无忧启动论坛

标题: 貌似找到去PEcmd 2.8.332.2868 logo的方法！ [打印本页]

作者: apeil 时间: 2007-4-30 20:18
标题: 貌似找到去PEcmd 2.8.332.2868 logo的方法！
不才，借鉴各位大侠的经验改了下2.8.332.2868，貌似去掉了logo，各位大侠研究下看看是不是真的如此。

ollydbg载放PECMD。EXE，右键查找所有参考文本字串，找到如下类似的信息，双击进入

00405688 |> \8325 A0434100>AND DWORD PTR DS:[4143A0],0
0040568F |. 85C0 TEST EAX,EAX
00405691 0F84 A1000000 JE PECMD.00405738 //把JE改为JMP
00405697 |. 8B35 24134000 MOV ESI,DWORD PTR DS:[<&USER32.wsprintfW>; USER32.wsprintfW
0040569D |. 68 302A4000 PUSH PECMD.00402A30 ; /<%s> = "WinPE Commander (Modified By Lxl1638)"
004056A2 |. 68 7C2A4000 PUSH PECMD.00402A7C ; |<%s> = "PECMD"
004056A7 |. 8D85 60FFFFFF LEA EAX,DWORD PTR SS:[EBP-A0] ; |
004056AD |. 68 882A4000 PUSH PECMD.00402A88 ; |Format = "%s - %s"
004056B2 |. 50 PUSH EAX ; |s
004056B3 |. FFD6 CALL ESI ; \wsprintfW
004056B5 |. 68 502C4000 PUSH PECMD.00402C50 ; UNICODE "2.8.332.2868"
004056BA |. 8D85 60FFFFFF LEA EAX,DWORD PTR SS:[EBP-A0]
004056C0 |. 50 PUSH EAX
004056C1 |. 8D85 C0FEFFFF LEA EAX,DWORD PTR SS:[EBP-140]
004056C7 |. 68 6C2C4000 PUSH PECMD.00402C6C ; UNICODE "%s , V%s#0"
004056CC |. 50 PUSH EAX
004056CD |. FFD6 CALL ESI
004056CF |. 6A 01 PUSH 1
004056D1 |. E8 A4FEFFFF CALL PECMD.0040557A
004056D6 |. 8325 242D4100>AND DWORD PTR DS:[412D24],0
004056DD |. 83C4 24 ADD ESP,24

然后再在这行右键，复制到可执行文件，选择，在弹出的窗口中，关闭，会提示你保存为一个文件，将文件保存为pecmd.exe即可，这样就没有LOGO的版本信息了

由于现在在农村，只能用小猫上来（够原始~~），且身边只有本本，所以只在虚拟机测试了下，大家测试下是否可以，有结果在这里回应下。

LXL1638大侠，不知道是否这样修改？

[ 本帖最后由 apeil 于 2007-4-30 09:14 PM 编辑 ]

作者: neo4026 时间: 2007-4-30 20:43
呵呵用OD来耍的无忧少有的黑客喔
换成JNE能行么?

[ 本帖最后由 neo4026 于 2007-4-30 08:45 PM 编辑 ]

作者: 风铃夜思雨 时间: 2007-4-30 21:17
当然可以啦，我昨晚试过的了，现在我录了下来
改为JMP的意思是无论如何都跳过这段显示版本LOGO字符的操作
看下图，由于上传图片不能大于300K，现图片所放地方是ADSL的，如果本人不开机，此图将会看不到

[ 本帖最后由风铃夜思雨于 2007-4-30 09:21 PM 编辑 ]

作者: apeil 时间: 2007-4-30 21:24

原帖由 neo4026 于 2007-4-30 08:43 PM 发表
呵呵用OD来耍的无忧少有的黑客喔
换成JNE能行么?

你可以尝试下

作者: apeil 时间: 2007-4-30 21:30

原帖由 风铃夜思雨 于 2007-4-30 09:17 PM 发表
当然可以啦，我昨晚试过的了，现在我录了下来
改为JMP的意思是无论如何都跳过这段显示版本LOGO字符的操作
看下图，由于上传图片不能大于300K，现图片所放地方是ADSL的，如果本人不开机，此图将会看不到

ht ...

借鉴大侠的技术，献丑了，o(∩_∩)o...

作者: xintiandi 时间: 2007-4-30 21:36
好。放假试一下效果。

作者: wanghh 时间: 2007-4-30 21:46
多加了个NOP了吧。

作者: wanghh 时间: 2007-4-30 21:53
谢谢！:) 学习了。

作者: 风铃夜思雨 时间: 2007-4-30 22:46
多一个NOP，那是因为改为JMP，会造成长度少一位，所以会用NOP补上，即十六进制为90

作者: armymangl 时间: 2007-4-30 22:52
俺不懂汇编，算是学习了

作者: apeil 时间: 2007-4-30 23:14

原帖由 风铃夜思雨 于 2007-4-30 10:46 PM 发表
多一个NOP，那是因为改为JMP，会造成长度少一位，所以会用NOP补上，即十六进制为90

不加应该也可以！？

作者: lxl1638 时间: 2007-4-30 23:29
嘿嘿，高手真多，还有一处要改呢，托盘图标的提示。

作者: 988668 时间: 2007-4-30 23:42
:) 不错，学习学习，增长知识哦

作者: wanghh 时间: 2007-5-1 06:48

原帖由 风铃夜思雨 于 2007-4-30 10:46 PM 发表
多一个NOP，那是因为改为JMP，会造成长度少一位，所以会用NOP补上，即十六进制为90

谢谢！学习了。我没有加好象也可以。

作者: 弄潮儿-NET 时间: 2007-5-1 07:01
处男进来学习一下……

作者: 弄潮儿-NET 时间: 2007-5-1 07:03
哦，对了，这个PECMD的东东是什么鬼东东？在哪下载

作者: wanghh 时间: 2007-5-1 07:22
中将啊！历害！:)

作者: lxl1638 时间: 2007-5-1 09:22
高手来了，改好托盘图标提示没？

只要找得准改得对，也只需改一个字节就可以改成你要的提：
PELOGON字符串表ID为103的字符串是留给你DIY的，只要找得准改得对，
可以使托盘图标的提示用上这个字符串(你可以修改这串文字)，本人是这样做的。

[ 本帖最后由 lxl1638 于 2007-5-1 10:44 AM 编辑 ]

作者: wanghh 时间: 2007-5-1 10:35
用老毛桃老大那个托盘没有图标的。

作者: lxl1638 时间: 2007-5-1 10:42

原帖由 wanghh 于 2007-5-1 10:35 AM 发表
用老毛桃老大那个托盘没有图标的。

本人还没有给那个版本安装图标，但很早就有所准备了，从设计PELOGON.EXE就开始准备了，你看它的第一版的图标就知道了，一个驻留托盘后设置显示属性用的图标。

作者: 风铃夜思雨 时间: 2007-5-1 11:19
看了看，有两处地方调用Shell_NotifyIconW的函数，要从这里慢慢跟进，调试很麻烦，改一次要生成一次ISO文件，再在虚拟机测试。。。调试太麻烦了，代码都是写在PECMD。EXE中吧？找不到那个老九PE辅助工具的字符在哪里，郁闷，不知是不是加密了，或分开几处存放了

2.8.3版本

经测试，此方法不可行，请各位不要尝试了

好像是改0x00006C58位置，75改EB，我没有经过测试，那位朋友可以测试下，成功的话将结果告诉我
方法UltraEdit打开PECMD.EXE,CTRL+G,转到0x00006C58，将75改EB即可

Ollydbg方法
0040784E |. FF15 24124000 |CALL NEAR DWORD PTR DS:[<&KERNEL32.GetS>; [GetSystemDefaultLangID 调用API获取系统默认语言
00407854 |. 66:3D 0408 |CMP AX,804 比较默认语言是否为804
00407858 75 1F JNZ SHORT PECMD.00407879 将JNZ改JMP，使无论如何都调用Type TrayIcon MenuTip in here.提示的托盘
0040785A |. 33C0 |XOR EAX,EAX
0040785C |> 66:8B0C85 382>|/MOV CX,WORD PTR DS:[EAX*4+402738]
00407864 |. 66:03C8 ||ADD CX,AX
00407867 |. 66:41 ||INC CX
00407869 |. 66:890C45 E84>||MOV WORD PTR DS:[EAX*2+4140E8],CX
00407871 |. 40 ||INC EAX
00407872 |. 83F8 0B ||CMP EAX,0B
00407875 |.^ 7C E5 |\JL SHORT PECMD.0040785C
00407877 |. EB 18 |JMP SHORT PECMD.00407891
00407879 |> 6A 40 |PUSH 40 ; /Count = 40 (64.) 上面改JMP将会无论如何都直接跳到这里
0040787B |. 68 E8404100 |PUSH PECMD.004140E8 ; |Buffer = PECMD.004140E8
00407880 |. 68 15270000 |PUSH 2715 ; |RsrcID = STRING "Type TrayIcon MenuTip in here."
00407885 |. FF35 94434100 |PUSH DWORD PTR DS:[414394] ; |hInst = NULL
0040788B |. FF15 78134000 |CALL NEAR DWORD PTR DS:[<&USER32.LoadSt>; \LoadStringW
00407891 |> 391D D4404100 |CMP DWORD PTR DS:[4140D4],EBX
00407897 |. 74 10 |JE SHORT PECMD.004078A9
00407899 |> 68 D0404100 |PUSH PECMD.004140D0
0040789E |. 53 |PUSH EBX
0040789F |. FF15 5C124000 |CALL NEAR DWORD PTR DS:[<&SHELL32.Shell>; SHELL32.Shell_NotifyIconW
004078A5 |. 85C0 |TEST EAX,EAX
004078A7 |. 75 3A |JNZ SHORT PECMD.004078E3 如不成功可试下同时改下这里JNZ为JMP
004078A9 |> 55 |PUSH EBP
004078AA |. 68 C8000000 |PUSH 0C8
004078AF |. FFD6 |CALL NEAR ESI
004078B1 |. FF4424 14 |INC DWORD PTR SS:[ESP+14]
004078B5 |. 837C24 14 0A |CMP DWORD PTR SS:[ESP+14],0A
004078BA |.^ 0F82 F2FEFFFF \JB PECMD.004077B2
004078C0 |. EB 21 JMP SHORT PECMD.004078E3
004078C2 |> 391D 70414100 CMP DWORD PTR DS:[414170],EBX
004078C8 74 19 JE SHORT PECMD.004078E3 如不成功可试下同时改下这里JNZ为JMP
004078CA |. 68 D0404100 PUSH PECMD.004140D0
004078CF |. 6A 02 PUSH 2
004078D1 |. FF15 5C124000 CALL NEAR DWORD PTR DS:[<&SHELL32.Shell_>; SHELL32.Shell_NotifyIconW
004078D7 |. 53 PUSH EBX
004078D8 |. E8 19FEFFFF CALL PECMD.004076F6
004078DD |. 59 POP ECX
004078DE |. A3 70414100 MOV DWORD PTR DS:[414170],EAX
004078E3 |> 6A FF PUSH -1
004078E5 |. 6A FF PUSH -1

修改完成右键复制到可执行文件，所有修改，关闭弹出窗口，保存为PECMD.EXE

[ 本帖最后由风铃夜思雨于 2007-5-1 03:43 PM 编辑 ]

作者: 弄潮儿-NET 时间: 2007-5-1 11:24

原帖由 风铃夜思雨 于 2007-4-30 09:17 PM 发表
当然可以啦，我昨晚试过的了，现在我录了下来
改为JMP的意思是无论如何都跳过这段显示版本LOGO字符的操作
看下图，由于上传图片不能大于300K，现图片所放地方是ADSL的，如果本人不开机，此图将会看不到

ht ...

这是什么软件录的？
这是什么软件录的？
这是什么软件录的？
这是什么软件录的？
这是什么软件录的？看起来不错嘛，

作者: 风铃夜思雨 时间: 2007-5-1 11:38

原帖由 弄潮儿-NET 于 2007-5-1 11:24 AM 发表

这是什么软件录的？
这是什么软件录的？
这是什么软件录的？
这是什么软件录的？
这是什么软件录的？看起来不错嘛，

GGG - GIF

作者: 弄潮儿-NET 时间: 2007-5-1 11:41
下载地址呢？懒得找了……

作者: 风铃夜思雨 时间: 2007-5-1 11:45

原帖由 弄潮儿-NET 于 2007-5-1 11:41 AM 发表
下载地址呢？懒得找了……

尽快下载，我只提供一会
http://skygz.oicp.net/GIf_GGG/

作者: 弄潮儿-NET 时间: 2007-5-1 11:52
谢谢楼上的，己下！

作者: lxl1638 时间: 2007-5-1 11:59

原帖由 风铃夜思雨 于 2007-5-1 11:19 AM 发表
看了看，有两处地方调用Shell_NotifyIconW的函数，要从这里慢慢跟进，调试很麻烦，改一次要生成一次ISO文件，再在虚拟机测试。。。调试太麻烦了，代码都是写在PECMD。EXE中吧？找不到那个老九PE辅助工具的字符在 ...

加密、破解之类，本人没经验，理原是这样的：

if (取系统语言的系统函数 == 常量)
{
//用"老九......"作托盘提示
}
else
{
//用资源中的字串作提示
}

本人想，最容易改的是改常量，其次是"=="。

哪几个中文字串两个文件都有，加密，算法论坛已有人公开了。

作者: 风铃夜思雨 时间: 2007-5-1 12:07

原帖由 lxl1638 于 2007-5-1 11:59 AM 发表

加密、破解之类，本人没经验，理原是这样的：

if (取系统语言的系统函数 == 常量)
{
//用"老九......"作托盘提示
}
else
{
//用资源中的字串作提示
}

本人想，最容易改的是改常量， ...

卡卡，那现在这改法绝对可以成功的了

0040784E |. FF15 24124000 |CALL NEAR DWORD PTR DS:[<&KERNEL32.GetS>; [GetSystemDefaultLangID
00407854 |. 66:3D 0408 |CMP AX,804
00407858 75 1F JNZ SHORT PECMD.00407879 将JNZ改JMP，使无论如何都调用Type TrayIcon MenuTip in here.提示的托盘
0040785A |. 33C0 |XOR EAX,EAX

作者: 弄潮儿-NET 时间: 2007-5-1 12:24
问下，老九是谁？:L :Q :lol ;P :@

作者: lxl1638 时间: 2007-5-1 12:44

原帖由 风铃夜思雨 于 2007-5-1 12:07 PM 发表

卡卡，那现在这改法绝对可以成功的了

0040784E  |.  FF15 24124000 |CALL NEAR DWORD PTR DS:[; [GetSystemDefaultLangID
00407854  |.  66:3D 0408 |CMP AX,804
00407858    75 1F       JNZ  ...

应该是这样，修改资源中的字串就可以DIY自己的托盘提示了。

作者: wanghh 时间: 2007-5-1 13:11
00405B1B /$ 55 push ebp
00405B1C |. 8D6C24 88 lea ebp, dword ptr [esp-78]
00405B20 |. 81EC 4C030000 sub esp, 34C
00405B26 |. A1 04304100 mov eax, dword ptr [413004]
..........
00405BE8 |. 33C0 xor eax, eax
00405BEA |> 66:8B0C85 1826400>/mov cx, word ptr [eax*4+402618]
00405BF2 |. 66:03C8 |add cx, ax
00405BF5 |. 66:41 |inc cx
00405BF7 |. 66:894C45 D4 |mov word ptr [ebp+eax*2-2C], cx
00405BFC |. 40 |inc eax
00405BFD |. 83F8 28 |cmp eax, 28
00405C00 |.^7C E8 \jl short 00405BEA

上面的内存单元[402618]内容如下：
00402618 1F 00 00 00 2B 00 00 00 1D 00 00 00 53 00 00 00 ...+......S...
00402628 64 00 00 00 68 00 00 00 49 00 00 00 3D 00 00 00 d...h...I...=...
00402638 17 00 00 00 39 00 00 00 64 00 00 00 61 00 00 00 ...9...d...a...
00402648 60 00 00 00 53 00 00 00 5F 00 00 00 54 00 00 00 `...S..._...T...
00402658 54 00 00 00 60 00 00 00 0D 00 00 00 14 00 00 00 T...`..........
00402668 38 00 00 00 59 00 00 00 4D 00 00 00 51 00 00 00 8...Y...M...Q...
00402678 4D 00 00 00 4F 00 00 00 4A 00 00 00 48 00 00 00 M...O...J...H...
00402688 03 00 00 00 24 00 00 00 5A 00 00 00 00 00 00 00 ...$...Z.......
00402698 2B 00 00 00 56 00 00 00 49 00 00 00 0D 00 00 00 +...V...I.......
004026A8 11 00 00 00 0D 00 00 00 11 00 00 00 01 00 00 00 .............
以上内存单元内容加上其位置值就是真实内容。譬如[00402618]=1F，其位置=1，1F+1=20，
就是空格字符；又如[402624]=53，位置=4，53+4=57，就是大写W字符；依此类推，最后结果
存在堆栈[ebp-2C]内存中。
[ebp-2C]= - Winpe Commander (Modified By Lxl1638)

00405C02 |. 33C0 xor eax, eax
00405C04 |> 66:8B0C85 B826400>/mov cx, word ptr [eax*4+4026B8]
00405C0C |. 66:03C8 |add cx, ax
00405C0F |. 66:41 |inc cx
00405C11 |. 66:898C45 34FFFFF>|mov word ptr [ebp+eax*2-CC], cx
00405C19 |. 40 |inc eax
00405C1A |. 83F8 0F |cmp eax, 0F
00405C1D |.^7C E5 \jl short 00405C04

内存单元[4026B8]内容如下：
004026B8 22 00 00 00 4A 00 00 00 35 00 00 00 50 00 00 00 "...J...5...P...
004026C8 33 00 00 00 4C 00 00 00 2D 00 00 00 28 00 00 00 3...L...-...(...
004026D8 27 00 00 00 38 00 00 00 29 00 00 00 2C 00 00 00 '...8...)...,...
004026E8 17 00 00 00 23 00 00 00 25 00 00 00 00 00 00 00 ...#...%.......
跟前面一样计算方法，最后解密结果为：
[ebp-CC]= #L8T8R400B48$14
这就是PECMD的TEXT命令用来显示[ebp-2C]内容的位置与字体。

00405C1F |. 8D85 34FFFFFF lea eax, dword ptr [ebp-CC]
00405C25 |. 50 push eax ; /<%s>
00405C26 |. 68 9C2B4000 push 00402B9C ; |2.7.831.2302
00405C2B |. 8D45 D4 lea eax, dword ptr [ebp-2C] ; |
00405C2E |. 50 push eax ; |<%s>
00405C2F |. 68 B82B4000 push 00402BB8 ; |PECMD
00405C34 |. 68 C42B4000 push 00402BC4 ; |%s%s , V%s%s*
00405C39 |. 68 00634100 push 00416300 ; |s
00405C3E |. FF15 FC124000 call dword ptr [<&USER32.wsprintfW>] ; \wsprintfW

调用API函数wsprintfW来格式化上面字符串，存在[00416300]单元中，容易看出其结果为：
PECMD - Winpe Commander (Modified By Lxl1638)，V2.7.831.2302#L8T8R400B48$14

00405C44 |. 83C4 18 add esp, 18
00405C47 |. 393D B8624100 cmp dword ptr [4162B8], edi ;比较是否显示字符串
00405C4D 74 4C je short 00405C9B ;相等不显示，可以改为jmp，亦即74->EB
00405C4F |> 68 00634100 push 00416300 ; /<%s> = ""
00405C54 |. 8D85 2CFDFFFF lea eax, dword ptr [ebp-2D4] ; |
00405C5A |. 68 7C2B4000 push 00402B7C ; |%s
00405C5F |. 50 push eax ; |s
00405C60 |. FF15 FC124000 call dword ptr [<&USER32.wsprintfW>] ; \wsprintfW
00405C66 |. 6A 01 push 1
00405C68 |. E8 2DFEFFFF call 00405A9A
00405C6D |. 8D85 2CFDFFFF lea eax, dword ptr [ebp-2D4]
00405C73 |. 50 push eax
00405C74 |. C705 2C3D4100 FFF>mov dword ptr [413D2C], 0FFFFFF
00405C7E |. E8 38000000 call 00405CBB ;调用写字符串子程序
00405C83 |. 83C4 14 add esp, 14
00405C86 |. 68 D0070000 push 7D0 ;/Timeout=2000.ms
00405C8B |. FF15 64104000 call dword ptr [<&KERNEL32.Sleep>] ;\Sleep
00405C91 |. 6A 00 push 0
00405C93 |. E8 02FEFFFF call 00405A9A
00405C98 |. 83C4 04 add esp, 4
00405C9B |> 8B4D 74 mov ecx, dword ptr [ebp+74]
00405C9E |. A1 B8624100 mov eax, dword ptr [4162B8]
00405CA3 |. 5F pop edi
00405CA4 |. 5E pop esi

这个子程序只要修改00405C4D这一行，亦即74改为EB就达到不显示字符串目的，不过更好方法还是不去
调用它，毕竟它会占用CPU周期与内存。它是被下面子程序来调用的：

00409A14 |. 53 push ebx
00409A15 |. E8 4BBFFFFF call 00405965
00409A1A |. 59 pop ecx
00409A1B E8 FBC0FFFF call 00405B1B ;这里调用上面，把它改为nop就好
00409A20 |. EB 20 jmp short 00409A42
00409A22 |> 53 push ebx

作者: wanghh 时间: 2007-5-1 13:12
原理可能跟这是一样的。

作者: 沙漠之子 时间: 2007-5-1 13:31
既然,有那么多汇编高手在,不知是否能解决以下vista在winxp的winpe中不能安装的问题呢

另:我认为可从以下文件列表在winep环境下研究起
lang.ini
wdsutil.dll
wdscore.dll
winsetup.dll
unbcl.dll
migisol.dll
unattend.dll
input.dll
xmllite.dll
setup.exe
文件来自vista光盘

作者: 风铃夜思雨 时间: 2007-5-1 13:40
哈哈
对vista很不感冒，第二代WINME

作者: lxl1638 时间: 2007-5-1 13:50

原帖由 风铃夜思雨 于 2007-5-1 01:40 PM 发表
哈哈
对vista很不感冒，第二代WINME

MM？希望你是MM，玩过Delphi的KOL没？若玩过，能否将 http://kolmck.net/demos/DemoShellBrowser.zip 完善一下，加入双击打开文件或目录，右键出现常规菜单的功能，这个ShellBrowser做得很小，占内存也小，想将它作PE的SHELL，看能否做成一个64M内存启动的PE来。

作者: 弄潮儿-NET 时间: 2007-5-1 13:59
固计不是MM，不过可能是处的……

作者: 风铃夜思雨 时间: 2007-5-1 14:59
找不到KOL组件包，其官方主页的文件一块块的，东一个文件西一个文件的

其实只要接管其ContextMenu上下文菜单创建到MENU中即可

作者: 弄潮儿-NET 时间: 2007-5-1 15:28
果然是高手呀，一语点破天机……

KOL你可以到这里下载：
http://kolmck.net/

作者: 风铃夜思雨 时间: 2007-5-1 15:51

原帖由 弄潮儿-NET 于 2007-5-1 03:28 PM 发表
果然是高手呀，一语点破天机……

KOL你可以到这里下载：
http://kolmck.net/

官方主页的文件一块块的，东一个文件西一个文件的，根本就不知是那个，要一个一个下载，晕死

其实不一定要用KOL组件才能写出小程序

我用DELPHI2编译一个带窗口，TREEVIEW，LISTVIEW，没做任何处理，大小180K

如果DELPHI2编译窗口改用为API创建的空白窗口，无其它代码，大小25K

此编译没做任处理，如果做简化代码的话，可以更小

[ 本帖最后由风铃夜思雨于 2007-5-1 04:17 PM 编辑 ]

作者: lxl1638 时间: 2007-5-1 17:07

原帖由 风铃夜思雨 于 2007-5-1 02:59 PM 发表
找不到KOL组件包，其官方主页的文件一块块的，东一个文件西一个文件的

其实只要接管其ContextMenu上下文菜单创建到MENU中即可

这个我知道，但没有过KOL包，想可能你玩过才问。

另，你不象是酒店的MM啊，酷文闪存大师可是你的作品？

作者: lintel 时间: 2007-5-1 17:15
专程路过一下.....请提供一下HEX转汇编语言的说明.

作者: 风铃夜思雨 时间: 2007-5-1 17:44

原帖由 lxl1638 于 2007-5-1 05:07 PM 发表

这个我知道，但没有过KOL包，想可能你玩过才问。

另，你不象是酒店的MM啊，酷文闪存大师可是你的作品？

KOL好是好，就是用起来太麻烦了

呵呵，是GG OR MM，这个我就保留了，嘻嘻

酷文闪存大师是我前年写的，现在都不想用VB

[ 本帖最后由风铃夜思雨于 2007-5-1 05:48 PM 编辑 ]

作者: 风铃夜思雨 时间: 2007-5-1 17:47

原帖由 lintel 于 2007-5-1 05:15 PM 发表
专程路过一下.....请提供一下HEX转汇编语言的说明.

HEX格式文件？还是？

作者: 弄潮儿-NET 时间: 2007-5-1 22:07

原帖由 lxl1638 于 2007-5-1 05:07 PM 发表 <a href="http://bbs.wuyou.net/redirect.php?goto=findpost&pid=1052418&ptid=104615" target="_blank"><img src="http://bbs.wuyou.net/images/common/back.gif" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://bbs.wuyou.net/images/common/back.gif');}" onmousewheel="return imgzoom(this);" alt="" /></a> 

 

 
这个我知道，但没有过KOL包，想可能你玩过才问。 
 
另，你不象是酒店的MM啊，酷文闪存大师可是你的作品？

看名字像MM，看技术水平像GG，连本处男都不研究人家是不是MM了，你一个大男人去研究这个干嘛……莫非……

作者: xiaoy 时间: 2007-5-1 22:49
肯定是个GG，就像楼上的处男

作者: xiaoy 时间: 2007-5-1 22:54

原帖由 lxl1638 于 2007-5-1 01:50 PM 发表

想将它作PE的SHELL，看能否做成一个64M内存启动的PE来。

非常期待，我有台IBM的本本才96M

作者: neo4026 时间: 2007-5-2 18:07

原帖由 沙漠之子 于 2007-5-1 01:31 PM 发表
既然,有那么多汇编高手在,不知是否能解决以下vista在winxp的winpe中不能安装的问题呢

另:我认为可从以下文件列表在winep环境下研究起
lang.ini
wdsutil.dll
wdscore.dll
winsetup.dll
...

找到关键跳了就好办...
偶菜交给楼主高手搞定

作者: zhao 时间: 2007-5-4 22:54
按照楼主的方法修改成功，加载logo时没有了版本信息. 修改系统托盘提示没成功，这个不重要了

老九说修改该程序会造成pe运行不稳定，不知道指的是什么

[ 本帖最后由 zhao 于 2007-5-5 04:55 PM 编辑 ]

作者: xintiandi 时间: 2007-5-5 03:03
标题: 回复 #30 lxl1638 的帖子
我把jnz改为jmp后，到pelogon.exe里面修改了字符串ID103处的Type TrayIcon MenuTip in here，但托盘区提示还是没有改过来。

作者: fage 时间: 2007-5-5 17:39

原帖由 xintiandi 于 2007-5-5 03:03 AM 发表
我把jnz改为jmp后，到pelogon.exe里面修改了字符串ID103处的Type TrayIcon MenuTip in here，但托盘区提示还是没有改过来。

这样貌似不行！！

作者: lxl1638 时间: 2007-5-5 17:50

原帖由 fage 于 2007-5-5 05:39 PM 发表

这样貌似不行！！

有些版本可以，有些不可以，本人也记不清了，反正一定有人可以的。

作者: fage 时间: 2007-5-5 18:19
稳定大过一切，我还是不去动它了......

作者: xintiandi 时间: 2007-5-5 19:27
这个都要看版本啊。我改的是8.3版。试了不行。

作者: haonan3344 时间: 2007-5-6 02:13
好多高人a ～～～:D :D :D :D

作者: armymangl 时间: 2007-5-7 00:30
我用8.3版的，启动后托盘怎么什么都没有啊，没看到那个什么菜单:L

作者: xintiandi 时间: 2007-5-7 02:04
那是用老毛的pe就不会有托盘图标。用老九的32m那个就有的。

作者: fage 时间: 2007-5-7 10:11
好像要按ctrl+alt+m,它才会出来．

作者: xywlty 时间: 2007-5-8 21:29
晕！！爆破技术用到这里来了！！虽然没有这样做过，不过看到跳转到下一

步骤，这种情况理论上是能通过的！只是跳过了显示版本LOGO字符的操作

应该对后面的文件没有损失！！

作者: lxl1638 时间: 2007-5-9 01:14
新版可能不行了，因为在此之前设置了一个全局逻辑变量，这个变量会在显示版本LOGO赋一次新的值，若这个值没有改变，下来的..................，就公布那么多。

作者: ssk7793 时间: 2007-5-10 15:06
汇编,看不懂,学习学习~

作者: smscxj 时间: 2007-5-10 15:47
谢谢！学习了。;P

作者: hszgb 时间: 2007-5-13 00:40
只是跳过了显示版本LOGO字符的操作

应该对后面的文件没有损失！！

欢迎光临无忧启动论坛 (http://bbs.wuyou.net/)