貌似找到去PEcmd 2.8.332.2868 logo的方法！

apeil · 发表于 2007-4-30 20:18:06

不才，借鉴各位大侠的经验改了下2.8.332.2868，貌似去掉了logo，各位大侠研究下看看是不是真的如此。

ollydbg载放PECMD。EXE，右键查找所有参考文本字串，找到如下类似的信息，双击进入

00405688  |> \8325 A0434100>AND DWORD PTR DS:[4143A0],0
0040568F  |.  85C0       TEST EAX,EAX
00405691    0F84 A1000000 JE PECMD.00405738   //把JE改为JMP
00405697  |.  8B35 24134000 MOV ESI,DWORD PTR DS:[<&USER32.wsprintfW>;  USER32.wsprintfW
0040569D  |.  68 302A4000 PUSH PECMD.00402A30                   ; /<%s> = "WinPE Commander (Modified By Lxl1638)"
004056A2  |.  68 7C2A4000 PUSH PECMD.00402A7C                   ; |<%s> = "PECMD"
004056A7  |.  8D85 60FFFFFF LEA EAX,DWORD PTR SS:[EBP-A0]          ; |
004056AD  |.  68 882A4000 PUSH PECMD.00402A88                   ; |Format = "%s - %s"
004056B2  |.  50          PUSH EAX                               ; |s
004056B3  |.  FFD6       CALL ESI                               ; \wsprintfW
004056B5  |.  68 502C4000 PUSH PECMD.00402C50                   ;  UNICODE "2.8.332.2868"
004056BA  |.  8D85 60FFFFFF LEA EAX,DWORD PTR SS:[EBP-A0]
004056C0  |.  50          PUSH EAX
004056C1  |.  8D85 C0FEFFFF LEA EAX,DWORD PTR SS:[EBP-140]
004056C7  |.  68 6C2C4000 PUSH PECMD.00402C6C                   ;  UNICODE "%s , V%s#0"
004056CC  |.  50          PUSH EAX
004056CD  |.  FFD6       CALL ESI
004056CF  |.  6A 01       PUSH 1
004056D1  |.  E8 A4FEFFFF CALL PECMD.0040557A
004056D6  |.  8325 242D4100>AND DWORD PTR DS:[412D24],0
004056DD  |.  83C4 24    ADD ESP,24

然后再在这行右键，复制到可执行文件，选择，在弹出的窗口中，关闭，会提示你保存为一个文件，将文件保存为pecmd.exe即可，这样就没有LOGO的版本信息了

由于现在在农村，只能用小猫上来（够原始~~），且身边只有本本，所以只在虚拟机测试了下，大家测试下是否可以，有结果在这里回应下。

LXL1638大侠，不知道是否这样修改？

[ 本帖最后由 apeil 于 2007-4-30 09:14 PM 编辑 ]

neo4026 · 发表于 2007-4-30 20:43:38

呵呵用OD来耍的无忧少有的黑客喔
换成JNE能行么?

[ 本帖最后由 neo4026 于 2007-4-30 08:45 PM 编辑 ]

风铃夜思雨 · 发表于 2007-4-30 21:17:21

当然可以啦，我昨晚试过的了，现在我录了下来
改为JMP的意思是无论如何都跳过这段显示版本LOGO字符的操作
看下图，由于上传图片不能大于300K，现图片所放地方是ADSL的，如果本人不开机，此图将会看不到

[ 本帖最后由风铃夜思雨于 2007-4-30 09:21 PM 编辑 ]

apeil · 发表于 2007-4-30 21:24:28

原帖由 neo4026 于 2007-4-30 08:43 PM 发表
呵呵用OD来耍的无忧少有的黑客喔
换成JNE能行么?

你可以尝试下

apeil · 发表于 2007-4-30 21:30:07

原帖由 风铃夜思雨 于 2007-4-30 09:17 PM 发表
当然可以啦，我昨晚试过的了，现在我录了下来
改为JMP的意思是无论如何都跳过这段显示版本LOGO字符的操作
看下图，由于上传图片不能大于300K，现图片所放地方是ADSL的，如果本人不开机，此图将会看不到

ht ...

借鉴大侠的技术，献丑了，o(∩_∩)o...

xintiandi · 发表于 2007-4-30 21:36:44

好。放假试一下效果。

wanghh · 发表于 2007-4-30 21:46:31

多加了个NOP了吧。

wanghh · 发表于 2007-4-30 21:53:38

谢谢！:) 学习了。

风铃夜思雨 · 发表于 2007-4-30 22:46:19

多一个NOP，那是因为改为JMP，会造成长度少一位，所以会用NOP补上，即十六进制为90

armymangl · 发表于 2007-4-30 22:52:13

俺不懂汇编，算是学习了

apeil · 发表于 2007-4-30 23:14:43

原帖由 风铃夜思雨 于 2007-4-30 10:46 PM 发表
多一个NOP，那是因为改为JMP，会造成长度少一位，所以会用NOP补上，即十六进制为90

不加应该也可以！？

lxl1638 · 发表于 2007-4-30 23:29:22

嘿嘿，高手真多，还有一处要改呢，托盘图标的提示。

988668 · 发表于 2007-4-30 23:42:49

:) 不错，学习学习，增长知识哦

wanghh · 发表于 2007-5-1 06:48:22

原帖由 风铃夜思雨 于 2007-4-30 10:46 PM 发表
多一个NOP，那是因为改为JMP，会造成长度少一位，所以会用NOP补上，即十六进制为90

谢谢！学习了。我没有加好象也可以。

弄潮儿-NET · 发表于 2007-5-1 07:01:57

处男进来学习一下……

弄潮儿-NET · 发表于 2007-5-1 07:03:41

哦，对了，这个PECMD的东东是什么鬼东东？在哪下载

wanghh · 发表于 2007-5-1 07:22:01

中将啊！历害！:)

lxl1638 · 发表于 2007-5-1 09:22:32

高手来了，改好托盘图标提示没？

只要找得准改得对，也只需改一个字节就可以改成你要的提：
PELOGON字符串表ID为103的字符串是留给你DIY的，只要找得准改得对，
可以使托盘图标的提示用上这个字符串(你可以修改这串文字)，本人是这样做的。

[ 本帖最后由 lxl1638 于 2007-5-1 10:44 AM 编辑 ]

wanghh · 发表于 2007-5-1 10:35:59

用老毛桃老大那个托盘没有图标的。

lxl1638 · 发表于 2007-5-1 10:42:45

原帖由 wanghh 于 2007-5-1 10:35 AM 发表
用老毛桃老大那个托盘没有图标的。

本人还没有给那个版本安装图标，但很早就有所准备了，从设计PELOGON.EXE就开始准备了，你看它的第一版的图标就知道了，一个驻留托盘后设置显示属性用的图标。

风铃夜思雨 · 发表于 2007-5-1 11:19:14

看了看，有两处地方调用Shell_NotifyIconW的函数，要从这里慢慢跟进，调试很麻烦，改一次要生成一次ISO文件，再在虚拟机测试。。。调试太麻烦了，代码都是写在PECMD。EXE中吧？找不到那个老九PE辅助工具的字符在哪里，郁闷，不知是不是加密了，或分开几处存放了

2.8.3版本

经测试，此方法不可行，请各位不要尝试了

好像是改0x00006C58位置，75改EB，我没有经过测试，那位朋友可以测试下，成功的话将结果告诉我
方法UltraEdit打开PECMD.EXE,CTRL+G,转到0x00006C58，将75改EB即可

Ollydbg方法
0040784E  |.  FF15 24124000 |CALL NEAR DWORD PTR DS:[<&KERNEL32.GetS>; [GetSystemDefaultLangID 调用API获取系统默认语言
00407854  |.  66:3D 0408 |CMP AX,804  比较默认语言是否为804
00407858    75 1F       JNZ SHORT PECMD.00407879          将JNZ改JMP，使无论如何都调用Type TrayIcon MenuTip in here.提示的托盘
0040785A  |.  33C0       |XOR EAX,EAX
0040785C  |>  66:8B0C85 382>|/MOV CX,WORD PTR DS:[EAX*4+402738]
00407864  |.  66:03C8    ||ADD CX,AX
00407867  |.  66:41       ||INC CX
00407869  |.  66:890C45 E84>||MOV WORD PTR DS:[EAX*2+4140E8],CX
00407871  |.  40          ||INC EAX
00407872  |.  83F8 0B    ||CMP EAX,0B
00407875  |.^ 7C E5       |\JL SHORT PECMD.0040785C
00407877  |.  EB 18       |JMP SHORT PECMD.00407891
00407879  |>  6A 40       |PUSH 40                               ; /Count = 40 (64.)       上面改JMP将会无论如何都直接跳到这里
0040787B  |.  68 E8404100 |PUSH PECMD.004140E8                   ; |Buffer = PECMD.004140E8
00407880  |.  68 15270000 |PUSH 2715                            ; |RsrcID = STRING "Type TrayIcon MenuTip in here."
00407885  |.  FF35 94434100 |PUSH DWORD PTR DS:[414394]             ; |hInst = NULL
0040788B  |.  FF15 78134000 |CALL NEAR DWORD PTR DS:[<&USER32.LoadSt>; \LoadStringW
00407891  |>  391D D4404100 |CMP DWORD PTR DS:[4140D4],EBX
00407897  |.  74 10       |JE SHORT PECMD.004078A9
00407899  |>  68 D0404100 |PUSH PECMD.004140D0
0040789E  |.  53          |PUSH EBX
0040789F  |.  FF15 5C124000 |CALL NEAR DWORD PTR DS:[<&SHELL32.Shell>;  SHELL32.Shell_NotifyIconW
004078A5  |.  85C0       |TEST EAX,EAX
004078A7  |.  75 3A       |JNZ SHORT PECMD.004078E3    如不成功可试下同时改下这里JNZ为JMP
004078A9  |>  55          |PUSH EBP
004078AA  |.  68 C8000000 |PUSH 0C8
004078AF  |.  FFD6       |CALL NEAR ESI
004078B1  |.  FF4424 14    |INC DWORD PTR SS:[ESP+14]
004078B5  |.  837C24 14 0A  |CMP DWORD PTR SS:[ESP+14],0A
004078BA  |.^ 0F82 F2FEFFFF \JB PECMD.004077B2
004078C0  |.  EB 21       JMP SHORT PECMD.004078E3
004078C2  |>  391D 70414100 CMP DWORD PTR DS:[414170],EBX
004078C8    74 19       JE SHORT PECMD.004078E3          如不成功可试下同时改下这里JNZ为JMP
004078CA  |.  68 D0404100 PUSH PECMD.004140D0
004078CF  |.  6A 02       PUSH 2
004078D1  |.  FF15 5C124000 CALL NEAR DWORD PTR DS:[<&SHELL32.Shell_>;  SHELL32.Shell_NotifyIconW
004078D7  |.  53          PUSH EBX
004078D8  |.  E8 19FEFFFF CALL PECMD.004076F6
004078DD  |.  59          POP ECX
004078DE  |.  A3 70414100 MOV DWORD PTR DS:[414170],EAX
004078E3  |>  6A FF       PUSH -1
004078E5  |.  6A FF       PUSH -1

修改完成右键复制到可执行文件，所有修改，关闭弹出窗口，保存为PECMD.EXE

[ 本帖最后由风铃夜思雨于 2007-5-1 03:43 PM 编辑 ]

弄潮儿-NET · 发表于 2007-5-1 11:24:16

原帖由 风铃夜思雨 于 2007-4-30 09:17 PM 发表
当然可以啦，我昨晚试过的了，现在我录了下来
改为JMP的意思是无论如何都跳过这段显示版本LOGO字符的操作
看下图，由于上传图片不能大于300K，现图片所放地方是ADSL的，如果本人不开机，此图将会看不到

ht ...

这是什么软件录的？
这是什么软件录的？
这是什么软件录的？
这是什么软件录的？
这是什么软件录的？看起来不错嘛，

风铃夜思雨 · 发表于 2007-5-1 11:38:32

原帖由 弄潮儿-NET 于 2007-5-1 11:24 AM 发表

这是什么软件录的？
这是什么软件录的？
这是什么软件录的？
这是什么软件录的？
这是什么软件录的？看起来不错嘛，

GGG - GIF

弄潮儿-NET · 发表于 2007-5-1 11:41:38

下载地址呢？懒得找了……

风铃夜思雨 · 发表于 2007-5-1 11:45:33

原帖由 弄潮儿-NET 于 2007-5-1 11:41 AM 发表
下载地址呢？懒得找了……

尽快下载，我只提供一会
http://skygz.oicp.net/GIf_GGG/

弄潮儿-NET · 发表于 2007-5-1 11:52:43

谢谢楼上的，己下！

lxl1638 · 发表于 2007-5-1 11:59:30

原帖由 风铃夜思雨 于 2007-5-1 11:19 AM 发表
看了看，有两处地方调用Shell_NotifyIconW的函数，要从这里慢慢跟进，调试很麻烦，改一次要生成一次ISO文件，再在虚拟机测试。。。调试太麻烦了，代码都是写在PECMD。EXE中吧？找不到那个老九PE辅助工具的字符在 ...

加密、破解之类，本人没经验，理原是这样的：

if (取系统语言的系统函数 == 常量)
{
//用"老九......"作托盘提示
}
else
{
//用资源中的字串作提示
}

本人想，最容易改的是改常量，其次是"=="。

哪几个中文字串两个文件都有，加密，算法论坛已有人公开了。

风铃夜思雨 · 发表于 2007-5-1 12:07:11

原帖由 lxl1638 于 2007-5-1 11:59 AM 发表

加密、破解之类，本人没经验，理原是这样的：

if (取系统语言的系统函数 == 常量)
{
//用"老九......"作托盘提示
}
else
{
//用资源中的字串作提示
}

本人想，最容易改的是改常量， ...

卡卡，那现在这改法绝对可以成功的了

0040784E  |.  FF15 24124000 |CALL NEAR DWORD PTR DS:[<&KERNEL32.GetS>; [GetSystemDefaultLangID
00407854  |.  66:3D 0408 |CMP AX,804
00407858    75 1F       JNZ SHORT PECMD.00407879          将JNZ改JMP，使无论如何都调用Type TrayIcon MenuTip in here.提示的托盘
0040785A  |.  33C0       |XOR EAX,EAX

弄潮儿-NET · 发表于 2007-5-1 12:24:17

问下，老九是谁？:L :Q :lol ;P :@

lxl1638 · 发表于 2007-5-1 12:44:05

原帖由 风铃夜思雨 于 2007-5-1 12:07 PM 发表

卡卡，那现在这改法绝对可以成功的了

0040784E  |.  FF15 24124000 |CALL NEAR DWORD PTR DS:[; [GetSystemDefaultLangID
00407854  |.  66:3D 0408 |CMP AX,804
00407858    75 1F       JNZ  ...

应该是这样，修改资源中的字串就可以DIY自己的托盘提示了。

		自动登录	找回密码
密码			注册