[更新376#2825]PECMD2012.1.80.13_Win32_64.多窗口多线程.裸机系统2.3.3.1+18M酷M...

阿弥陀佛

mdyblog 发表于 2015-8-14 18:15
1、PECMD分配盘符用disk和show命令的结果有什么不一样吗？
SHOW 不改变原有的盘符，只做加法。

原来是这样。记得之前一直用show，有时候就会出现一个分区有多个盘符，我把系统原来的删除了，以后重启系统就没有自动分配了。

sp_star

看看这个编辑器怎么样？ 另外，请教如何用正则表达式提取函数名？

mdyblog

sp_star 发表于 2015-8-15 10:55
看看这个编辑器怎么样？ 另外，请教如何用正则表达式提取函数名？

用SED挺啰嗦的
ENVI Dou=,

1. SED V1=1,{[ \t]*_SUB[ \t][ \t]*}{[^%Dou% \t]*}{.*},\001 \002,_SUB AAA,xxxXXX
   
2. MSTR V11,V12=<1*>%V1%
   
3. FIND $%V11%<>_SUB, ENVI V12=
   
4. MESS 头部[%V1%] 函数名[%V12%]

复制代码

PECMD2012有个专门的此法分析命令 ENVI^ arg=

1. ENVI^ arg=*[:sp:,]   _SUB ABC,XXXX
   
2.    //MESS [%1] [%2] [%3] [%4] [%5]@DEBUG
   
3. FIND $[ %1=_SUB & '%3'<>'' ], MESS 函数名[%3]
   

复制代码

-------------------
你说的不是PECMD的SED吗？

sp_star

mdyblog 发表于 2015-8-15 11:37
用SED挺啰嗦的
ENVI Dou=,

不是.....
图片上是source insight, 如果C语言，左侧会显示所有的函数列表。但是PECMD的函数它不认识啊，需要用正则表达是提取。和PECMD没直接关系。
比如，我现在写的是^\(_SUB.*\)\w+， 所有函数都显示成了_SUB.

_SUB windows1, .....    应该显示成windows1
_SUB func    应该显示成func
标志就是以_SUB开头，好要考虑空格什么的。

sp_star

mdyblog 发表于 2015-8-15 11:37
用SED挺啰嗦的
ENVI Dou=,

比如规则是：
{0或多个空格}_SUB{1或多个空格}showname{逗号或0或多个空格}{任意字符}
要提取showname这个字符串，如何写正则表达式？

mdyblog

sp_star 发表于 2015-8-15 11:51
不是.....
图片上是source insight, 如果C语言，左侧会显示所有的函数列表。但是PECMD的函数它不认识啊 ...

^[ \t]*_SUB[ \t]+\(\[^ \t,]+\)[, \t]*
试试

另外，
找BASIC pasic的模板看看，就知道了。

sp_star

mdyblog 发表于 2015-8-15 12:39
^[ \t]*_SUB[ \t]+\(\[^ \t,]+\)[, \t]*
试试

多谢，不知道si要求是不是有点特殊，你给的提示格式不对。连蒙带猜，最后用了^\s*_SUB\s+\(.*\)
就是把窗口的参数全提取出了。效果不算理想，但也不错了，能点击函数名跳转。

mdyblog

sp_star 发表于 2015-8-15 13:30
多谢，不知道si要求是不是有点特殊，你给的提示格式不对。连蒙带猜，最后用了^\s*_SUB\s+\(.*\)
就是把 ...

试试
^\s*_SUB\s+\(\w+\)
^\s*_SUB\s+\(\w\)

^\s*_SUB\s+\([^ \t]+\)
^\s*_SUB\s+\([^ \t][^ \t]*\)

^\s*_SUB\s+\([^, \t]+\)
^\s*_SUB\s+\([^, \t][^, \t]*\)

这个没有标准的。 各个组织都是自己定义的。

sp_star

mdyblog 发表于 2015-8-15 13:34
试试
^\s*_SUB\s+\(\w+\)
^\s*_SUB\s+\(\w\)

M大果然厉害。后面4个都行。
^\s*_SUB\s+\([^ \t]+\)
^\s*_SUB\s+\([^ \t][^ \t]*\)
依赖空格来提取， 有时也会提取窗口的参数。

^\s*_SUB\s+\([^, \t]+\)
^\s*_SUB\s+\([^, \t][^, \t]*\)
可以用,或空格来提取。不会提取窗口的参数。

如果连窗口参数一起提取，看起来比较怪，但一眼就能分清是窗口还是函数。呵呵。

mdyblog

sp_star 发表于 2015-8-15 14:08
M大果然厉害。后面4个都行。
^\s*_SUB\s+\([^ \t]+\)
^\s*_SUB\s+\([^ \t][^ \t]*\)

^\s*_SUB\s+\([^, \t]+\s*[,]*\)

这样估计能区分 函数和窗口
窗口 后面有个逗号

sp_star

mdyblog 发表于 2015-8-15 14:37
^\s*_SUB\s+\([^, \t]+\s*[,]\)

这样估计能区分 函数和窗口

这个窗口后面有个逗号，但是不显示函数了。
不过之前的已经很好了，最重要的是可以跳转。窗口，函数能不能区分不重要。

mdyblog

sp_star 发表于 2015-8-15 14:56
这个窗口后面有个逗号，但是不显示函数了。
不过之前的已经很好了，最重要的是可以跳转。窗口，函数能不 ...

哦，掉了个*
^\s*_SUB\s+\([^, \t]+\s*[,]*\)

sp_star

mdyblog 发表于 2015-8-15 15:10
哦，掉了个*
^\s*_SUB\s+\([^, \t]+\s*[,]*\)

这个好了。

邪恶海盗

我X,真热闹啊,我就看看,不说话...

mdyblog

真是没天理。这句竟然报了。
冰岛 的什么破 F-Prot AntiVirus！！！！！！！！！！！

                if(p && IsSubWin(tp))//WIN
                        return CallWin(ptzCmd,win,p,RealTp(tp));






---------------------
有三个启发引擎，最新的那个Eldorado，还有两个Maximus，GSA，如果是启发发现的，病毒名字后面就是叹号+启发引擎的名字，如W32/NewMalware-Rootkit-I-based!Maximus，W32/Heuristic-114!Eldorado，W32/OnlineGames.F.gen!GSA等等，最新的那个是Eldorado，去年底才加上的，应该是威力最猛的。


什么 垃圾 Eldorado 引擎！！！！！！！！

freesoft00

看它报的有process字样，是不是进程相关的操作或者代码被它误报的

mdyblog

freesoft00 发表于 2015-8-16 09:40
看它报的有process字样，是不是进程相关的操作或者代码被它误报的

去掉上面 这句， 就不报。

上面源码这句， 显然不是 进程操作。只是“调用”一个用户函数。没有任何系统调用（进程操作、文件操作。。。）
被调用 用户函数 本身 也是 不被报的。
去掉上面 这句， 被调用 用户函数 依然在， 其他的地方 也会调用的。

就是新的 Eldorado 引擎  太 垃圾 了！！！！！！！！！！
其他几家公司的都不报。 就这家垃圾！！！！！！！！！！！！！！！！

hhh333

想用示例代码ORDDISK.WCS理顺盘符，但将我的移动硬盘的盘符整没了。麻烦看一下是怎么回事？

mdyblog

hhh333 发表于 2015-8-16 20:00
想用示例代码ORDDISK.WCS理顺盘符，但将我的移动硬盘的盘符整没了。麻烦看一下是怎么回事？

直接DISK命令就可以了。现在的DISK很强大了。
ORDDISK.WCS 是定制参考。
你把LOGS穿上来看看，就知道了。

hhh333

mdyblog 发表于 2015-8-16 20:17
直接DISK命令就可以了。现在的DISK很强大了。
ORDDISK.WCS 是定制参考。
你把LOGS穿上来看看，就知道 ...

用这个代码将我的盘符彻底整残了。

hhh333

mdyblog 发表于 2015-8-16 20:17
直接DISK命令就可以了。现在的DISK很强大了。
ORDDISK.WCS 是定制参考。
你把LOGS穿上来看看，就知道 ...

哦，看了一下说明，直接用DISK  ,,,1就OK了，我测试一下。PECMD功能太强了，感觉对它的依赖越来越大了。

mdyblog

hhh333 发表于 2015-8-16 20:47
哦，看了一下说明，直接用DISK  ,,,1就OK了，我测试一下。PECMD功能太强了，感觉对它的依赖越来越大了。

DISK  -check  ,,,1,U:

则普通硬盘，ＵＳＢ盘都整理了， USB从U:开始。

U盘还可以倒着排
DISK  -check  ,,,1,ZVUTSR

mdyblog

hhh333 发表于 2015-8-16 20:00
想用示例代码ORDDISK.WCS理顺盘符，但将我的移动硬盘的盘符整没了。麻烦看一下是怎么回事？

麻烦测试下最新版本：
ORDERUSB测试.7z (1.29 MB, 下载次数: 2)

2015-8-16 21:27 上传

点击文件名下载附件

hhh333

mdyblog 发表于 2015-8-16 21:27
麻烦测试下最新版本：

进系统后运行了一下，硬盘两个隐藏区、移动硬盘的两个逻辑区整没了。 ORDERUSB.7z (1.38 KB, 下载次数: 2)

2015-8-16 21:53 上传

点击文件名下载附件

我还是换回以前的那个，感觉理顺盘符应该有如下原则：
1、只对分配了盘符的盘进行排序；
2、应该要设定一个排序逻辑：
　　盘类型顺序：固态硬盘、硬盘、移动硬盘、U盘及各种卡
　　某个盘分区顺序：直接按物理顺序排列
3、可以指定U盘从某个盘符以后分配，也可以不指定按顺序排。移动硬盘盘符较多指定没多大意义，因此这一条只对U盘使用。

mdyblog

hhh333 发表于 2015-8-16 21:53
进系统后运行了一下，硬盘两个隐藏区、移动硬盘的两个逻辑区整没了。

我还是换回以前的那个，感觉 ...

分析LOG的结果：
1）本来普通硬盘盘符 C:D:E: K: L:。
    U盘： G: H: I: J
2）最后分配U盘符时失败：
[SHOW *U:0,,,U:]        <2147942487>        :参数错误。

我这里测试 是成功的：
[SHOW *U:0,,,U:]        <0>        :操作成功完成。

2）说明， 你用的PECMD.EXE 可能不是我附件里的PECMD.EXE
测试：
命令行下：
.\PECMD.EXE LOAD  测试.wcs
做成
测试.CMD
好点：
ORDERUSB测试.7z (1.29 MB, 下载次数: 1)

2015-8-16 23:32 上传

点击文件名下载附件

双击 测试.CMD 就可以测试了。

mdyblog

hhh333 发表于 2015-8-16 21:53
进系统后运行了一下，硬盘两个隐藏区、移动硬盘的两个逻辑区整没了。

我还是换回以前的那个，感觉 ...

你说的方案，有点复杂。
不适合PECMD内部实现（会把本来就机器复杂的程序搞乱的）。

你可以修改 ORDERUSB.WCS 来实现。


还有， 目前  window下  固态硬盘、硬盘 区分不出来。移动硬盘 也不能真正区分。 一般强行理解为USB连接的硬盘， 来区分的。

固态硬盘 不知道 【分区管理】中能不能体现出来。

hhh333

mdyblog 发表于 2015-8-16 23:28
分析LOG的结果：
1）本来普通硬盘盘符 C:D:E: K: L:。
    U盘： G: H: I: J

我是在Win10PE中测试的，可能有出入。原来那个整理硬盘有两个隐藏主分区整没了，其他的盘正常，但其他的系统中正常。

已知Win10中进桌面后，TEXT也有点不正常，有时出两行字。
还有PINT功能也不正常，不能直接指向程序，要先建立快捷方式，再把这个快捷方式P上去。
还有WALL功能也不正常，一般要两次才能换过来。

mdyblog

hhh333 发表于 2015-8-16 23:45
我是在Win10PE中测试的，可能有出入。原来那个整理硬盘有两个隐藏主分区整没了，其他的盘正常，但其他的 ...

TEXT也有点不正常，有时出两行字。
是最近的版本吗？
老版，在多进程（主要是CMD脚本中调用产生的）下， win8以上， 会同时有多个TEXT显示。

hhh333

mdyblog 发表于 2015-8-16 23:48
TEXT也有点不正常，有时出两行字。
是最近的版本吗？
老版，在多进程（主要是CMD脚本中调用产生的） ...

是最新的版本，关键是有的是顶格的，有的是空两行的，造成出现两行字。

mdyblog

hhh333 发表于 2015-8-16 23:45
我是在Win10PE中测试的，可能有出入。原来那个整理硬盘有两个隐藏主分区整没了，其他的盘正常，但其他 ...

原来那个整理硬盘有两个隐藏主分区整没了
--------------
这个是正常的。 这个脚本默认 是 不显示 隐藏主分区。
  TEAM  SHOW *F:0 | SHOW *U:0,,,%&U0%: //USB 从U:开始
  //TEAM  SHOW *F:-1 | SHOW *U:-1,,,U //USB 从U:开始. 这个隐藏分区也加载

改成
  //TEAM  SHOW *F:0 | SHOW *U:0,,,%&U0%: //USB 从U:开始
  TEAM  SHOW *F:-1 | SHOW *U:-1,,,U //USB 从U:开始. 这个隐藏分区也加载
就能显示。