[更新376#2825]PECMD2012.1.80.13_Win32_64.多窗口多线程.裸机系统2.3.3.1+18M酷M...

snoopy · 发表于 2015-8-14 08:45:26

老版本无需任何设置就自动激活了

snoopy · 发表于 2015-8-14 08:55:57

谢谢了，新版本需PECMD RAMD Imdisk* -inst才能激活

mdyblog · 发表于 2015-8-14 08:57:28

本帖最后由 mdyblog 于 2015-8-14 08:59 编辑

snoopy 发表于 2015-8-14 08:45
老版本无需任何设置就自动激活了

都需要激活。不会无缘无故地激活的。
老版本激活条件宽松些。

对老版本查询命令也会激活。后来在sp_star建议下，不激活。优化了下，查询就不激活（都没激活，还查个啥!）
并增加了专门的激活命令： -inst

mdyblog · 发表于 2015-8-14 09:13:21

太没天理了，仅仅用了VC的标准数学库，就被报了。

sp_star · 发表于 2015-8-14 10:55:33

mdyblog 发表于 2015-8-14 09:13
太没天理了，仅仅用了VC的标准数学库，就被报了。

报毒的事，我觉得就没必要折腾了。杀毒软件这么多，有不少也是瞎报，为了显得自己能干，先报了再说。

mdyblog · 发表于 2015-8-14 12:01:47

sp_star 发表于 2015-8-14 10:55
报毒的事，我觉得就没必要折腾了。杀毒软件这么多，有不少也是瞎报，为了显得自己能干，先报了再说。

也是。

mdyblog · 发表于 2015-8-14 13:26:31

本帖最后由 mdyblog 于 2015-8-14 13:28 编辑

经本人严格的推导，1）质能联系方程毫无意义。2）这个m其实根本不是我们说的质量。

第九、质能联系方程E=mc^^2毫无意义

由于m和E是同一个物理量的不同表达而已。所以再谈质能联系方程就毫无意义了。
就像我们不能在理论物理学建立什么马赫数vm和速度v1的联系方程，公斤数和斤数或克数的联系方程，否则会贻笑天下。

v1 = vm*340 （1马赫=240米/秒）
千克数=吨数 * 1000 (吨=1000kg)
这不能作为理论物理学的什么联系方程。

这么好的东西，不知道到哪儿去发表。我发现在国内这是一个封闭的体系。非体系内的人，如果没有体系内的人的引荐，根本无法进去的。

chxm1023 · 发表于 2015-8-14 15:19:24

mdyblog 发表于 2015-8-13 06:47
不是用WIM来卸载
用挂载点来卸载。看看说明书。

感谢M大解答。在请教下M大，如何用PECMD删除任务栏的程序。

PINT %CurDir%\系统工具\RegWorkshop\RegWorkshop.exe,TaskBand

请问M大如何删除？

chxm1023 · 发表于 2015-8-14 15:21:29

mdyblog 发表于 2015-8-13 06:47
不是用WIM来卸载
用挂载点来卸载。看看说明书。

已解决~PINT %CurDir%\系统工具\RegWorkshop\RegWorkshop.exe,-TaskBand

阿弥陀佛 · 发表于 2015-8-14 17:17:30

mdyblog 发表于 2015-8-14 13:26
经本人严格的推导，1）质能联系方程毫无意义。2）这个m其实根本不是我们说的质量。

m大研究这个太高深了吧。。

再来请教一下
1、PECMD分配盘符用disk和show命令的结果有什么不一样吗？
2、有没有办法通过磁盘号和分区号得到VolumeName，（用mountvol.exe可获取到，再通过查询盘符可以找到对应磁盘和分区，但需要先分配盘符才知道是哪个；查询注册表HKLM\SYSTEM\MountedDevices分析\DosDevices也可以，但还是要先分配一个盘符）

mdyblog · 发表于 2015-8-14 18:09:21

本帖最后由 mdyblog 于 2015-8-14 18:29 编辑

阿弥陀佛发表于 2015-8-14 17:17
m大研究这个太高深了吧。。

必须分配盘符，后才能确保有VolumeName.
否则，可能有，也可能没有。可以临时分配一个盘符。
获取盘符或分区对应的Volume.wcs：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29

30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50

#code=936
IFEX X.LOG, LOGS * X.LOG

//直接获取盘符对应的Volume
_SUB GetVol  //盘符:  Var
SET$ &Buf=*1000 0
SET &DPATH=%1
CALL $--qd Kernel32.dll,GetVolumeNameForVolumeMountPointW,$%DPATH%\,*Buf,#1000
ENVI-ret %2=%&Buf%
_END

//获取盘符或分区对应的Volume
_SUB GetPtVol  // Drv hd pt  VarVolume  [VarDrv]
ENVI-ret %4=
ENVI-ret %5=
SET &Drv=%~1
SET &hd=%~2
SET &pt=%~3
SET &DrvN=
@TEAM SET &_phy=| SET &SP=
FIND $%&Drv%=,
{*
CALC -err=-1 &hd=(%&hd%)
IFEX $%&hd%<0, EXIT
LSTR &&pt1=1,%&pt%
FIND $%&pt1%=#, SET &_phy=-phy! FIND $%&pt1%<>:, SET SP=:
PART %&_phy% list part %&hd%%&SP%%&pt%,&&V
MSTR &&drv=<8>%&V%
@FIND $%&Drv%=, @TEAM FDRV *idle *rsort &&Drvs=*:| MSTR &&Drv=<1>%&Drvs%| SET &DrvN=Tmp| SHOW * %&hd%%&SP%%&pt%, %&DRV%
}
FIND $%&Drv%=, EXIT
SET$ &Buf=*1000 0
CALL $--qd Kernel32.dll,GetVolumeNameForVolumeMountPointW,$%&Drv%\,*Buf,#1000
FIND $%&DrvN%<>,  SUBJ *- %&DRV%
ENVI-ret %4=%&Buf%
ENVI-ret %5=%&Drv% %&DrvN%
_END

GetVol C: Volu
MESS C: [%Volu%]

GetPtVol "C:" "" "" Volu1  Drv
MESS C:\ [%Volu1%]

GetPtVol ""  0 :1 Volu2  Drv  //逻辑号
MESS 0:1 [%Volu2%] [%Drv%]

GetPtVol ""  0 #5 Volu3  Drv  //物理号
MESS 0#5 [%Volu3%] [%Drv%]@

获取盘符或分区对应的Volume.zip (797 Bytes, 下载次数: 5)

mdyblog · 发表于 2015-8-14 18:15:46

阿弥陀佛发表于 2015-8-14 17:17
m大研究这个太高深了吧。。

1、PECMD分配盘符用disk和show命令的结果有什么不一样吗？
SHOW 不改变原有的盘符，只做加法。

disk 按照指定的算法，完全重新排列。一般PE启动最开始才需要。否则系统乱套了。

阿弥陀佛 · 发表于 2015-8-14 18:50:31

mdyblog 发表于 2015-8-14 18:09
必须分配盘符，后才能确保有VolumeName.
否则，可能有，也可能没有。可以临时分配一个盘符。
获取盘 ...

明白了。多谢指教。

阿弥陀佛 · 发表于 2015-8-14 18:51:46

mdyblog 发表于 2015-8-14 18:15
1、PECMD分配盘符用disk和show命令的结果有什么不一样吗？
SHOW 不改变原有的盘符，只做加法。

原来是这样。记得之前一直用show，有时候就会出现一个分区有多个盘符，我把系统原来的删除了，以后重启系统就没有自动分配了。

sp_star · 发表于 2015-8-15 10:55:22

看看这个编辑器怎么样？另外，请教如何用正则表达式提取函数名？

mdyblog · 发表于 2015-8-15 11:37:18

本帖最后由 mdyblog 于 2015-8-15 11:38 编辑

sp_star 发表于 2015-8-15 10:55
看看这个编辑器怎么样？另外，请教如何用正则表达式提取函数名？

用SED挺啰嗦的
ENVI Dou=,

SED V1=1,{[ \t]*_SUB[ \t][ \t]*}{[^%Dou% \t]*}{.*},\001 \002,_SUB AAA,xxxXXX
MSTR V11,V12=<1*>%V1%
FIND $%V11%<>_SUB, ENVI V12=
MESS 头部[%V1%] 函数名[%V12%]

复制代码

PECMD2012有个专门的此法分析命令 ENVI^ arg=

ENVI^ arg=*[:sp:,] _SUB ABC,XXXX
//MESS [%1] [%2] [%3] [%4] [%5]@DEBUG
FIND $[ %1=_SUB & '%3'<>'' ], MESS 函数名[%3]

复制代码

-------------------
你说的不是PECMD的SED吗？

sp_star · 发表于 2015-8-15 11:51:36

mdyblog 发表于 2015-8-15 11:37
用SED挺啰嗦的
ENVI Dou=,

不是.....
图片上是source insight, 如果C语言，左侧会显示所有的函数列表。但是PECMD的函数它不认识啊，需要用正则表达是提取。和PECMD没直接关系。
比如，我现在写的是^$_SUB.*$\w+，所有函数都显示成了_SUB.

_SUB windows1, ..... 应该显示成windows1
_SUB func 应该显示成func
标志就是以_SUB开头，好要考虑空格什么的。

sp_star · 发表于 2015-8-15 11:56:06

mdyblog 发表于 2015-8-15 11:37
用SED挺啰嗦的
ENVI Dou=,

比如规则是：
{0或多个空格}_SUB{1或多个空格}showname{逗号或0或多个空格}{任意字符}
要提取showname这个字符串，如何写正则表达式？

mdyblog · 发表于 2015-8-15 12:39:04

本帖最后由 mdyblog 于 2015-8-15 12:42 编辑

sp_star 发表于 2015-8-15 11:51
不是.....
图片上是source insight, 如果C语言，左侧会显示所有的函数列表。但是PECMD的函数它不认识啊 ...

^[ \t]*_SUB[ \t]+$\[^ \t,]+$[, \t]*
试试

另外，
找BASIC pasic的模板看看，就知道了。

sp_star · 发表于 2015-8-15 13:30:42

mdyblog 发表于 2015-8-15 12:39
^[ \t]*_SUB[ \t]+$\[^ \t,]+$[, \t]*
试试

多谢，不知道si要求是不是有点特殊，你给的提示格式不对。连蒙带猜，最后用了^\s*_SUB\s+$.*$
就是把窗口的参数全提取出了。效果不算理想，但也不错了，能点击函数名跳转。

mdyblog · 发表于 2015-8-15 13:34:39

本帖最后由 mdyblog 于 2015-8-15 13:36 编辑

sp_star 发表于 2015-8-15 13:30
多谢，不知道si要求是不是有点特殊，你给的提示格式不对。连蒙带猜，最后用了^\s*_SUB\s+$.*$
就是把 ...

试试
^\s*_SUB\s+$\w+$
^\s*_SUB\s+$\w$

^\s*_SUB\s+$[^ \t]+$
^\s*_SUB\s+$[^ \t][^ \t]*$

^\s*_SUB\s+$[^, \t]+$
^\s*_SUB\s+$[^, \t][^, \t]*$

这个没有标准的。各个组织都是自己定义的。

sp_star · 发表于 2015-8-15 14:08:11

mdyblog 发表于 2015-8-15 13:34
试试
^\s*_SUB\s+$\w+$
^\s*_SUB\s+$\w$

M大果然厉害。后面4个都行。
^\s*_SUB\s+$[^ \t]+$
^\s*_SUB\s+$[^ \t][^ \t]*$
依赖空格来提取，有时也会提取窗口的参数。

^\s*_SUB\s+$[^, \t]+$
^\s*_SUB\s+$[^, \t][^, \t]*$
可以用,或空格来提取。不会提取窗口的参数。

如果连窗口参数一起提取，看起来比较怪，但一眼就能分清是窗口还是函数。呵呵。

mdyblog · 发表于 2015-8-15 14:37:05

本帖最后由 mdyblog 于 2015-8-15 15:11 编辑

sp_star 发表于 2015-8-15 14:08
M大果然厉害。后面4个都行。
^\s*_SUB\s+$[^ \t]+$
^\s*_SUB\s+$[^ \t][^ \t]*$

^\s*_SUB\s+$[^, \t]+\s*[,]*$

这样估计能区分函数和窗口
窗口后面有个逗号

sp_star · 发表于 2015-8-15 14:56:38

mdyblog 发表于 2015-8-15 14:37
^\s*_SUB\s+$[^, \t]+\s*[,]$

这样估计能区分函数和窗口

这个窗口后面有个逗号，但是不显示函数了。
不过之前的已经很好了，最重要的是可以跳转。窗口，函数能不能区分不重要。

mdyblog · 发表于 2015-8-15 15:10:49

sp_star 发表于 2015-8-15 14:56
这个窗口后面有个逗号，但是不显示函数了。
不过之前的已经很好了，最重要的是可以跳转。窗口，函数能不 ...

哦，掉了个*
^\s*_SUB\s+$[^, \t]+\s*[,]*$

sp_star · 发表于 2015-8-15 15:17:01

mdyblog 发表于 2015-8-15 15:10
哦，掉了个*
^\s*_SUB\s+$[^, \t]+\s*[,]*$

这个好了。

邪恶海盗 · 发表于 2015-8-15 15:18:15

我X,真热闹啊,我就看看,不说话...

mdyblog · 发表于 2015-8-16 08:53:00

本帖最后由 mdyblog 于 2015-8-16 09:06 编辑

真是没天理。这句竟然报了。
冰岛的什么破 F-Prot AntiVirus！！！！！！！！！！！

if(p && IsSubWin(tp))//WIN
return CallWin(ptzCmd,win,p,RealTp(tp));

---------------------
有三个启发引擎，最新的那个Eldorado，还有两个Maximus，GSA，如果是启发发现的，病毒名字后面就是叹号+启发引擎的名字，如W32/NewMalware-Rootkit-I-based!Maximus，W32/Heuristic-114!Eldorado，W32/OnlineGames.F.gen!GSA等等，最新的那个是Eldorado，去年底才加上的，应该是威力最猛的。

什么垃圾 Eldorado 引擎！！！！！！！！

freesoft00 · 发表于 2015-8-16 09:40:37

看它报的有process字样，是不是进程相关的操作或者代码被它误报的

mdyblog · 发表于 2015-8-16 09:50:53

本帖最后由 mdyblog 于 2015-8-16 09:53 编辑

freesoft00 发表于 2015-8-16 09:40
看它报的有process字样，是不是进程相关的操作或者代码被它误报的

去掉上面这句，就不报。

上面源码这句，显然不是进程操作。只是“调用”一个用户函数。没有任何系统调用（进程操作、文件操作。。。）
被调用用户函数本身也是不被报的。
去掉上面这句，被调用用户函数依然在，其他的地方也会调用的。

就是新的 Eldorado 引擎太垃圾了！！！！！！！！！！
其他几家公司的都不报。就这家垃圾！！！！！！！！！！！！！！！！

		自动登录	找回密码
密码			注册

[更新376#2825]PECMD2012.1.80.13_Win32_64.多窗口多线程.裸机系统2.3.3.1+18M酷M...

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评