[更新376#2825]PECMD2012.1.80.13_Win32_64.多窗口多线程.裸机系统2.3.3.1+18M酷M...

diannao338

问下 : 是否有现有的功能,类似简单的按键脚本,如: 检测窗体"标题"是否存在,然后激活"标题"窗口,点击窗体某按钮?
FIND --wid*@ aaa,标题
ENVI @窗口和控件名.POS=::::4        //这个窗口和空间名 貌似都不对
点击按钮?

mdyblog

原帖由 diannao338 于 2013-1-14 12:29 发表
问下 : 是否有现有的功能,类似简单的按键脚本,如: 检测窗体"标题"是否存在,然后激活"标题"窗口,点击窗体某按钮?
FIND --wid*@ aaa,标题
ENVI @窗口和控件名.POS=::::4        //这个窗口和空间名 貌似都不对
...

PECMD2012 有AutoIT的类似自动功能。
参见包中的 MKPECMDBIG5.WCS （自动执行ResEdit 来替换PECMDBI5的繁体资源）
参见包中的 自动脚本支持函数.WCS

再给一例（按CALC.EXE 的 按钮1）,这个比ResEdit容易，比较标准，有控件ID可用。
自动脚本2.WCS：
SET  ::WM_LBUTTONDOWN                  =0x0201
SET  ::WM_LBUTTONUP                    =0x0202
SET  ::WM_COMMAND=0x0111
SET  ::BN_CLICKED=0
SET  ::WM_SETTEXT                      =0x000C
SET  ::WM_GETTEXT                      =0x000D
SET  ::WM_GETTEXTLENGTH                =0x000E

CALC  #&&BN_CLICKED_HI=%&BN_CLICKED% * 0x10000  //高16位


///运行 CALC
FIND --wid* &&WID,计算器
FIND $0=%&WID%, TEAM EXEC CALC.EXE| WAIT 1000


//TEAM FIND --wid*@ &&DEBUG,计算器| MESS %&DEBUG%  //查看窗口ID号，不固定

FIND --wid* &&WID,计算器   //查看窗口ID号，不固定

//TEAM FIND --wid*@%&WID%   &&DEBUG,| MESS %&DEBUG%  //查看控件ID号，固定的
//45        328578        125        3932750        1708        1892    Button  1 //125是按钮‘1’的控件ID号

ENVI @@Visable=%&WID%:2  //如果最小化了，正常显示
ENVI @@POS=%&WID%:::::3::1  //顶层，激活

CALC  #&&WP_1= %&&BN_CLICKED_HI%  + 125  //125是按钮‘1’的控件ID号
CALC  #&&WP_2= %&&BN_CLICKED_HI%  + 126  //125是按钮‘2’的控件ID号

ENVI @@SENDMSG=%&WID%;%&WM_COMMAND%;%&WP_1%   //关键在这里，按下按钮‘1’
ENVI @@SENDMSG=%&WID%;%&WM_COMMAND%;%&WP_2%   //2
//多运行几次试试，每次多一个12

//控件ID业可以用 RESEDIT 看， 在其资源中设定好的。

[ 本帖最后由 mdyblog 于 2013-1-15 17:00 编辑 ]

diannao338

厉害啊,貌似支持后台..最小化了也可以

kcyou

请教：任务栏托盘图标隐藏打开的热键命令是什么？（和4. 0版不一样了)

[ 本帖最后由 kcyou 于 2013-1-16 08:34 编辑 ]

mdyblog

原帖由 kcyou 于 2013-1-16 08:04 发表
请教：任务栏托盘图标隐藏打开的热键命令是什么？（和4. 0版不一样了)

INIT命令。

INIT [选项列表],[等待时间]
※带选项"I"时，启动后托盘出现一个图标菜单，菜单集成了常用功能，WinPE定制人员可修改菜单功能。
如：
INIT I
INIT IU,3000,U

PECMD2012 增加了以下功能：
├───────────────────────────────────────────┨
│※开启托盘菜单：          ENVI @@TaskIcoMenu=1                                        ┃
│※关闭托盘菜单：          ENVI @@TaskIcoMenu=0                                        ┃
│※托盘菜单开启/关闭切换： ENVI @@TaskIcoMenu=2                                        ┃
│※一般在系统级热键中用，操作的是系统级托盘。应用程序中使用则是程序级，程序退出自动消除┃
├───────────────────────────────────────────┨

红毛樱木

希望能加入类似于PECMD 4.0中的DISK ,,,1,U:盘符理顺原理

dos时代菜鸟

SUBJ *x: 方式干掉动态磁盘分区以后，show  *f:-1 不能重挂，并且会多出一个无效盘。

[ 本帖最后由 dos时代菜鸟 于 2013-1-17 20:02 编辑 ]

mdyblog

原帖由 clonecd 于 2013-1-21 12:43 发表
关于PECMDEDIT，支持多种语法风格，做得很棒。能不能改字号，默认字号太小了。

PECMDEDIT1.0.22.zip

mdyblog

1.
可以将一些配置信息放到 MBROS 配置中，在下载的时候再决定。

PECMD.INI 中可以提取 这些信息。
如是否需要登录密码， 是否加载显卡，显示模式。
IMPORT MOUNT_PEOUT.wcs

ENVI &&PASSWD=
GET_MBROS_MSG  &PASSWD PASSWD:
MESS  %&PASSWD%

2. CALL  MOUNT_PEOUT &VOL &bmap  可以自动加载PE外置分区。



3.开一个安全数据区，保存分区表等。
:type=DATA  
title=安全数据区
fstp=0x16
space=100M



4.自动恢复主分区。
:type=RAW
title=恢复主分区表
menu=*        ITEM ,L50T%&Y%W200H30,分区表, MESS   字符说明 激活 __本分区起始__ 分区 __本分区结束__ _______本分区______ ______本分区_______ \\n  激活为0x80    磁头_扇区_柱面 类型 磁头_扇区_柱面 _____起始扇区号____ _____扇区总数______\\n  主分区1: 0x00 0x00 0x01 0x7D 0x06 0xFE 0x3F 0xBD 0x3D 0xA4 0x1E 0x00 0x01 0xEF 0x0F 0x00 \\n  主分区2: 0x80 0x00 0x01 0xBE 0x07 0xFE 0xFF 0x58 0x3E 0x93 0x2E 0x00 0xDB 0x80 0xA3 0x00 \\n  主分区3: 0x00 0x00 0xC1 0x59 0x0F 0xFE 0xFF 0xFE 0x19 0x14 0xD2 0x00 0x4E 0x0D 0xA1 0x03 \\n  主分区4: 0x00 0x00 0xC1 0xFE 0x07 0xFE 0xFF 0xFE 0x67 0x21 0x73 0x04 0xD8 0xF2 0x34 0x00 \\n  标志   : 0x55 0xAA \\n  分区  类型 激活(1) 起始(字节)     长度(字节)    隐藏扇区     结尾(字节) 物理# 盘符 \\n     1  0x06   0     1028160000      534643200     2008125     1562803200    1   \\n     2  0x07   1     1562803200     5486261760     3052350     7049064960    2  C: \\n    @3  0x0F   0     7049064960    31173811200    13767705    38222876160    3    \\n     3  0x07   0    38222876160     1776660480    74654055    39999536640    4  H: \ @分区表#OK
cmd=partnew (hd0,0) 0x06 2008125  1044225 \n        partnew (hd0,1) 0x07 3052350  10715355 \n        partnew (hd0,2) 0x0F 13767705  60886350\n        partnew (hd0,3) 0x07 74654055 3470040 \n        configfile /menu.lst


//具体数据从自己的硬盘提取。

5.MBROS.EXE  支持 拖拉。

6.114M小系统，可以随意定制其组件。

kcyou

不知改进show，适应动态磁盘有没有进展！

mdyblog

恢复WINDOWSXP_WCS.zip
函数 GETDISKPART 获得磁盘的GHOST  分区号表
GETDISKPART 磁盘号
结果保存在 &信息 中。
GHOST  分区号 比较奇怪。抛砖引于玉。

已修正
：支持 卷标， 需20130126版 PECMD。
：支持 按卷标，盘符操作

[ 本帖最后由 mdyblog 于 2013-1-27 20:42 编辑 ]

mdyblog

已修正。 　　　　　　　　　　　　　　　
另外，你的那个真的很漂亮，很强大。

[ 本帖最后由 mdyblog 于 2013-1-25 23:40 编辑 ]

mdyblog

原帖由 kcyou 于 2013-1-24 16:39 发表
不知改进show，适应动态磁盘有没有进展！

没有测试环境。
我相找个可一动态磁盘的XPPE ，在VM6虚拟机中测试，没找到。
都不支持。

mdyblog

原帖由 clonecd 于 2013-1-26 10:19 发表


虽然XP也支持动态磁盘，但要使用windows server 2003 （SP1以上）才行啊，主要是GPT分区方式才可用。
XPE里估计对动态磁盘的支持都精简掉了。

用一个不是精简得很厉害03PE试试看，最好要SP1以上补丁的。

下了个03PE，测试了。
动态磁盘没有分区的概念，“直接”建立卷，而不是普通的现建立分区，在建立卷。 从分区看，整个磁盘都是一个分区。
卷 没有 隐藏、类型等分区的属性，开机就自动加载了。SHOW 操作不了它。
可以 用 SUBJ 操作，按照Volume 来操作。
如图，一个102M的动态磁盘，分成3个卷。但显示一个分区102M。


[ 本帖最后由 mdyblog 于 2013-1-26 14:50 编辑 ]

U5558

最近这些版本Nod32都不让下，下一半就删除…………

andos

其实GHOST 11.5版支持用盘符的，但只限11.5，11.0.2版是不支持用盘符
下面详细的分区信息直接显示出来比较好吧

mdyblog

原帖由 U5558 于 2013-1-26 14:54 发表
最近这些版本Nod32都不让下，下一半就删除…………

方法 1.  升级NOD。不还不行，换个防毒软件吧！！！
方法 2. 关闭NOD。下载。 删除PECMD.EXE PECMDBIG5.EXE .
    用PECMD原始.EXE，改个名字就可以了。
是误报， 就是用了UPX压缩的原因。
UPX等在线压缩软件，用到特别的内存拼装执行技术（解压后执行），而一般软件绝不会用到这种技术，
而病毒一般都用到这种技术。所以差劲的防毒软件，不加甄别，乱报。
机用NOD检查一下 PECMD原始.EXE ，这个总部会报吧。

NOD 用过， 不行。
那个MBROS引导代码， 才几行汇编码， 也用到内存拼装执行技术（调用真正的启动代码）。NOD也报。才几十个字节的启动代码。NOD太差了。

U5558

使用Nod32 的不在少数，不能用其它的压缩方式吗？

andos

46个，只有NOD32会报
https://www.virustotal.com/file/ ... 6352fc86e/analysis/

ESET-NOD32         probably unknown NewHeur_PE

你可以上报给NOD32，要求他们修正吧

[ 本帖最后由 andos 于 2013-1-26 16:23 编辑 ]

andos

不是UPX的原因吧
原始版照样报，但就只有NOD32一个报
https://www.virustotal.com/file/ ... nalysis/1359188529/

U5558

坑爹的Nod32………………已经用了好几年了，因为流畅所以一直用它……

mdyblog

原帖由 andos 于 2013-1-26 15:53 发表
其实GHOST 11.5版支持用盘符的，但只限11.5，11.0.2版是不支持用盘符
下面详细的分区信息直接显示出来比较好吧

》》下面详细的分区信息直接显示出来比较好吧
1. 什么意思？
是说下面 部分，默认显示出来吗？

2.这段代码，是给不懂的人用的。 傻瓜式，放到GHO文件所在目录，告诉他直接执行就可以了。

GHOST 有个问题， GHOST号码不是按照分区表顺系排的。
一般0#1【grub为(hd0,0)】分区条目为C:， GHOST恢复到这里。
GHOST 分区号为1
但如果在前面在临映射一个临时分区，映射在0#4的分区条目【grub为(hd0,3)】.
C:盘 GHOST 分区号变为2。
而1为新的临时分区。
即GHOST分区号随前面空间的重新划分而变化。

而物理号有在分区表中的位置确定的，本理中C:的物理号始终不变，为#1；新的分区为#4。4个主分区的物理号始终不变。

对多操作系统，盘符也是不固定的。最后一次启动的那个系统，那个就是C:盘。如一个XP，一个win7。
不确定就做不到傻瓜式；否则XP恢复到WIN7，WIN7恢复到XP，乱套了。


3. 另外， GHOST 不能 恢复到 GRUB/PECMD 建立的重叠虚拟分区（用一个IMG文件映射一个分区），它们没有GHOST分区号。
GHOST 11.5 没试过，不知道能否用你说的盘符方式恢复到这样的重叠虚拟分区。
我试试。 以前很头痛。每次只能提取文件，但提取的不同；或恢复到另一个一样大的分区，再用PECMD PUTF -dd 拷贝过来。

mdyblog

原帖由 andos 于 2013-1-26 16:21 发表
46个，只有NOD32会报
https://www.virustotal.com/file/ ... 6352fc86e/analysis/

ESET-NOD32         probably unknown NewHeur_PE

你可以上报给NOD32，要求他们修正吧

》》你可以上报给NOD32，要求他们修正吧

我们的PECMD始终在变， 这次他们改了， 下个版本又可能报。

mdyblog

原帖由 andos 于 2013-1-26 16:24 发表
不是UPX的原因吧
原始版照样报，但就只有NOD32一个报
https://www.virustotal.com/file/ ... nalysis/1359188529/

》》 原始版照样报
里面还有一段用到内存拼装技术，可能是这个报的。
就是 UPNU， 实际是内置了BartPE.EXE ， 在内存中解开，直接执行；不生成临时文件。

andos

1. 是的
2. 我说的显示出来的意思是比较直观，可以看到是否有选错而已
    Windows下和PE下的盘符的确会有可能不同。硬盘号会否不同我就没留意了....

3. 这个我没试过呢.....

andos

ESET-NOD32         probably unknown NewHeur_PE
不是特征码报的
算是启动式报的吧
NOD32要修正应该是可以的...至于会否每每新版都要再上报修正，这看NOD32怎样修正了

用NOD32的可以自行将PECMD.EXE加入白名单排除不扫瞄吧

[ 本帖最后由 andos 于 2013-1-26 16:53 编辑 ]

mdyblog

原帖由 U5558 于 2013-1-26 16:16 发表
使用Nod32 的不在少数，不能用其它的压缩方式吗？

加入信任列表吧。

否则很多PECMD操作都被拦截掉，而无法工作。

andos

其实avira的误报率比nod32更高的

不过这次nod32在pecmd.exe上一支独秀了，呵呵~~

freesoft00

当然了，如果能解决误报的问题更好。

U5558

能否提供单独的Pecmd.exe下载，排除后还是不能下载，下载包里不上止一个被误报……