "pecmd.exe pecmd.ini" DetourHookDll.dll
6. 在当前目录生成 original.ini，便是解密后的 pecmd.ini

工具：

10-16 更新: 修复了乱码等若干 bug，生成的原始 ini 更加准确

http://pan.baidu.com/s/1hquEuv6 密码：hnjw

QQ截图20151015233241.png (79.17 KB, 下载次数: 522)

作者: 2012hzy6420 时间: 2015-10-15 23:42
xxfx谢谢分享

作者: 赤木刚宪 时间: 2015-10-16 00:03
LZ是通过日志判断？貌似不科学，对新版PECMD也无效

作者: 阿弥陀佛 时间: 2015-10-16 00:11
牛！我的PE被拿来开刀了。还好没有恶意代码

软件先收藏！

作者: 阿弥陀佛 时间: 2015-10-16 00:14

赤木刚宪发表于 2015-10-16 00:03
LZ是通过日志判断？貌似不科学，对新版PECMD也无效

应该不是通过日志啊。软件还没测试，但是看截图跟我写的配置一样一样滴。牛逼！m大要哭了

作者: liberize 时间: 2015-10-16 00:17

赤木刚宪发表于 2015-10-16 00:03
LZ是通过日志判断？貌似不科学，对新版PECMD也无效

其实准确说“解密”无关，目前之所以没有破解只是因为算法没公开，我也没有去研究它的算法，反正不管怎样，最后肯定要解出来才能执行，所以我在执行的地方替换了它调用的系统 API，从参数里面拿到了解出来的脚本。

作者: liberize 时间: 2015-10-16 00:19

阿弥陀佛发表于 2015-10-16 00:11
牛！我的PE被拿来开刀了。还好没有恶意代码
软件先收藏！

作者: xzf680 时间: 2015-10-16 00:20
感谢分享，辛苦了

作者: 1400700226 时间: 2015-10-16 00:23

阿弥陀佛发表于 2015-10-16 00:11
牛！我的PE被拿来开刀了。还好没有恶意代码
软件先收藏！

哈哈，不知道大神为啥要加密？这样不是无忧风格啊。。。。。。

作者: 阿弥陀佛 时间: 2015-10-16 00:24

liberize 发表于 2015-10-16 00:17
其实准确说“解密”无关，目前之所以没有破解只是因为算法没公开，我也没有去研究它的算法，反正不管怎样 ...

要是这样的话，那就算整个pecmd.exe压缩加壳，应该也可以拿到脚本吧

作者: liberize 时间: 2015-10-16 00:30

阿弥陀佛发表于 2015-10-16 00:24
要是这样的话，那就算整个pecmd.exe压缩加壳，应该也可以拿到脚本吧

是的，不过其实这个破解的方法封住也不难

作者: 阿弥陀佛 时间: 2015-10-16 00:30

1400700226 发表于 2015-10-16 00:23
哈哈，不知道大神为啥要加密？这样不是无忧风格啊。。。。。。

这个么，在做这个win7PE之前我也从来不加密。但是无忧不是有段时间被某些人搅浑了。还有人就拿别人的pe随便改点皮毛就吹得天花乱坠。某些臭名昭著的个人或网站，甚至加了恶意软件。。。。我想有点水平的人配置文件完全可以自己写。这也是一种学习啊。而且我的pe也留了pecmd.ini最为diy的接口。

作者: liberize 时间: 2015-10-16 00:35

阿弥陀佛发表于 2015-10-16 00:30
这个么，在做这个win7PE之前我也从来不加密。但是无忧不是有段时间被某些人搅浑了。还有人就拿别人的pe随 ...

其实我只是想把世界之窗换成比较小的 opera，虽说直接删掉世界之窗的文件就可以了，可是我有比较严重的洁癖 + 强迫症，不把世界之窗的代码删掉就浑身不爽，所以。。。

作者: 阿弥陀佛 时间: 2015-10-16 00:39

liberize 发表于 2015-10-16 00:30
是的，不过其实这个破解的方法封住也不难

那个7pe还有些问题。dism好像不完整。可能因为我添加的驱动不适合，有些人反应找不到磁盘。还有一个U盘不能自动分配盘符，这个只要kill explorer就行了，这句忘了。配置文件后面那段代码就是定时检测插入新磁盘就自动kill explorer的。本来想等问题多一点再作更新的。
如果你需要，我再传一个没有软件没有集成驱动的版本。

作者: 阿弥陀佛 时间: 2015-10-16 00:57
渣网速。上传限制得只有500kb/s。。传完了
链接: http://pan.baidu.com/s/1ntnI88T 密码: mmnq

作者: gylgw 时间: 2015-10-16 06:28
本帖最后由 gylgw 于 2015-10-16 06:59 编辑

这个比较牛啊，谢谢楼主分享。

但是好像对我现在所用的PE解密不了，解出来是乱码。而且在RH中怎么判断哪个是PECMD呢？

sshot-1.png (52.16 KB, 下载次数: 489)

和你一样位置没有内容

sshot-2.png (79.52 KB, 下载次数: 458)

sshot-3.png (35.73 KB, 下载次数: 480)

作者: tegl 时间: 2015-10-16 07:12
厉害，感谢分享宝贵经验

作者: chiannet 时间: 2015-10-16 07:41

liberize 发表于 2015-10-16 00:17
其实准确说“解密”无关，目前之所以没有破解只是因为算法没公开，我也没有去研究它的算法，反正不管怎样 ...

又一牛人。

作者: 赤木刚宪 时间: 2015-10-16 07:49

chiannet 发表于 2015-10-16 07:41
又一牛人。

我测试解密失败哦

作者: notepad 时间: 2015-10-16 08:19
给加密的脚本解密成功，感谢分享！

作者: skype2015 时间: 2015-10-16 08:30
感谢分享

作者: chiannet 时间: 2015-10-16 09:12

赤木刚宪发表于 2015-10-16 07:49
我测试解密失败哦

我测试成功了

作者: bowpot 时间: 2015-10-16 09:46
不学习就跟不上了

作者: 2012jc天马行空 时间: 2015-10-16 10:45

chiannet 发表于 2015-10-16 09:12
我测试成功了

同样成功

作者: liberize 时间: 2015-10-16 10:58

chiannet 发表于 2015-10-16 09:12
我测试成功了

不能解的请贴上你们的 PECMD.EXE，我看一下

作者: liberize 时间: 2015-10-16 11:00

gylgw 发表于 2015-10-16 06:28
这个比较牛啊，谢谢楼主分享。

但是好像对我现在所用的PE解密不了，解出来是乱码。而且在RH中怎么判断哪 ...

你找的第二张图这个就是啊，一般比较大的资源，并且在开始有　ＣＭＰＡ　字样应该就是了
第三张图似乎只有注释乱码？也许原来的脚本就是这样子的

作者: liberize 时间: 2015-10-16 11:03

赤木刚宪发表于 2015-10-16 07:49
我测试解密失败哦

不能解的请贴上你们的 PECMD.EXE，我看一下

作者: 青青草 时间: 2015-10-16 11:09
本帖最后由青青草于 2015-10-17 00:17 编辑

liberize 发表于 2015-10-16 11:03
不能解的请贴上你们的 PECMD.EXE，我看一下

麻烦您帮忙看一下，谢谢了！

PECMD.rar

691.97 KB, 下载次数: 123, 下载积分: 无忧币 -2

PECMDini.rar

10.28 KB, 下载次数: 66, 下载积分: 无忧币 -2

作者: liberize 时间: 2015-10-16 11:12

青青草发表于 2015-10-16 11:09
麻烦您帮忙看一下，谢谢了！

你这个 PECMD 有点丧心病狂啊，资源里面放满了脚本，有加密的也有没加密的

作者: 青青草 时间: 2015-10-16 11:15

liberize 发表于 2015-10-16 11:12
你这个 PECMD 有点丧心病狂啊，资源里面放满了脚本，有加密的也有没加密的

呵呵，难怪找不到。谢谢了！

作者: gylgw 时间: 2015-10-16 11:20
我使用的PECMD.EXE和PECMD.INI，还有一个是三卡加载INI

PECMD.part1.rar

490 KB, 下载次数: 83, 下载积分: 无忧币 -2

PECMD.part2.rar

275.57 KB, 下载次数: 73, 下载积分: 无忧币 -2

作者: liberize 时间: 2015-10-16 11:20

青青草发表于 2015-10-16 11:09
麻烦您帮忙看一下，谢谢了！

我看了，有一些乱码，还有一些内容不对，我再看一下

作者: 青青草 时间: 2015-10-16 11:29

liberize 发表于 2015-10-16 11:20
我看了，有一些乱码，还有一些内容不对，我再看一下

再次谢谢了！

作者: lbw2007 时间: 2015-10-16 13:05
不明觉厉……
说白了就是绕过加密了是吗。支持分享！

作者: 糊涂 时间: 2015-10-16 13:45
我就说嘛，有矛就有盾，只是时间问题，用不了多久，“一键式”明文程序就会出来！

作者: gylgw 时间: 2015-10-16 15:23

liberize 发表于 2015-10-16 11:03
不能解的请贴上你们的 PECMD.EXE，我看一下

麻烦帮我的看一下可以吗？在31楼，谢谢

作者: feng-aa 时间: 2015-10-16 16:16
是我不会用吗，没有成功，
菜鸟不懂（1. 用 res hacker 提取 pecmd.exe 中加密的 ini 文件，保存到文件，比如 201）这个干嘛用
保存到什么后缀文件呢，这一步是不是看ini在那里啊
是不是直接下面的就可以啦
2. 下载附件，使用与 pecmd.exe 对应的版本，比如 pecmd.exe 是 64 位的就使用 x64 文件夹中的版本
3. 打开终端，运行 DetourHook.exe "pecmd.exe 201" DetourHookDll.dll
4. 在当前目录生成 log.txt，便是解密后的 pecmd.ini

作者: 2012jc天马行空 时间: 2015-10-16 16:30

feng-aa 发表于 2015-10-16 16:16
是我不会用吗，没有成功，
菜鸟不懂（1. 用 res hacker 提取 pecmd.exe 中加密的 ini 文件，保存到文件， ...

他针对的是pecmd.exe与pecmd.ini合并的情况。有些分开的，只要拿pecmd.ini来解密就行了

作者: zds1210 时间: 2015-10-16 16:32
加我群。。人才

作者: awnuitfk 时间: 2015-10-16 17:38
支持！！！年年有牛人！今年又一个！嘿嘿！

作者: awnuitfk 时间: 2015-10-16 17:52
楼主，最后一步在终端运行，什么意思？我运行报错呀！！！！

作者: 大毛桃 时间: 2015-10-16 18:46
解密成功！

作者: my9823 时间: 2015-10-16 19:13
就是说利用pecmd加载配置文件时肯定要解密来获取解密后的ini，欲擒故纵！

作者: my9823 时间: 2015-10-16 19:27

awnuitfk 发表于 2015-10-16 17:52
楼主，最后一步在终端运行，什么意思？我运行报错呀！！！！

打开终端，运行 DetourHook.exe "pecmd.exe 201" DetourHookDll.dll
其中的201是你导出的加密的ini，用原版的pecmd加载这个配置，如果你导出时peinit，就把201改成你到处的文件名，我猜是这样用的！

作者: andos 时间: 2015-10-16 19:50
M似乎出手了?

http://bbs.wuyou.net/forum.php?m ... 9021&fromuid=329939

CMPS 加密的代码，请请UNICODE 带BOM格式保存。并换用最新版本。
用记事本另存为 UNICODE即可。
如图：

用WinHEX看，开始2个字节是 FF FE 就对了。

作者: zhczf 时间: 2015-10-16 19:55
楼主的教程太简陋了，搞详细更好

作者: 2012qz 时间: 2015-10-16 20:24

2012jc天马行空发表于 2015-10-16 16:30
他针对的是pecmd.exe与pecmd.ini合并的情况。有些分开的，只要拿pecmd.ini来解密就行了

我的是分开的，好像不成功，解密后 log 内容都一样

作者: liberize 时间: 2015-10-16 20:29

2012qz 发表于 2015-10-16 20:24
我的是分开的，好像不成功，解密后 log 内容都一样

前面可能是内置脚本，看 1 楼

作者: liberize 时间: 2015-10-16 20:30

gylgw 发表于 2015-10-16 11:20
我使用的PECMD.EXE和PECMD.INI，还有一个是三卡加载INI

请再试试，乱码应该没有了，我这儿基本都能解，除了那个 PECMD.INI　一执行就重启。。。
注意前面一段可能是内置脚本，看 1 楼

作者: liberize 时间: 2015-10-16 20:32

青青草发表于 2015-10-16 11:09
麻烦您帮忙看一下，谢谢了！

更新了，你再试试，乱码应该没有了，注意下前面可能是内置脚本，看 1 楼

作者: 2012qz 时间: 2015-10-16 20:32
本帖最后由 2012qz 于 2015-10-16 20:52 编辑

liberize 发表于 2015-10-16 20:29
前面可能是内置脚本，看 1 楼

INI和WCS解密后只有3行代码，全部一样，不知道是不是我操作问题，换新版本解密后original.ini空白

作者: 2012qz 时间: 2015-10-16 20:57

liberize 发表于 2015-10-16 20:32
更新了，你再试试，乱码应该没有了，注意下前面可能是内置脚本，看 1 楼

我想问一下，被解密的 INI 要放在那个文件夹，DetourHook.exe等破解文件有要求放在哪个目录吗

作者: 23456 时间: 2015-10-16 21:49
本帖最后由 23456 于 2015-10-16 22:06 编辑

成功了原来是挑PECMD.EXE 大白菜03 PE乱码

作者: liberize 时间: 2015-10-16 22:07

23456 发表于 2015-10-16 21:49
成功了原来是挑PECMD.EXE 大白菜03 PE乱码

这个不像是成功了。。

作者: 23456 时间: 2015-10-16 22:35

liberize 发表于 2015-10-16 22:07
这个不像是成功了。。

乱码

附原件

DBC3.zip (6.54 KB, 下载次数: 190)

改后缀

作者: 青青草 时间: 2015-10-17 00:21

liberize 发表于 2015-10-16 20:32
更新了，你再试试，乱码应该没有了，注意下前面可能是内置脚本，看 1 楼

还是不行。麻烦您再看一下好吗？我把pecmd.exe和pecmd.ini也一并上传了，在28楼。先谢谢了！

作者: liberize 时间: 2015-10-17 01:07

23456 发表于 2015-10-16 22:35
乱码

我试了，没问题啊

FIND MEM<384,FBWF P40 L96 H192!FBWF P50 L160 H299

TEAM ENVI W=%WinDir%|ENVI $WS=%WinDir%\SYSTEM32|ENVI WSD=%WS%\Drivers

TEAM LOGO %WS%\DBC.JPG |DISP B32|WAIT 169

//TEAM TEXT 正在启动大白菜WinPE维护系统 …… #0xFFFFFF L59 T490 R500 B520 $20*|WAIT 69

TEAM FILE %W%\TXTSETUP.SI*|PATH #%WS%\CONFIG|FILE %WS%\*.*_|FILE %WSD%\*.SY_

TEAM PATH %SystemDrive%\TEMP|INIT U,3690|EXEC @PECMD.EXE CALL $SHELL32.DLL,DllInstall,#1,U

TEAM ENVI V0=HKLM\System\CurrentControlSet\Services|ENVI V1=System32\Drivers

REGI %V0%\USBHUB\ImagePath=%V1%\USBHUB.SYS

REGI %V0%\USBCCGP\ImagePath=%V1%\USBCCGP.SYS

REGI %V0%\USBEHCI\ImagePath=%V1%\USBEHCI.SYS

REGI %V0%\USBOHCI\ImagePath=%V1%\USBOHCI.SYS

REGI %V0%\USBSTOR\ImagePath=%V1%\USBSTOR.SYS

REGI %V0%\USBUHCI\ImagePath=%V1%\USBUHCI.SYS

REGI %V0%\HIDUSB\ImagePath=%V1%\HIDUSB.SYS

REGI %V0%\MOUCLASS\ImagePath=%V1%\MOUCLASS.SYS

REGI %V0%\MOUHID\ImagePath=%V1%\MOUHID.SYS

REGI %V0%\KBDCLASS\ImagePath=%V1%\KBDCLASS.SYS

REGI %V0%\KBDHID\ImagePath=%V1%\KBDHID.SYS

REGI %V0%\CDROM\ImagePath=%V1%\CDROM.SYS

REGI %V0%\AMDHUB30\ImagePath=%V1%\AMDHUB30.SYS

REGI %V0%\AMDXHC\ImagePath=%V1%\AMDXHC.SYS

REGI %V0%\USBFILTER\ImagePath=%V1%\USBFILTER.SYS

REGI %V0%\ASMTHUB3\ImagePath=%V1%\ASMTHUB3.SYS

REGI %V0%\ASMTXHCI\ImagePath=%V1%\ASMTXHCI.SYS

REGI %V0%\ETRONHUB3\ImagePath=%V1%\ETRONHUB3.SYS

REGI %V0%\ETRONXHCI\ImagePath=%V1%\ETRONXHCI.SYS

REGI %V0%\NUSB3HUB\ImagePath=%V1%\NUSB3HUB.SYS

REGI %V0%\NUSB3XHC\ImagePath=%V1%\NUSB3XHC.SYS

REGI %V0%\RUSB3HUB\ImagePath=%V1%\RUSB3HUB.SYS

REGI %V0%\RUSB3XHC\ImagePath=%V1%\RUSB3XHC.SYS

REGI %V0%\nusb3xhc\ImagePath=%V1%\ViaHub3.sys

REGI HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace\{D20EA4E1-3957-11d2-A40B-0C5020524153}\!

REGI HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace\{D6277990-4C6A-11CF-8D87-00AA0060F5BF}\!  `删除任务计划

REGI HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{450D8FBA-AD25-11D0-98A8-0800361B1103}\! `删除桌面我的文档

REGI HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\{59031a47-3f72-44a7-89c5-5595fe6b30ee}\!`删除共享文档

EXEC =!%WinDir%\SYSTEM32\SHOWDRIVE.EXE

//EXEC =!%WinDir%\SYSTEM32\ORDERDRV.CMD

EXEC =!%WinDir%\SYSTEM32\FIXUSB.EXE U

EXEC *=%WS%\7z.EXE x %WSD%\IntelRaid.sys -pBaiCai13287712562 -y -aoa -o"%Windir%\System32\"

//连接外置.CD+UD的选择和处理.挂载外置程序设置环境变量

FIND MEM>384,RAMD ImDisk,L125,NTFS,Z:,虚拟盘!RAMD ImDisk,L35,NTFS,Z:,虚拟盘

//FIND MEM>512,RAMD ImDisk* -e -s 50M -m Z:

PATH Z:\Temp\

WAIT 300

EXEC =!%WinDir%\SYSTEM32\dbc.exe (ud) output "idbc/peload/*" %WS%\%~nx

IFEX %WS%\BCUDTOOLS.INI,!EXEC !=%WS%\bootpart.exe -mount -readonly -driveletter V:

IFEX U:\IDBC\TOOLS\Extend.wim,exec @=%Windir%\System32\bootpart.exe  -eject

IFEX %WS%\BCUDTOOLS.INI,LOAD %WS%\BCUDTOOLS.INI!FORX !\IDBC\TOOLS\BCCDTOOLS.INI,IniCD,1,LOAD %IniCD%

WAIT 365

IFEX Z:\Tools\Basic.WIM,MOUN Z:\Tools\Basic.wim,Y:\Basic\,1,%Temp%

IFEX Z:\Tools\Extend.WIM,MOUN Z:\Tools\Extend.WIM,Y:\Extend\,1,%Temp%

ENVI OPDir=Y:\Basic

ENVI EXDir=Y:\Extend

//ENVI ICPT=X:\WXPE\SYSTEM32\ICO.DLL#

//ENVI ICSH=X:\WXPE\SYSTEM32\SHELL32.DLL#

ENVI DFUR=X:\Documents and Settings\Default User\

WAIT 369

//加载二级内核.创建桌面开始菜单快捷方式.注册热键.需要在7Z解压之后执行

//IFEX Z:\DBC3.7z,EXEC *=%WS%\7z.exe x Z:\DBC3.7z -pBaiCai13287712562 -y -aoa -o"%WinDir%\"

NUMK 0

RUNS PECMD.EXE EXEC !%WS%\INTERNAT.EXE,输入法指示器

EXEC !X:\WXPE\SYSTEM32\MMC.CMD

EXEC =!CMD.EXE /C "REGSVR32 /S X:\WXPE\SYSTEM32\SEND.DLL"

//REGI HKCR\*\shell\CAB-最大压缩\command\=makecab /v1 /D CompressionType=LZX /D CompressionMemory=21 "%1"

//EXEC !%OPDir%\输入工具\INSWB.CMD

EXEC *=%WS%\7z.exe x %OPDir%\输入工具\FREEWB.7z -y -aoa -o"%ProgramFiles%\FreeWB"

EXEC *%ProgramFiles%\FreeWB\REGISTRY.EXE /S

EXEC @%OPDir%\输入工具\ZG.EXE

EXEC *=%WS%\LOADSYS.EXE

TEAM FILE %WS%\LOADSYS.EXE|FILE %WSD%\IntelRaid.sys

WAIT 365

LINK %Desktop%\GHOST克隆  【Alt+G 】,%OPDir%\GHOST32\GHOST32.EXE

LINK %Desktop%\Win系统安装【Alt+W】,%OPDir%\系统安装\WinNTSetup.exe

LINK %Desktop%\DG分区工具  【Alt+D】,%OPDir%\磁盘管理\diskgenius.exe

LINK %Desktop%\Win引导修复【Alt+F】,%OPDir%\系统维护\NTBOOTautofix.exe

LINK %Desktop%\登录密码清除【Alt+C】,%OPDir%\密码管理\NTPWEDIT.exe

LINK %Desktop%\虚拟光驱,%OPDir%\光盘工具\虚拟光驱\vdm.exe

FIND MEM<512,LINK %Desktop%\设置临时文件,%WS%\PECMD.EXE,LOAD %WS%\PESET.INI,SHELL32.DLL#12

//LINK %Programs%\临时文件,%WS%\PECMD.EXE,LOAD %WS%\PESET.INI,SHELL32.DLL#12

LINK %Programs%\我的工具,X:\WXPE\SYSTEM32\我的工具.exe

HOTK #112,PECMD.EXE `注册热键：F1 帮助

HOTK #120,PECMD EXEC !X:\WXPE\SYSTEM32\SL.CMD

HOTK #121,PECMD EXEC !X:\WXPE\SYSTEM32\CLEANTEMP.CMD

HOTK #122,%OPDir%\图形图像\WINSNAP.EXE

HOTK Alt+D,Y:\Basic\磁盘管理\Diskgenius.EXE

HOTK Alt+G,Y:\Basic\GHOST32\GHOST32.EXE

HOTK Alt+W,Y:\Basic\系统安装\WinNTSetup.EXE

HOTK Alt+F,Y:\Basic\系统维护\NTBOOTautofix.EXE

HOTK Alt+C,Y:\Basic\密码管理\NTPWEDIT.EXE

HOTK Alt+Z,%WS%\DBCGhost.EXE

HOTK Alt+A,Y:\EXTEND\密码管理\dialupass.exe

//快捷启动和开始菜单.LNK

//LINK %QuickLaunch%\我的电脑,%WS%\MYC.LNK

LINK %QuickLaunch%\截图工具(F11),%OPDir%\图形图像\WINSNAP.EXE

LINK !%QuickLaunch%\临时文件清除,X:\WXPE\SYSTEM32\CLEANTEMP.CMD,,X:\WXPE\SYSTEM32\CLEANTEMP.ICO

LINK %QuickLaunch%\设置临时文件,%WS%\PECMD.EXE,LOAD %WS%\PESET.INI,SHELL32.DLL#12

LINK %QuickLaunch%\资源管理器,%W%\EXPLORER.EXE,/E,EXPLORER.EXE#1

LINK !%StartMenu%\刷新系统 [F9],X:\WXPE\SYSTEM32\SL.CMD,,X:\WXPE\SYSTEM32\CLEANTEMP.ICO

LINK %StartMenu%\设置临时文件,%WS%\PECMD.EXE,LOAD %WS%\PESET.INI,SHELL32.DLL#12

//************************************进入桌面***********************************

EXEC =%WS%\MYSET.EXE PUTSPT

IFEX %WS%\DBCGHOST.EXE,EXEC %WS%\DBCGHOST.EXE /AUTO

TEAM LOGO %WS%\DBC2.JPG |WAIT 1666

//TEAM TEXT 正在载入桌面，请稍候 …… #0x00ffff l150 t500 r500 b520 $20|wait 300

TEAM DISP W1024 H768 B32|WAIT 166

WALL %WS%\DESK.JPG

//WAIT 366

//EXEC WALLCMD %WS%\DESK.JPG

FIND Explorer.EXE,!TEAM SHEL %WinDir%\EXPLORER.EXE|WAIT 1999|LOGO

//************************************进入桌面***********************************

EXEC !X:\WXPE\SYSTEM32\NUMLOCK.EXE

FONT X:\WXPE\FONTS

//EXEC !%OPDir%\REGDOC.CMD

WAIT 669

SITE %USERPROFILE%\「开始」菜单\程序\启动,+H

EXEC =!%WinDir%\SYSTEM32\OEM.CMD

//EXEC =!%WinDir%\SYSTEM32\HFS.CMD

USER 装机专家,大白菜PE-www.winbaicai.com

//基本工具菜单

LINK %Programs%\GHOST32\Ghost32 11.0.2,%OPDir%\GHOST32\GHOST32.EXE

LINK %Programs%\GHOST32\GhostExp镜像浏览器,%OPDir%\GHOST32\ghostexp.exe

LINK %Programs%\GHOST32\GhoHash密码查看器,%OPDir%\GHOST32\ghohash.exe

LINK !%Programs%\WIM工具\启用Wimtool,%OPDir%\ISWIM.CMD,,%OPDir%\WIM工具\WIMTOOL.EXE

LINK !%Programs%\WIM工具\启用WimNT,%OPDir%\ISWIMT.CMD,,%OPDir%\WIM工具\WIMNT.EXE

LINK %Programs%\文件工具\WinRar,%OPDir%\WINRAR\WINRAR.EXE

LINK %Programs%\磁盘管理\DiskGenius磁盘分区,%OPDir%\磁盘管理\diskgenius.exe

LINK %Programs%\磁盘管理\Bootice引导扇区管理,%OPDir%\磁盘管理\bootice.exe

LINK %Programs%\光盘工具\虚拟光驱,%OPDir%\光盘工具\虚拟光驱\vdm.exe

LINK %Programs%\光盘工具\ULTRAISO,%OPDir%\光盘工具\ULTRAISO\UltraISO.exe

LINK %Programs%\密码管理\Windows密码清除器,%OPDir%\密码管理\NTPWEDIT.exe

LINK %Programs%\系统维护\系统启动引导修复,%OPDir%\系统维护\NTBOOTautofix.exe

LINK %Programs%\图形图像\ACDSEE图片编辑,%OPDir%\图形图像\ACDSEE\ACDSEE.exe

LINK %Programs%\图形图像\WINSNAP截图,%OPDir%\图形图像\WINSNAP.exe

LINK %Programs%\系统安装\NT6系统安装器gui,%OPDir%\系统安装\NT6快捷安装器.exe

LINK %Programs%\系统安装\Windows通用安装器,%OPDir%\系统安装\WinNTSetup.exe

//附件.查看

LINK %Programs%\附件工具\记事本,%WS%\NOTEPAD.EXE

LINK %Programs%\附件工具\命令提示符,%WS%\CMD.EXE

LINK %Programs%\附件工具\注册表编辑器,%W%\REGEDIT.EXE

LINK %Programs%\附件工具\资源管理器,%W%\EXPLORER.EXE,,EXPLORER.EXE#1

LINK %Programs%\系统微调\显示隐藏分区,%WS%\PECMD.EXE,SHOW -1:-1,SHELL32.DLL#101

LINK %Programs%\系统微调\分配磁盘盘符,%WS%\SHOWDRIVE.EXE,,Shell32.dll#8

LINK %Programs%\系统微调\设置临时文件,%WS%\PECMD.EXE,LOAD %WS%\PESET.INI,SHELL32.DLL#12

LINK %Programs%\附件工具\查看.详细方式,%WS%\XX.CMD,,Shell32.dll#19

LINK %Programs%\附件工具\查看.平铺方式,%WS%\PP.CMD,,Shell32.dll#19

LINK %Programs%\附件工具\查看.图标方式,%WS%\TB.CMD,,Shell32.dll#19

LINK %Programs%\附件工具\计算器,%WS%\CALC.EXE

LINK %Programs%\附件工具\画图,%WS%\MSPAINT.EXE

LINK !%Programs%\附件工具\清除临时文件 F10,%WS%\CLEANTEMP.CMD,,%WS%\CLEANTEMP.ICO

LINK !%Programs%\附件工具\加入 UltraISO 关联,%OPDir%\光盘工具\ULTRAISO\SETUP.CMD,,%OPDir%\光盘工具\ULTRAISO\ULTRAISO.exe

//扩展外置菜单

IFEX %exdir%\Readme.txt,CALL UD_EXTOOL

_SUB UD_EXTOOL

//BIOS工具

link %programs%\BIOS工具\AMI BIOS刷新,%exdir%\BIOS工具\afuwin4.45cn.exe

link %programs%\BIOS工具\Award BIOS刷新,%exdir%\BIOS工具\winflash1.97.exe

link %programs%\BIOS工具\Phoenix BIOS刷新,%exdir%\BIOS工具\winphlash2.0.3.4.exe,,

link %programs%\BIOS工具\BIOS万能备份,%exdir%\BIOS工具\bios_backup_tookit.exe

//GHOST工具

link %programs%\GHOST32\GHOST32 8.3,%exdir%\GHOST32\GHOST83.exe

link %programs%\GHOST32\GHOST32 11.5,%exdir%\GHOST32\GHOST115.exe

//wim工具

link %programs%\wim工具\GimageX,%exdir%\WIM工具\PEGimagex.exe

//办公阅读

link %programs%\办公阅读\PDF阅读器,%exdir%\办公阅读\PDF阅读器.exe

EXEC !REGEDIT /S %exdir%\办公阅读\KEY.REG

link !%programs%\办公阅读\WORD文字处理,%exdir%\办公阅读\Word.exe

link %programs%\办公阅读\EXCEL表格处理,%exdir%\办公阅读\Excel.exe

link %programs%\办公阅读\PPT幻灯片处理,%exdir%\办公阅读\PPTView.exe

//备份还原

link %programs%\备份还原\GhostSev网络服务端,%exdir%\备份还原\ghostsrv.exe

link %programs%\备份还原\ImageX一键恢复,%exdir%\备份还原\imagex.exe

link %programs%\备份还原\一键备份恢复,%exdir%\备份还原\CGI.exe

//磁盘管理

link %programs%\磁盘管理\ADDS无损分区,%exdir%\磁盘管理\ADDS\adds.exe

link %programs%\磁盘管理\LFormat磁盘低格,%exdir%\磁盘管理\lformat.exe

link %programs%\磁盘管理\PTDD分区表医生,%exdir%\磁盘管理\ptdd.exe

link %programs%\磁盘管理\UltraDefrag碎片整理,%exdir%\磁盘管理\ultradefrag.exe

link %programs%\磁盘管理\WinPm 7.0分区管理,%exdir%\磁盘管理\winpm.exe

link %programs%\磁盘管理\U盘格式化HDD,%exdir%\磁盘管理\HPUSBFW.exe

link %programs%\磁盘管理\磁盘分区助手,%exdir%\磁盘管理\PARTASSIST.exe

link %programs%\磁盘管理\识别苹果分区,%exdir%\磁盘管理\Apple.exe,-dnd

link %desktop%\识别苹果分区,%exdir%\磁盘管理\Apple.exe,-dnd

//密码管理

link %programs%\密码管理\CMOS密码清除,%exdir%\密码管理\cmos.exe

link %programs%\密码管理\ADSL密码查看,%exdir%\密码管理\dialupass.exe

link %programs%\密码管理\Win Nt密码编辑,%exdir%\密码管理\ntpwedit.exe

link %programs%\密码管理\Win Nt密码恢复,%exdir%\密码管理\passwdrenew.exe

link %programs%\密码管理\通用密码查看器,%exdir%\密码管理\密码查看.exe

//驱动管理

link %programs%\驱动管理\SDB驱动备份,%exdir%\驱动管理\driverbak.exe

link %programs%\驱动管理\DEP驱动备份,%exdir%\驱动管理\driverexportpe.exe

link %programs%\驱动管理\GDP驱动提取,%exdir%\驱动管理\getpedriver.exe

link %programs%\驱动管理\安装自定义驱动,%exdir%\驱动管理\mpeidrv.exe

//数据恢复

link %programs%\数据恢复\FinalData数据恢复,%exdir%\数据恢复\finaldata.exe

link %programs%\数据恢复\RSTUDIO数据恢复,%exdir%\数据恢复\RSTUDIO.EXE

link %programs%\数据恢复\易我数据恢复,%exdir%\数据恢复\易我数据恢复.exe

link %programs%\数据恢复\金山数据恢复,%exdir%\数据恢复\金山数据恢复.exe

//图形图像

link %programs%\图形图像\屏幕截取GIF,%exdir%\图形图像\GIF.exe

link %programs%\图形图像\PDF阅读器,%exdir%\图形图像\FOXITREADER.exe

link %programs%\图形图像\微型Photoshop,%exdir%\图形图像\StylePix.exe

//网络工具

IFEX %Desktop%\设置临时文件.LNK,!link %desktop%\加载网络组件,%exdir%\网络工具\Net03.exe

IFEX %Desktop%\设置临时文件.LNK,!link %programs%\网络工具\加载网络组件,%exdir%\网络工具\Net03.exe

IFEX %Desktop%\设置临时文件.LNK,!link %programs%\网络工具\简易FTP服务器,%exdir%\网络工具\FTPServer.exe

IFEX %Desktop%\设置临时文件.LNK,!link %programs%\网络工具\腾讯WebQQ,%exdir%\网络工具\WebQQ.url,,SHELL32.DLL#13

//文件工具

link %programs%\文件工具\FastCopy文件快拷,%exdir%\文件工具\fastcopy.exe

link %programs%\文件工具\畸形目录管理,%exdir%\文件工具\deformitydir.exe

link %programs%\文件工具\Hash文件信息校验,%exdir%\文件工具\md5.exe

link %programs%\文件工具\Winhex16位编辑器,%exdir%\文件工具\winhex.exe

link %programs%\文件工具\unlocker强制删除,%exdir%\文件工具\unlocker.exe

link %programs%\文件工具\文件搜索,%exdir%\文件工具\文件搜索.exe

//系统安装

link %programs%\系统安装\Windows安装助手,%exdir%\系统安装\setupxp.exe

link %programs%\系统安装\NT6系统安装器cmd,%exdir%\系统安装\SETUPWIN6X.exe

link %programs%\系统安装\Win通用安装2合1,%exdir%\系统安装\WIN$MAN.exe

//系统维护

link %programs%\系统维护\SRS驱动离线注入,%exdir%\系统维护\win系统srs驱动注入.exe

link %programs%\系统维护\ScanVirus安全分析,%exdir%\系统维护\scanvirus.exe

link %programs%\系统维护\Servicespe服务驱动管理,%exdir%\系统维护\servicespe.exe

link %programs%\系统维护\Windows启动修复,%exdir%\系统维护\WindowsFix.exe

//硬件检测

link %programs%\硬件检测\Memtest内存诊断,%exdir%\硬件检测\memtest.exe

link %programs%\硬件检测\HddScan磁盘扫描,%exdir%\硬件检测\hddscan.exe

link %programs%\硬件检测\Victoria磁盘扫描,%exdir%\硬件检测\victoria.exe

link %programs%\硬件检测\CPUZ处理器检测,%exdir%\硬件检测\CPUZ.exe

link %programs%\硬件检测\显示器测试,%exdir%\硬件检测\TESTPLAY.exe

link %programs%\硬件检测\笔记本电池检测,%exdir%\硬件检测\BatteryMon.exe

link %programs%\硬件检测\硬盘检测HDTune,%exdir%\硬件检测\HDTune.exe

link %programs%\硬件检测\Aida64环境检测,%exdir%\硬件检测\aida64.exe

link %programs%\硬件检测\键盘检测工具,%exdir%\硬件检测\KEYBOARDTEST.exe

_END

REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318}\=DVD/CD-ROM 驱动器

REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}\=磁盘驱动器

REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}\=显示卡

REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E969-E325-11CE-BFC1-08002BE10318}\=软盘控制器

REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\=IDE ATA/ATAPI 控制器

REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\=键盘

REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\=声音、视频和游戏控制器

REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318}\=鼠标和其它指针设备

REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\=网络适配器

REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E97D-E325-11CE-BFC1-08002BE10318}\=系统设备

REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F}\=存储卷

REGI HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\WebView=#1

REGI HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FindExtensions\Static\WebSearch\!

REGI HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SmallIcons\SmallIcons=no

TEAM EXEC =PECMD SERV !AudioSrv|EXEC =PECMD SERV AudioSrv|SERV EVENTLOG

TEAM WAIT 1000|KILL SMSS.EXE|KILL WINLOGON.EXE|FILE %WS%\SMSS.EXE|FILE %WS%\WINLOGON.EXE|FILE %WS%\WIN32K.SYS

TEAM WAIT 1000|FILE %WS%\ORDERDRV.CMD|FILE %WS%\MBRFIX.EXE|FILE %WS%\MOUNTVOL.EXE|FILE %WS%\DBC*.JPG

TEAM WAIT 1000|FILE X:\WXPE\TEMP\*.*|FILE %WS%\INSTALLIME.EXE|FILE Z:\DBC3.7Z|TEXT |ENVI

/////////////////////////////////////////验证HASH///////////////////////////////////////////

HASH %WinDir%\SYSTEM32\DBCGHOST.EXE,hPSW,SHA1

ENVI $DBCW=26C524D9C93B9C4A435A88ACCCB28549DB62E586

FIND $%DBCW%=%hPSW%,ENVI $CHCK=YES

FIND $%CHCK%=YES,CALL FU !CALL BU_FU

TEAM SET $CHCK|SET $DBCW

_SUB BU_FU

FILE %DESKTOP%\*.*

MESS 本PE核心文件未成功加载!10秒后自动重启!@大白菜WINPE提示! #OK *10000

SHUT R

_END

_SUB FU

FORX !\GHO\DBCPLUS.INI,DBCINI,1,LOAD %DBCINI%

_END

////////////////////////////////////////////////////////////////////////////////////////////

//配置结束

IFEX %WS%\DBC3,FILE %WS%\DBC3

作者: liberize 时间: 2015-10-17 01:12

青青草发表于 2015-10-17 00:21
还是不行。麻烦您再看一下好吗？我把pecmd.exe和pecmd.ini也一并上传了，在28楼。先谢谢了！

这个是人家做了处理，我这儿每次跑也都给我关机了，我暂时没时间搞这个，不好意思

作者: 青青草 时间: 2015-10-17 01:18

liberize 发表于 2015-10-17 01:12
这个是人家做了处理，我这儿每次跑也都给我关机了，我暂时没时间搞这个，不好意思

没事。谢谢您！

作者: yurunghost 时间: 2015-10-17 01:23
求解密一直解不成功

pecmd.zip

3.34 KB, 下载次数: 32, 下载积分: 无忧币 -2

作者: liberize 时间: 2015-10-17 01:48

yurunghost 发表于 2015-10-17 01:23
求解密一直解不成功

额，没有快压，解压不了

作者: yurunghost 时间: 2015-10-17 01:57

liberize 发表于 2015-10-17 01:48
额，没有快压，解压不了

pecmd.rar (1.28 KB, 下载次数: 41)

作者: yurunghost 时间: 2015-10-17 02:20

liberize 发表于 2015-10-17 01:48
额，没有快压，解压不了

以上传RAR格式求解密

作者: 2012qz 时间: 2015-10-17 07:36
本帖最后由 2012qz 于 2015-10-17 07:48 编辑

liberize 发表于 2015-10-17 01:07
我试了，没问题啊

FIND MEM384,RAMD ImDisk,L125,NTFS,Z:,虚拟盘!RAMD ImDisk,L35,NTFS,Z:,虚拟盘

经测试，旧版本成功了，新版本解出来空白

作者: 青青草 时间: 2015-10-17 08:12

yurunghost 发表于 2015-10-17 02:20
以上传RAR格式求解密

让我来帮你吧!
//初始化

EXEC Winpeshl

INIT U

REGI HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Systemrestore\DisableConfig=#1

REGI HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Systemrestore\DisableSR=#1

REGI $HKCR\DRIVE\SHELL\CHANGE-PASSPHRASE\COMMAND\=%SYSTEMROOT%\System32\BDECPW.CMD %%1

REGI $HKCR\DRIVE\SHELL\MANAGE-BDE\COMMAND\=%SYSTEMROOT%\System32\BDEOFF.CMD %%1

TEAM FILE %public%\desktop\desktop.ini|FILE %desktop%\desktop.ini|FILE X:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup|FILE X:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

REGI HKLM\SOFTWARE\Classes\CLSID\{F02C1A0D-BE21-4350-88B0-7367FC96EF3C}\ShellFolder\Attributes=#10940064

SHOW -1,-1

REGI HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Icons\29=X:\Windows\System32\ht.ico,0

EXEC !X:\Program Files\Imagine\Imagine64.EXE /assocext /regcontextmenu

EXEC !=X:\Program Files\Freeime\registry.exe /s

EXEC !%WinDir%\System32\EjectUSB.EXE

FORX *.ocx,Regocx,0,CALL $%Regocx%

FORX msxml*.dll,Regdll,0,CALL $%Regdll%

DEVI %SystemRoot%\inf\usb.inf

DEVI %SystemRoot%\inf\usbport.inf

DEVI $%SystemRoot%\System32\SRS_8x64.CAB,,%Temp%

EXEC %Windir%\System32\CTFMON.EXE

EXEC @REG DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /VA /F

EXEC @REG DELETE HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /VA /F

REGI HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Audit\!

SHEL %SystemRoot%\explorer.exe

EXEC =!X:\Program Files\Tools\REGDOC.cmd

EXEC =!X:\Program Files\Unlocker\setup.cmd

EXEC !regsvr32.exe /s "%ProgramFiles%\FastCopy\FastEx64.dll"

REGI HKCR\*\ShellEx\ContextMenuHandlers\FastCopy\FastCopyMenuFlags2=#0xfff13fff

SITE %Startup%,+H+R

EXEC !=X:\Program Files\Tools\Order.exe

HOTK #112,PECMD.EXE

HOTK #120,PECMD EXEC !X:\Windows\System32\Killep.cmd    `F9  刷新系统

HOTK #121,PECMD EXEC !X:\Windows\System32\CLEANTEMP.CMD  `F10 清除临时文件

HOTK #122,PECMD EXEC X:\Windows\System32\WinSnap64.exe `F11 截图工具

HOTK Ctrl + #0x47,%ProgramFiles%\Ghost\Ghost64.exe    `Ctrl+G 手动Ghost

HOTK Ctrl + #0x4d,%ProgramFiles%\Tools\mouse.exe       `Ctrl+M 键盘控制鼠标

作者: yurunghost 时间: 2015-10-17 09:07

青青草发表于 2015-10-17 08:12
让我来帮你吧!
//初始化

谢谢但是我解出来的跟你解出来的不一样呢？

作者: 青青草 时间: 2015-10-17 10:09

yurunghost 发表于 2015-10-17 09:07
谢谢但是我解出来的跟你解出来的不一样呢？

是吗？怎么会呢？
你觉得哪个比较完整呢？

作者: gylgw 时间: 2015-10-17 10:48
我这边测试1.1的版本比之前的版本要完整，而且没有多余的代码和乱码。
但是对于下面此PECMD.INI文件还是没有办法处理。

PECMD.rar

2.95 KB, 下载次数: 27, 下载积分: 无忧币 -2

作者: yurunghost 时间: 2015-10-17 10:50

青青草发表于 2015-10-17 10:09
是吗？怎么会呢？
你觉得哪个比较完整呢？

不对我错了我这个PECMD.EXE是执行的内置脚本求不会执行内置脚本的 pecmd.exe

作者: yurunghost 时间: 2015-10-17 11:54

青青草发表于 2015-10-17 10:09
是吗？怎么会呢？
你觉得哪个比较完整呢？

为毛我的就不自动生成 original.ini这个文件呢

作者: yurunghost 时间: 2015-10-17 11:56
大神为毛我的就不自动生成 original.ini这个文件呢难道姿势不对（见70楼）

作者: yurunghost 时间: 2015-10-17 12:03
求大神帮解:pecmd.exe+pecmd.ini

pecmd.part1.rar (400 KB, 下载次数: 40)

pecmd.part2.rar (220.07 KB, 下载次数: 32)

pecmdini.rar (1.28 KB, 下载次数: 25)

作者: my9823 时间: 2015-10-17 12:17
m大改进算法，估计那些盈利的pe，为系统添加垃圾的pe们又笑了，从pe作者角度希望自己的pe不被修改，当然盈利者的这种想法更加强烈，但用户角度最痛恨这种盈利性的pe，真是两边不讨好！其实我无所谓，因为我已经很少使用pe，就算是用只是帮人家装一下系统而已，大不了直接用安装盘的iso写入U盘连pe都省了！个人观点，不吐不快，如有得罪之处，就当我放了个屁！

作者: 青青草 时间: 2015-10-17 12:31

yurunghost 发表于 2015-10-17 12:03
求大神帮解:pecmd.exe+pecmd.ini

//初始化

EXEC Winpeshl

INIT U

REGI HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Systemrestore\DisableConfig=#1

REGI HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Systemrestore\DisableSR=#1

REGI $HKCR\DRIVE\SHELL\CHANGE-PASSPHRASE\COMMAND\=%SYSTEMROOT%\System32\BDECPW.CMD %%1

REGI $HKCR\DRIVE\SHELL\MANAGE-BDE\COMMAND\=%SYSTEMROOT%\System32\BDEOFF.CMD %%1

TEAM FILE %public%\desktop\desktop.ini|FILE %desktop%\desktop.ini|FILE X:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup|FILE X:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

REGI HKLM\SOFTWARE\Classes\CLSID\{F02C1A0D-BE21-4350-88B0-7367FC96EF3C}\ShellFolder\Attributes=#10940064

SHOW -1,-1

REGI HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Icons\29=X:\Windows\System32\ht.ico,0

EXEC !X:\Program Files\Imagine\Imagine64.EXE /assocext /regcontextmenu

EXEC !=X:\Program Files\Freeime\registry.exe /s

EXEC !%WinDir%\System32\EjectUSB.EXE

FORX *.ocx,Regocx,0,CALL $%Regocx%

FORX msxml*.dll,Regdll,0,CALL $%Regdll%

DEVI %SystemRoot%\inf\usb.inf

DEVI %SystemRoot%\inf\usbport.inf

DEVI $%SystemRoot%\System32\SRS_8x64.CAB,,%Temp%

EXEC %Windir%\System32\CTFMON.EXE

EXEC @REG DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /VA /F

EXEC @REG DELETE HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /VA /F

REGI HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Audit\!

SHEL %SystemRoot%\explorer.exe

EXEC =!X:\Program Files\Tools\REGDOC.cmd

EXEC =!X:\Program Files\Unlocker\setup.cmd

EXEC !regsvr32.exe /s "%ProgramFiles%\FastCopy\FastEx64.dll"

REGI HKCR\*\ShellEx\ContextMenuHandlers\FastCopy\FastCopyMenuFlags2=#0xfff13fff

SITE %Startup%,+H+R

EXEC !=X:\Program Files\Tools\Order.exe

HOTK #112,PECMD.EXE

HOTK #120,PECMD EXEC !X:\Windows\System32\Killep.cmd    `F9  刷新系统

HOTK #121,PECMD EXEC !X:\Windows\System32\CLEANTEMP.CMD  `F10 清除临时文件

HOTK #122,PECMD EXEC X:\Windows\System32\WinSnap64.exe `F11 截图工具

HOTK Ctrl + #0x47,%ProgramFiles%\Ghost\Ghost64.exe    `Ctrl+G 手动Ghost

HOTK Ctrl + #0x4d,%ProgramFiles%\Tools\mouse.exe       `Ctrl+M 键盘控制鼠标

作者: yurunghost 时间: 2015-10-17 12:35

青青草发表于 2015-10-17 12:31
//初始化

EXEC Winpeshl

大神为毛我的就不自动生成 original.ini这个文件呢难道姿势不对（见70楼）

作者: rengrancunzai 时间: 2015-10-17 13:17
哈哈，神仙开调研会

作者: gylgw 时间: 2015-10-17 13:42

yurunghost 发表于 2015-10-17 11:54
为毛我的就不自动生成 original.ini这个文件呢

你文件倒数第三个不就是生成的INI文件吗？

作者: Gowim 时间: 2015-10-17 15:50
本帖最后由 Gowim 于 2015-10-17 16:16 编辑

PECMD_X86.part1.rar (500 KB, 下载次数: 16)

PECMD_X86.part2.rar (43.34 KB, 下载次数: 14) 这个一直解不开，请帮忙看看

作者: Gowim 时间: 2015-10-17 16:22

zds1210 发表于 2015-10-16 16:32
加我群。。人才

解不开啊，不能用的吧。，http://bbs.wuyou.net/forum.php?m ... &extra=page%3D1

作者: 2012jc天马行空 时间: 2015-10-17 19:12
晕死了，用最新版的这个试着帮此贴http://bbs.wuyou.net/forum.php?mod=viewthread&tid=372396破解，结果把我的所有数据都删了，

作者: andos 时间: 2015-10-17 20:42
好像不能破解这个?
http://bbs.wuyou.net/forum.php?m ... &extra=page%3D2

作者: xzf680 时间: 2015-10-18 00:33
本帖最后由 xzf680 于 2015-10-18 02:47 编辑

测试过了，有些会乱码，以下为电脑店配置：

#!PECMD

#!code=936

@LOGS **ON=0

FIND $%&__LOGS%=, IFEX XU.LOG, LOGS **ON=1 **2 **nl=1 * XU.LOG

ENVI^ EnviMode=1  //閬垮厤鎰忓閿欒锛岀┖鍙橀噺锛屽閮ㄥ彉閲忥紝

ENVI^ ForceLocal=1

SET$ &NL=0D  0A

SET$ &TAB=09

//{TP_MBR=1, TP_OS=2, TP_PEOUT=3, TP_DISK=4, TP_PE_PART=5, TP_PE_DISK, TP_PE_ISO=7, TP_PART, TP_DATA=9, TP_ISO=10, TP_RAW, TP_LIST, TP_FILE, TP_XFILE};

SET-def TP_MBR=0x01

SET-def TP_PE_ISO=0x07

SET-def TP_DATA=0x09

SET-def TP_ISO=0x0A

SET-def TP_SYSBAK=0xF0

SET-def TP_EFILDR=0xF1

SET-def TP_BIOSBOT=0xF3

TEAM ENVI &&SZ=-1| ENVI &&OFF=-1| ENVI &&FAT=-1| SET &PART_TP=hd| SET &BEFI=0

TEAM SET  &PART0=| SET  &PARTS=| SET  &PARTX=| SET  PARTN=0

SET-def SECPARAM=65 //鎬诲弬鏁拌〃

SET &mhide=0

SET &mall=0

SET &mountdrvs=

SET &mnom=0

SET &OnlyOne=0

SET &OnlySoft=0

SET &ClearTmp=0  //娓呴櫎涓存椂MBROS鍚姩鍔犺浇

SET &umount=0

CALC -base=16 #&&CLEARMBROSTAGOFF=36s + 0x1C3

CALC -base=16 #&&CLEARMBROSTAGLEN=11

CALC -base=16 #&&CLEARMBROSTAGOFF2=36s + 0x1CE  //澶囦唤鐨勫垎鍖鸿〃

SET-def  CLEARMBROSTAG=0x43 0x4C 0x45 0x41 0x52 0x4D 0x42 0x52 0x4F 0x73 0x00  //CLEARMBROs\0

SET-def CLEARMBROSTAG2=0x43 0x4C 0x45 0x41 0x52 0x4D 0x42 0x52 0x4F 0x53 0x00  //CLEARMBROS\0

SET-def CLEARMBROSTAG3=0x43 0x4C 0x45 0x41 0x52 0x4D 0x42 0x52 0x4F 0x70 0x00  //CLEARMBROp\0

SET-def CLEARMBROSTAG4=0x43 0x4C 0x45 0x41 0x52 0x4D 0x42 0x52 0x4F 0x50 0x00  //CLEARMBROP\0

SET &va=%~1

FIND $%va%=ClearTmpMBROSAll, TEAM ClearTmpMBROSAll| EXIT FILE

FIND $%va%=moun, SET &va=mount

//MOUNT [-m] [-w] [-u|-ud|-uh|-muh|-muhg] [-mall] [-mhide] [-onlys] [-Cleartmp[Only]] \\.\PhysicalDrive1  Z:

FIND $%va%=mount,

{*

SET &mountdrvs=ZYXWVUTSRQPONMLKJIHGFEBAD //榛樿鍙嶅簭

SET &_exe=

SET &mountop=-o ro

SET &retv=

SET &BWin=0

ENVI &&I=2

ENVI &&umount=0

SET &retnm=

SET &udmid=-0x8000000

SET &udid=-0x8000000

SET &_uplus=0

SET &_w=0

SET &_udfs=0

SET &_udm_=0

SET &udimg=

SET &udmask=0

SET &_mh=-0x8000

LOOP #1=1,

{

      MSTR &&va=<~%I%>%*

      LSTR &&c1=1,%va%

      FIND $%c1%<>-, EXIT LOOP

      FIND $-exe=%va%, SET _exe=-exe

      FIND $-udfs=%va%, SET _udfs=1

      FIND $-udm-=%va%, SET _udm_=1

      FIND $-m=%va%, SET BWin=m

      FIND $-w=%va%, TEAM SET mountop=| SET _w=1

      FIND $-u=%va%, SET umount=1  //鍜?ud鍚屼簡

      FIND $-ud=%va%, SET umount=1

      FIND $-uh=%va%, SET umount=2

      FIND $-muh=%va%, SET umount=0x22

      FIND $-muhg=%va%, SET umount=0x62  //杞厜鐩樹篃鍗歌浇

      FIND $-mhide=%va%,  SET mhide=1

      FIND $-mhide-=%va%,  SET mhide=0

      FIND $-mall=%va%, SET mall=1

      FIND $-mnom=%va%, SET mnom=1

      FIND $-onlys=%va%, SET OnlySoft=1

      FIND $-Cleartmp=%va%, CALC #ClearTmp=%ClearTmp% | 1

      FIND $-CleartmpOnly=%va%, SET ClearTmp=2

      FIND $[ -ret:=%va% | -ret=%va% ], TEAM CALC I=%I% + 1| MSTR retnm=<~%I%>%*

      FIND $-udmid:=%va%, TEAM CALC I=%I% + 1| MSTR udmid=<~%I%>%*

      FIND $-udid:=%va%, TEAM CALC I=%I% + 1| MSTR udid=<~%I%>%*

      FIND $-udimg:=%va%, TEAM CALC I=%I% + 1| MSTR udimg=<~%I%>%*

      FIND $-udmask:=%va%, TEAM CALC I=%I% + 1| MSTR udmask=<~%I%>%*

      FIND $-mh:=%va%, TEAM CALC I=%I% + 1| MSTR _mh=<~%I%>%*

      FIND $-u+=%va%, SET _uplus=1

      CALC &I=%I% + 1

}

FIND $%_mh%=efi, SET _mh=-1

FIND $%_mh%=auto, SET _mh=0

CALC -err=-0x8000 #_mh=(%_mh%) + 0

--udmid[%udmid%]

MSTR &&DEV=<~%I%>%*

CALC &I=%I% + 1

MSTR &&drv=<~%I%>%*

CALL ParseDrviList

TEAM SET &MountDrv=| GetFreeDrive &MountDrv

IFEX $[ %_udfs%>0 & ( %hd%>=0 | %_mh%<-1 ) ], MAPUD  "%&DEV%"  "%&drv%"  &retv

IFEX $%_uplus%>0,  MountUplus "%&DEV%"  "%&MountDrv%"  %_w%

IFEX $%_uplus%>0, IFEX $[ %udmid%<>-0x8000000 && %udmid%<0 ], EXIT FILE

//THREAD+$ MESS. [MountMBROS "%mountop%" "%&DEV%"  "%&drv%"  &ret  %&_exe%]@debug

IFEX $%_udm_%<1, CALL MountMBROS "%mountop%" "%&DEV%"  "%&drv%"  &retv  %_exe%

FIND $%retnm%<>,  ENVI-ret %retnm%=%&retv%

EXIT= 0

EXIT FILE

}

// listudm  -ret: 杩斿洖鍚? 璁惧鍚?

//////////////// listudm ////

FIND $%~1=listudm,

{*

SET &retnm=

SET &I=2

MSTR &&va=<~%I%>%*

FIND $[ -ret:=%va% | -ret=%va% ], TEAM CALC I=%I% + 1| MSTR retnm=<~%I%>%*| CALC I=%I% + 1

MSTR &&IMG=<~%I%>%*

ChekHD  &&hd "%IMG%"

--IMG[%IMG%] hd[%hd%]

SET &FN=%IMG%

SET &MBROS=%IMG%

SET &PARTS=

SET &PARTN=0

SET &PARTX=

SET &PART0=

SET &PARTN=0

EXIT= 0

FIND $%IMG%<>,  GetUDPart %IMG%  "" //all

ENVI-ret %retnm%=%PARTX%

EXIT FILE

}

FIND $%~1=listud,

{*

SET &retnm=

SET &I=2

MSTR &&va=<~%I%>%*

FIND $[ -ret:=%va% | -ret=%va% ], TEAM CALC I=%I% + 1| MSTR retnm=<~%I%>%*| CALC I=%I% + 1

MSTR &&IMG=<~%I%>%*

ChekHD  &&hd "%IMG%"

--IMG[%IMG%] hd[%hd%]

EXIT= 0

SET  &Vlist=

IFEX $%hd%>=0, GETPUDMAP \\.\PhysicalDrive%hd%  &Vlist

ENVI-ret %retnm%=%Vlist%

EXIT FILE

}

FIND $%~1=sync,

{*  SET  &&_cmd=%*

EXIT= 0

%&_cmd%

EXIT FILE

}

EXIT FILE

_SUB GetCFG *

SET &IMG=%~1

SET &EFIBOOTOFF=-1  //閿欒鍊?
SET &EFIBOOTSZ=-1

CALC -base=16 &&p=%SECPARAM%s + 3

GETF %&IMG%,%p%#10,&&DAT

FIND $%DAT%<>0x4D 0x42 0x52 0x4F 0x53 0x50 0x41 0x52 0x41 0x4D,  EXIT //  MBROSOPARAM

GETF#  %&IMG%,%SECPARAM%s#0x40,&&DAT

FIND $0xFFFFFFFF=%DAT%, EXIT

SET?long  &DAT=&EFIBOOTOFF:0x28  //EFIBOOT浣嶇疆锛?x3F01锛?
SET?long  &DAT=&EFIBOOTSZ:0x2C //EFIBOOT闀垮害锛?x821=0x800+33锛?//1M

_END

_SUB ParseDrviList

MSTR &&c1=1,1,%drv%

MSTR &&c2=2,1,%drv%

FIND $%c2%=:, TEAM SET c2=| SET OnlyOne=1

FIND $%c1%<>, FIND $%c2%=,  SET mountdrvs=%c1%

FIND $%c2%<>,  FIND $%c2%<>-, SET mountdrvs=%drv%

FIND $%c1%<>, SET drv=%c1%:  //鍒濆DRIVE

FIND $%c2%=-,

{

      SET mountdrvs=

      FORX * A B C D E F G H I J K L M N O P Q R S T U V W Y Z,&&d, FIND $%d%>=%c1%, SET mountdrvs=%mountdrvs%%d%

}

_END

//ChekHD 杩斿洖鍚?鏂囦欢鍚?
_SUB ChekHD

LSTR &&LDEV=17,%~2

ENVI &&hd=-0x8000

SET &&c1=

FIND $\\.\PhysicalDrive=%&LDEV%, MSTR &&c1=18,1,%&MBROS%

MSTR &&c2=19,1,%&MBROS%

MSTR &&c3=20,1,%&MBROS%

CALC #&hd=%&hd%

FIND $%&c1%>9, TEAM SET c1=

FIND $%&c2%>9, TEAM SET c2=

FIND $%&c3%>9, TEAM SET c3=

FIND $%&c1%<0, TEAM SET c2=| SET c3=|

FIND $%&c2%<0, TEAM SET c3=|

FIND $%&c1%>=0, CALC #&hd=%c1%

FIND $%&c2%>=0, CALC #&hd=%&hd% * 10 + %&c2%

FIND $%&c3%>=0, CALC #&hd=%&hd% * 10 + %&c3%

ENVI-ret %~1=%&hd%

_END

// GetWimName Name dev Off Len

_SUB GetWimName *

   ENVI %~1=%~2#%~3#%~4$

   //%s#%s#%s  p, sOff, sLen

_END

//FINDImdisk  id鍚? 鐩樼鍚?鏂囦欢鍚?
_SUB FINDImdisk

SET-def id=-1

SET-def drv=

SET-def FN=%~3

STRL &&len=%FN%

CALC &&len2=%len% - 1  //鏃х増

SET  &FN2=%FN%

LSTR &&L4=4,%FN%

FIND $\??\=%L4%, SET len=0! LSTR FN2=%len2%,%FN%

RAMD ImDisk*&&all  -n -l

SET-def vi=

SET-def nm=

FORX * %&all%,&&i,

{

      RAMD ImDisk*&&v  -n -l -u %&i%

      READ  -*,1,&vi,&v

//Z: = \BaseNamedObjects\Global\PhysicalDrive1#aaa_bbb

//Z: = \??\D:\MDY\DESKTOP\ttt\MBROS.MOS

      MSTR &nm=6,%len%,%&vi%

      FIND $%&FN%=%&nm%,! FIND $%&FN2%=%&nm%,! EXIT -

      MSTR &drv=1,2,%&vi%

      ENVI &id=%&i%

      EXIT FORX

}

ENVI-ret %~1=%&id%

ENVI-ret %~2=%&drv%

_END

// GetUDPart 鏂囦欢鍚?鍋忕Щ鍚?闀垮害鍚?
_SUB  GetUDPart

ENVI^  ForceLocal=1

ENVI &&FN=%~1

SET  &un=%~2

//MESS. un=[%un%]

GETF %FN%,0x7E36#5,&&V

FIND $0x46 0x41 0x54 0x31 0x36=%V%, ENVI &FAT=16  //FAT16

FIND $0x46 0x41 0x54 0x31 0x32=%V%, ENVI &FAT=12  //FAT12

GETF %FN%,0x7E52#5,&&V

FIND $0x46 0x41 0x54 0x33 0x32=%V%, ENVI &FAT=32  //FAT32

IFEX $%FAT%>0,

{ GETF %FN%,0x7E20#4,&V //ts32

      FIND $0x00 0x00 0x00 0x00=%V%,  GETF %FN%,0x7E13#2,&V  //ts16

      MSTR &&V1,&&V2,&&V3,&&v4=<1*>%V% 0 0 0 0

      CALC #&SZ=%V1% + %V2% * 0x100 + %V3% * 0x10000 + %V4% * 0x1000000

      GETF %FN%,0x7E1C#2,&V  //nhs_pre

      MSTR &&V1,&&V2,&&V3,&&v4=<1*>%V% 0 0

      CALC #&OFF=%V1% + %V2% * 0x100

}

GETF  %FN%,0x7FFE#2,&&V

FIND $0x55 0xAA=%V%,!  ENVI &SZ=-1

GETF  %FN%,0x7FB4#4,&&V

FIND $0x4D 0x42 0x52 0x53=%V%,!  ENVI &SZ=-1  //"MBRS"

SET  PARTN=0

SET &init1=0

IFEX $%SZ%>0, SET &init1=1

//FIND $%un%=-u,!!  SET &init1=0

FIND $%&&init1%=1,

{

      CALL *  GetWimName  &&WimName  PhysicalDrive%hd%  %OFF% %SZ%

      FINDImdisk  &&id  &&drvm  "\BaseNamedObjects\Global\%&WimName%"

      CALC  &&SZK=%SZ% / 2

      SET  PART0=鏍稿績UDM鍒嗗尯 %SZK%K MBROS  //[%OFF% %SZ% 0x00]

      SET  PARTS=%PART0%

      SET  PARTX=鏍稿績UDM鍒嗗尯 %OFF% %SZ% 0x01 0x00 "MBROS" "%&drvm%" 鏍稿績UDM鍒嗗尯

      SET  PARTN=1

//THREAD+$ MESS %&PARTX% @1111

}

SET &FNx=%FN%

SET &SECUMBR=66

@TEAM SET &bUPARAM=0

CALC -base=16 &&addr=65s +  0x3

GETF %FN%,%addr%#10,&&V

FIND $%V%=0x4D 0x42 0x52 0x4F 0x53 0x50 0x41 0x52 0x41 0x4D, SET bUPARAM=1

CALC -base=16 &&addr=65s +  0xE

GETF %FN%,%addr%#1,&&V

IFEX $%bUPARAM%>0, IFEX $%V%>=4, SET bUPARAM=4

IFEX $%bUPARAM%>=4, SET &SZ1=0x40! SET &SZ1=0x20

CALC #&&SZP=1s / %SZ1% - 1

CALC -base=16 &&addr=65s +  0x14

GETF %FN%,%addr%#4,&&V

MSTR &&V1,&&V2,&&V3,&&v4=<1*>%V% 0 0 0 0

CALC #&NPS=%V1%  + %V2% * 0x100

IFEX $%NPS%>0x40, SET NPS=0x40

SET &MAX=0

CALC #&&len=%SZP% * %SZ1%

GETF %FN%,%SECUMBR%s#0x10,&V

SET &I=0

CALC -base=16 &&addr0=%SECUMBR%s

LOOP #%I%<%NPS%,

{*  CALC -base=16 &&addr=%SECUMBR%s + %I%s +  0x3

      GETF %FN%,%addr%#9,&&V1

      CALC -base=16 #&&addr=%SECUMBR%s + %I%s + 0x10

      CALC I=%I% + 1

      FIND $%V1%<>0x4D 0x42 0x52 0x4F 0x53 0x50 0x41 0x52 0x54,  EXIT

      GETF %FN%,%addr%#%len%,&V1

      @SET<  V= %V1%

      CALC #&MAX=%MAX% + %SZP%

}

SET &bUMBR=%MAX%

SET &I=0

CALC &&IOF=0x11 - %SZ1%

CALC &&ISZ=0x15 - %SZ1%

CALC &&ITP=0x19 - %SZ1% //FSTP 绫诲瀷灞炴

作者: vaf 时间: 2015-10-18 13:04
牛淫, 能淫.

作者: liubt 时间: 2015-10-18 15:00
提取USM_PE能帮破解看看么, 破解PECMD.ini会重启。

x64.part1.rar

450 KB, 下载次数: 22, 下载积分: 无忧币 -2

x64.part2.rar

178.86 KB, 下载次数: 17, 下载积分: 无忧币 -2

作者: gylgw 时间: 2015-10-20 20:35
楼主还在更新吗？有办法解决那些有验证的配置文件不？

作者: netmjwork 时间: 2015-10-24 12:44
xp系统不能运行吗？
运行不了……

121.png (9.77 KB, 下载次数: 301)

作者: xzf680 时间: 2015-10-25 16:43

netmjwork 发表于 2015-10-24 12:44
xp系统不能运行吗？
运行不了……

果然牛人，xp也能运行，去pe下测试吧、

作者: netmjwork 时间: 2015-10-26 14:45

xzf680 发表于 2015-10-25 16:43
果然牛人，xp也能运行，去pe下测试吧、

win8_64位的PE和实机都试了，输出的文件大小是0，看来还是有些加密方式不太好弄

作者: thtf 时间: 2015-10-27 07:47
首先，非常感谢楼主的付出，用它解密了自由天空PE的文件（RamOSinit.POST和RamOSinit.pre），其中RamOSinit.POST解密出来完成正常，用load装载运行完全一样，可是RamOSinit.pre解密出来的运行不了，就算把Exit File删掉也得不到原来的结果。原文件（RamOSinit.pre）只有5K，解密出来的文件有5K的86K，87K，88K，差距非常大，这完全取决于运行的环境（PE的版本，PECMD的版本）。请楼主抽点时间看看，谢谢了……附件里有原来的RamOSinit.pre（改名为pecmd.ini）,还有解密出来的三个版本的文件。再次谢谢……

original.rar (49.3 KB, 下载次数: 54)

作者: thtf 时间: 2015-10-27 07:48

netmjwork 发表于 2015-10-26 14:45
win8_64位的PE和实机都试了，输出的文件大小是0，看来还是有些加密方式不太好弄

你可以换换PE，换换PECMD.exe，我的也是这样，后来终于解开了

作者: xzf680 时间: 2015-10-27 21:52
本帖最后由 xzf680 于 2015-10-30 21:55 编辑

乱码已经解决，非常完美，顶一下。

作者: awnuitfk 时间: 2015-11-6 03:22
楼主，有时间更新下吗？好多都破不了了呀！！！！！！！！！

作者: 2011momoto 时间: 2015-11-6 14:50
试了十数个PECMD，结果都一样，很无奈。

作者: 527104427 时间: 2015-11-8 00:46
本帖最后由 527104427 于 2015-11-8 01:06 编辑

将这个计算器的脚本压缩了一下，貌似解不开啊！请楼主再弄弄呗

其它的脚本都能解开，唯独这个不行。

这工具非常nice

1.png (21.02 KB, 下载次数: 204)

计算器.7z

13.49 KB, 下载次数: 16, 下载积分: 无忧币 -2

作者: kcyou 时间: 2015-11-13 13:24
IMGGUI.EXE破解不了。。。。。。

作者: wangod 时间: 2015-11-18 17:04
这个必须要支持

作者: wangod 时间: 2015-11-19 10:10
我试了下大大的方法不行啊要不你帮我看看根本不行好像是pecmd版本问题这个pecmd版本要高一些 http://pan.baidu.com/s/1mgxW0JI

作者: FLy3721 时间: 2015-12-14 12:38
帮忙看看，怎么解出来是空文件！

PECMD.zip

5.11 KB, 下载次数: 12, 下载积分: 无忧币 -2

作者: koko4u 时间: 2015-12-14 13:07
标题: pecmd
本帖最后由 koko4u 于 2015-12-14 13:13 编辑

.

作者: koko4u 时间: 2015-12-14 13:12

FLy3721 发表于 2015-12-14 12:38
帮忙看看，怎么解出来是空文件！

pecmd_decrypt

PECMD.7z

3.66 KB, 下载次数: 64, 下载积分: 无忧币 -2

欢迎光临无忧启动论坛 (http://wuyou.net/)