[更新376#2825]PECMD2012.1.80.13_Win32_64.多窗口多线程.裸机系统2.3.3.1+18M酷M...

andos

PECMD2012貌似还没好好的支持X64 PE
PECMD.EXE 文件要放在SysWOW64下才能进到桌面，进到桌面(DESKTOP)，但鼠标没反应不能用....其后的都没法玩下去...

测试的是2012txm 的win8pe x64, 支持32位程序的，不知是否pe问题?
http://bbs.wuyou.net/forum.php?mod=viewthread&tid=257533&extra=page%3D2

有别的x64 pe能正常使用pecmd2012吗?

[ 本帖最后由 andos 于 2013-1-7 21:04 编辑 ]

andos

原帖由 2012abc19701 于 2013-1-7 23:45 发表
DVD008 成功过，几个月前（大概8月）。
也是用WOW.

我记得DVD008最后发的X64 PE内用的还是PECMD 4.0 X64版的啊......

不知是否pecmd2012对x64支持不好才没用呢....

[ 本帖最后由 andos 于 2013-1-8 19:30 编辑 ]

andos

原帖由 2012abc19701 于 2013-1-8 20:53 发表

是DVD008自己说的，他成功运行了。前面的帖子有，大概8月份。

看了一次8月份的回贴，但没找到相关的

不知是否这个?
http://bbs.wuyou.net/forum.php?mod=viewthread&tid=205402&page=412#pid2546013

andos

4月份吗....4月份的回贴看了一下超过100页....汗了...

这个量有点蛋疼啊.....

最惨就是无忧没得搜索个人的过去回覆....


------------------------------------------
看看是不是说这个?
http://bbs.wuyou.net/forum.php?mod=viewthread&tid=205402&page=187#pid2421938

http://bbs.wuyou.net/forum.php?mod=viewthread&tid=205402&page=188#pid2422460

如果不是我再继续看下去吧...

[ 本帖最后由 andos 于 2013-1-9 17:12 编辑 ]

andos

其实GHOST 11.5版支持用盘符的，但只限11.5，11.0.2版是不支持用盘符
下面详细的分区信息直接显示出来比较好吧

andos

46个，只有NOD32会报
https://www.virustotal.com/file/ ... 6352fc86e/analysis/

ESET-NOD32         probably unknown NewHeur_PE

你可以上报给NOD32，要求他们修正吧

[ 本帖最后由 andos 于 2013-1-26 16:23 编辑 ]

andos

不是UPX的原因吧
原始版照样报，但就只有NOD32一个报
https://www.virustotal.com/file/ ... nalysis/1359188529/

andos

1. 是的
2. 我说的显示出来的意思是比较直观，可以看到是否有选错而已
    Windows下和PE下的盘符的确会有可能不同。硬盘号会否不同我就没留意了....

3. 这个我没试过呢.....

andos

ESET-NOD32         probably unknown NewHeur_PE
不是特征码报的
算是启动式报的吧
NOD32要修正应该是可以的...至于会否每每新版都要再上报修正，这看NOD32怎样修正了

用NOD32的可以自行将PECMD.EXE加入白名单排除不扫瞄吧

[ 本帖最后由 andos 于 2013-1-26 16:53 编辑 ]

andos

其实avira的误报率比nod32更高的

不过这次nod32在pecmd.exe上一支独秀了，呵呵~~

andos

不要监控压缩包就能下了
或者下载前将nod32先关上

andos

用法不对
用盘符要加@OS:
@OS: 是11.5才有的
更详细的用法可以直接ghost32 /? 看到了

还原:
ghost32-11.5.exe -clone,mode=pload,src=H:\98.GHO:1,dst=@OS:I: -fx -sure

备份:
ghost32-11.5.exe -clone,mode=pdump,src=@OS:I:,dst=H:\98.GHO -fx -sure

[ 本帖最后由 andos 于 2013-1-27 10:13 编辑 ]

andos

分区对拷 我试过可以的
也是加@OS:
ghost32.exe -clone,mode=pcopy,src=@OS:Z:,dst=@OS:C: -fx -sure

[ 本帖最后由 andos 于 2013-1-27 10:18 编辑 ]

andos

是以前我不懂用硬盘号才发现的，呵呵~~

[ 本帖最后由 andos 于 2013-1-27 11:01 编辑 ]

andos

3.8M 不大吧....
以前好像看过人压缩ghost

andos

可能是不支持0E类型?
可以虚拟成其他类型的吗? 比如06

[ 本帖最后由 andos 于 2013-1-27 19:57 编辑 ]

andos

那样的话，估计有可能和虚拟的方法有关吧?

记得Drive Snapshot mount 它自家的image 出来的盘，ghost是可以识别的
vhd也可以识别

也就是要令ghost认为它是物理硬盘吧?

[ 本帖最后由 andos 于 2013-1-27 21:40 编辑 ]

andos

呵呵，看来grub的方法识别不了而已吧...看来的确是要骗一下ghost才行
虚拟光驱不能被看成物理光驱，有的可以看成物理光驱一样，也就是要用些方法去骗一下，令其看成是物理的吧?

[ 本帖最后由 andos 于 2013-1-28 18:42 编辑 ]

andos

的确呢，pecmd.exe 也700多kb，看来是出了些问题

andos

我这里应该是devi

EXEC @REG DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /VA /F
EXEC @REG DELETE HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /VA /F
REGI HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Audit\!
DEVI %SystemRoot%\inf\basicdisplay.inf
DEVI %SystemRoot%\inf\BasicRender.inf
DEVI %SystemRoot%\inf\usb.inf
DEVI %SystemRoot%\inf\usbport.inf
DEVI %WinDir%\inf\hd*.inf
LOGO

1. [EXEC @REG DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /VA /F]    <0>:操作成功完成。
   
2. [EXEC @REG DELETE HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /VA /F]    <0>:操作成功完成。
   
3. [REGI HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Audit\!]    <0>:操作成功完成。
   
4. DEVI驱动签名【不需要修改】
   
5. 
   
6. 调试:[Ver=60002 bNt6=3 bINF=1 bInstall=0 notcheck=0 rescan=0]
   
7. 扫描硬件改动...
   
8. [4]找到设备: PCI\VEN_8086&DEV_7191&SUBSYS_00000000&REV_01
   
9. [5]找到设备: ROOT\VOLMGR
   
10. [8]找到设备: ROOT\BasicDisplay
    
11. [10]找到设备: USB\ROOT_HUB&VID8086&PID7112&REV0000
    
12. [11]找到设备: ROOT\vdrvroot
    
13. [12]找到设备: HID\VID_0E0F&PID_0003&REV_0101&MI_00
    
14. [13]找到设备: Root\Spaceport
    
15. [17]找到设备: root\kdnic
    
16. [18]找到设备: PCI\VEN_8086&DEV_7112&SUBSYS_197615AD&REV_00
    
17. [19]找到设备: USB\VID_0E0F&PID_0002&REV_0100
    
18. [21]找到设备: STORAGE\Volume
    
19. [22]找到设备: PCI\VEN_1274&DEV_1371&SUBSYS_13711274&REV_02
    
20. [25]找到设备: PCI\VEN_15AD&DEV_07A0&SUBSYS_07A015AD&REV_01
    
21. [26]找到设备: PCI\VEN_15AD&DEV_07A0&SUBSYS_07A015AD&REV_01
    
22. [27]找到设备: PCI\VEN_15AD&DEV_07A0&SUBSYS_07A015AD&REV_01
    
23. [28]找到设备: PCI\VEN_15AD&DEV_07A0&SUBSYS_07A015AD&REV_01
    
24. [29]找到设备: PCI\VEN_15AD&DEV_07A0&SUBSYS_07A015AD&REV_01
    
25. [30]找到设备: PCI\VEN_15AD&DEV_07A0&SUBSYS_07A015AD&REV_01
    
26. [31]找到设备: PCI\VEN_15AD&DEV_07A0&SUBSYS_07A015AD&REV_01
    
27. [32]找到设备: PCI\VEN_15AD&DEV_07A0&SUBSYS_07A015AD&REV_01
    
28. [33]找到设备: PCI\VEN_15AD&DEV_07A0&SUBSYS_07A015AD&REV_01
    
29. [34]找到设备: PCI\VEN_15AD&DEV_07A0&SUBSYS_07A015AD&REV_01
    
30. [35]找到设备: PCI\VEN_15AD&DEV_07A0&SUBSYS_07A015AD&REV_01
    
31. [36]找到设备: PCI\VEN_15AD&DEV_07A0&SUBSYS_07A015AD&REV_01
    
32. [37]找到设备: PCI\VEN_15AD&DEV_07A0&SUBSYS_07A015AD&REV_01
    
33. [38]找到设备: PCI\VEN_15AD&DEV_07A0&SUBSYS_07A015AD&REV_01
    
34. [39]找到设备: PCI\VEN_15AD&DEV_07A0&SUBSYS_07A015AD&REV_01
    
35. [40]找到设备: PCI\VEN_15AD&DEV_07A0&SUBSYS_07A015AD&REV_01
    
36. [41]找到设备: PCI\VEN_15AD&DEV_07A0&SUBSYS_07A015AD&REV_01
    
37. [42]找到设备: PCI\VEN_15AD&DEV_07A0&SUBSYS_07A015AD&REV_01
    
38. [43]找到设备: PCI\VEN_15AD&DEV_07A0&SUBSYS_07A015AD&REV_01
    
39. [44]找到设备: PCI\VEN_15AD&DEV_07A0&SUBSYS_07A015AD&REV_01
    
40. [45]找到设备: PCI\VEN_15AD&DEV_07A0&SUBSYS_07A015AD&REV_01
    
41. [46]找到设备: PCI\VEN_15AD&DEV_07A0&SUBSYS_07A015AD&REV_01
    
42. [47]找到设备: PCI\VEN_15AD&DEV_07A0&SUBSYS_07A015AD&REV_01
    
43. [48]找到设备: PCI\VEN_15AD&DEV_07A0&SUBSYS_07A015AD&REV_01
    
44. [49]找到设备: PCI\VEN_15AD&DEV_07A0&SUBSYS_07A015AD&REV_01
    
45. [50]找到设备: PCI\VEN_15AD&DEV_07A0&SUBSYS_07A015AD&REV_01
    
46. [51]找到设备: PCI\VEN_15AD&DEV_07A0&SUBSYS_07A015AD&REV_01
    
47. [52]找到设备: PCI\VEN_15AD&DEV_07A0&SUBSYS_07A015AD&REV_01
    
48. [53]找到设备: PCI\VEN_15AD&DEV_07A0&SUBSYS_07A015AD&REV_01
    
49. [54]找到设备: PCI\VEN_15AD&DEV_07A0&SUBSYS_07A015AD&REV_01
    
50. [55]找到设备: PCI\VEN_15AD&DEV_07A0&SUBSYS_07A015AD&REV_01
    
51. [56]找到设备: PCI\VEN_15AD&DEV_07A0&SUBSYS_07A015AD&REV_01
    
52. [57]找到设备: Ramdisk\RamVolume
    
53. [59]找到设备: IDE\CdRomNECVMWar_VMware_IDE_CDR10_______________1.00____
    
54. [61]找到设备: MONITOR\Default_Monitor
    
55. [62]找到设备: PCI\VEN_15AD&DEV_0770&SUBSYS_077015AD&REV_00
    
56. [65]找到设备: ROOT\BasicRender
    
57. [66]找到设备: USB\VID_0E0F&PID_0003&REV_0101&MI_00
    
58. [67]找到设备: PCI\VEN_1022&DEV_2000&SUBSYS_20001022&REV_10
    
59. [68]找到设备: USB\ROOT_HUB20&VID15AD&PID0770&REV0000
    
60. [69]找到设备: PCI\VEN_15AD&DEV_0740&SUBSYS_074015AD&REV_10
    
61. [71]找到设备: PCI\VEN_8086&DEV_7110&SUBSYS_197615AD&REV_08
    
62. [73]找到设备: PCI\VEN_104B&DEV_1040&SUBSYS_1040104B&REV_01
    
63. [74]找到设备: PCI\VEN_8086&DEV_7111&SUBSYS_197615AD&REV_01
    
64. [75]找到设备: Intel-PIIX4
    
65. [76]找到设备: Intel-PIIX4
    
66. [79]找到设备: IDE\DiskVMware_Virtual_IDE_Hard_Drive___________00000001
    
67. [80]找到设备: IDE\DiskVMware_Virtual_IDE_Hard_Drive___________00000001
    
68. [81]找到设备: USB\VID_0E0F&PID_0003&REV_0101&MI_01
    
69. [83]找到设备: PCI\VEN_8086&DEV_7190&SUBSYS_197615AD&REV_01
    
70. [84]找到设备: PCI\VEN_15AD&DEV_0405&SUBSYS_040515AD&REV_00
    
71. [89]找到设备: STORAGE\Volume
    
72. [91]找到设备: USB\VID_0E0F&PID_0003&REV_0101
    
73. [92]找到设备: HID\VID_0E0F&PID_0003&REV_0101&MI_01
    
74. [93]找到设备: ROOT\mssmbios
    
75. [94]找到设备: PCI\VEN_15AD&DEV_0790&SUBSYS_079015AD&REV_02

复制代码

[ 本帖最后由 andos 于 2013-2-1 19:02 编辑 ]

andos

嗯，好了
不合上面是否也是devi问题就是......

andos

叫eset修正应该会比较快吧，呵呵~~

andos

#code=936 这个功能很不错
连在繁体系统上运行都不会乱码...试了一下跑PING2.WCS mess出来的字不乱码呢...

继续期待你的64位pecmd2012......

[ 本帖最后由 andos 于 2013-2-10 21:53 编辑 ]

andos

https://code.google.com/p/unixp/ ... unk/lib/7z.au3?r=11
http://read.pudn.com/downloads15 ... 8498/7Zip.au3__.htm

这些是吗?

andos

原帖由 clonecd 于 2013-2-12 20:40 发表


memmove 是要好一点，内存重叠也无所谓。

现在想提一个迫切的问题，由于UEFI主板，X64系统，GPT磁盘已大行其道，因此开发64位版本的PECMD2012已势在必行。
虽然X64系统也能跑32位程序，但是在性能上大打 ...

呵呵，同意

现在64位PE就是欠了一个64位版的PECMD2012

andos

回复 #4735 fukystone 的帖子

LOGS *x:\pecmd.log

*为实时调试模式,立即刷到磁盘。

andos

没有报啊
https://www.virustotal.com/en/fi ... nalysis/1361494447/

病毒库没更新?

andos

呵呵，我也期待呢

andos

会不会以WIN8PE X64作为测试会好点?

因为用WIN8PE X64的人应该比用WIN7PE X64的人多

andos

原帖由 mdyblog 于 2013-2-24 15:43 发表


有吗？ 我来试试。

小体积一点的可以这个，有提供纯64位和兼容64位两个版本
http://bbs.wuyou.net/forum.php?mod=viewthread&tid=257533&highlight=64%2BPE

上面clonecd有提到过了

另外还有一个体积大点的
http://bbs.wuyou.net/forum.php?mod=viewthread&tid=275642&extra=page%3D2