[更新376#2825]PECMD2012.1.80.13_Win32_64.多窗口多线程.裸机系统2.3.3.1+18M酷M...

datbik189 · 发表于 2019-9-26 10:37:08

红毛樱木发表于 2019-9-24 11:16
暂时也只有这样了，写了个函数转成Reg

问题解决了,数值使用16进制表达.

envi^ envimode=1
set-raw &V=%systemroot%\test\001
getf -bin &V,0#*,&V
regi --t:2 --16 hklm\software\test\test=%&V%
exec regedit

红毛樱木 · 发表于 2019-9-26 12:04:41

datbik189 发表于 2019-9-26 10:37
问题解决了,数值使用16进制表达.

envi^ envimode=1

这个6，还用了getf，那个--t的也总算知道怎么用的了。

红毛樱木 · 发表于 2019-9-26 13:35:58

datbik189 发表于 2019-9-26 10:37
问题解决了,数值使用16进制表达.

envi^ envimode=1

regi --t:2 --16 hklm\software\test\test=%&V%
可以
regi --t:2 hklm\software\test\test=%&V%
说明书上写的--16要配合@#数据为16进制

datbik189 · 发表于 2019-9-26 14:54:24

红毛樱木发表于 2019-9-26 13:35
regi --t:2 --16 hklm\software\test\test=%&V%
可以
regi --t:2 hklm\software\test\test=%&V%

底下的代码,不能正确赋值,其值为空

envi^ envimode=1
set-raw &V=%systemroot%\test\001
regi --t:2 hklm\software\test\test=%&V%
exec regedit

红毛樱木 · 发表于 2019-9-26 17:54:56

datbik189 发表于 2019-9-26 14:54
底下的代码,不能正确赋值,其值为空

envi^ envimode=1

envi^ envimode=1
set-raw &V=%systemroot%\test\001
getf -bin &V,0#*,&V
regi --t:2 hklm\software\test\test=%&V%

你漏掉了转16进制。
你用的GETF，我自己用CODE习惯一些。

datbik189 · 发表于 2019-9-26 18:35:14

红毛樱木发表于 2019-9-26 17:54
envi^ envimode=1
set-raw &V=%systemroot%\test\001
getf -bin &V,0#*,&V

哦，我原先以为你的意思是不用转16进制，直接可以赋值。

顺便请教下，如何建立空键值，只会删除。比如hklm\software\test\test其值如何设定成空（一个0x00都没有，长度为0）

红毛樱木 · 发表于 2019-9-26 18:41:22

datbik189 发表于 2019-9-26 18:35
哦，我原先以为你的意思是不用转16进制，直接可以赋值。

顺便请教下，如何建立空键值，只会删除。比如 ...

真没注意过，你要的是什么类型的？

datbik189 · 发表于 2019-9-26 18:46:26

红毛樱木发表于 2019-9-26 18:41
真没注意过，你要的是什么类型的？

全部类型的写法。

好像有点钻牛角尖，需要废时间研究就算了。用命令regi --t:2 hklm\software\test\test=，只能删除键

红毛樱木 · 发表于 2019-9-26 18:48:55

datbik189 发表于 2019-9-26 18:46
全部类型的写法。

好像有点钻牛角尖，需要废时间研究就算了。用命令regi --t:2 hklm\software\test\te ...

这么变态？晚点试试，在吃饭

红毛樱木 · 发表于 2019-9-26 18:54:13

regi .hklm\software\test\test=

试下呢？

datbik189 · 发表于 2019-9-26 19:41:44

红毛樱木发表于 2019-9-26 18:54
regi .hklm\software\test\test=

试下呢？

结果是删除键。

regi hklm\software\test\test=@,可以得到长度为0的reg_binary空值。

空键值貌似也没什么用，不玩了。

datbik189 · 发表于 2019-9-26 20:05:57

红毛樱木发表于 2019-9-26 18:54
regi .hklm\software\test\test=

试下呢？

建立空键值的命令是:
regi --t:2 hklm\software\test\test=""

红毛樱木 · 发表于 2019-9-26 20:20:05

datbik189 发表于 2019-9-26 20:05
建立空键值的命令是:
regi --t:2 hklm\software\test\test=""

特殊需求

mdyblog · 发表于 2019-10-15 02:21:02

本帖最后由 mdyblog 于 2019-10-16 04:08 编辑

论文：球壳内光速和真空光速不唯一性
请求各位转发分享（到朋友圈、博客、论坛等等）。

红毛樱木 · 发表于 2019-10-16 01:20:21

请教，有没有类似GETF -find的功能，直接查找变量中的数据？
比如：
GETF -find本来是查找大文件的，现在直接把大文件读到变量里，然后在变量里GETF -find

mdyblog · 发表于 2019-10-16 02:17:13

红毛樱木发表于 2019-10-16 01:20
请教，有没有类似GETF -find的功能，直接查找变量中的数据？
比如：
GETF -find本来是查找大文件的，现在 ...

可以
■文件名称: -bin 或 &开头则为PE变量

红毛樱木 · 发表于 2019-10-16 08:07:36

mdyblog 发表于 2019-10-16 02:17
可以
■文件名称: -bin 或 &开头则为PE变量

感谢，我自己多此一举了。
把GETF -find里的<大文件名称>用"*&"了。。。。多了一个*

红毛樱木 · 发表于 2019-10-16 10:37:07

mdyblog 发表于 2019-10-16 02:17
可以
■文件名称: -bin 或 &开头则为PE变量

文件、内存模式对比测试.7z (91.15 KB, 下载次数: 2)

测试结果，内存模式反而慢？

mdyblog · 发表于 2019-10-16 15:20:33

红毛樱木发表于 2019-10-16 10:37
测试结果，内存模式反而慢？

先把文件全部读到内存，再在内存中处理。

这样会慢的。
等读完文件，在处理，有个等待时间。
原来，不用长长等待。

一般不用折磨做的。系统自己会用内资缓冲的。
只有一个文件，反复操作，才需要人为缓冲。

红毛樱木 · 发表于 2019-10-16 15:29:44

mdyblog 发表于 2019-10-16 15:20
先把文件全部读到内存，再在内存中处理。

这样会慢的。

哦哦。
以为内存中可以提速呢，希望破灭

红毛樱木 · 发表于 2019-10-16 16:10:33

mdyblog 发表于 2019-10-16 15:20
先把文件全部读到内存，再在内存中处理。

这样会慢的。

等读完文件，在处理，有个等待时间。

-------------------------------------------
演示代码就是先读完的，后面的时间对比，是读完之后的对比。

datbik189 · 发表于 2019-10-16 16:54:18

红毛樱木发表于 2019-10-16 16:10
等读完文件，在处理，有个等待时间。

-------------------------------------------

以前测试过diskpart的脚本,
效率最高的读文件办法是: TEAM GETF# 123.txt,1024*1024,&V|Code **-ANSI,&V,**-UNI,&V
尽量避免处理大体积的PE变量,感觉很慢.

红毛樱木 · 发表于 2019-10-16 17:23:13

datbik189 发表于 2019-10-16 16:54
以前测试过diskpart的脚本,
效率最高的读文件办法是: TEAM GETF# 123.txt,1024*1024,&V|Code **-ANSI, ...

不太清楚内部机制。
不过我是一次性读完到变量，后面再GETF -find成千上万次，按照逻辑上我想应该会更快才对。

mdyblog · 发表于 2019-10-18 21:57:29

本帖最后由 mdyblog 于 2019-10-18 22:08 编辑

红毛樱木发表于 2019-10-16 17:23
不太清楚内部机制。
不过我是一次性读完到变量，后面再GETF -find成千上万次，按照逻辑上我想应该会更快 ...

只要系统内存足够。

不人为缓冲，系统自动缓冲。后面的操作实际也是直接从内存读取的，不从硬盘。

人为缓冲，则，即使内存吃紧，也先满足本应用要求，其它的可先让出内存。

红毛樱木 · 发表于 2019-10-18 22:48:20

mdyblog 发表于 2019-10-18 21:57
只要系统内存足够。

不人为缓冲，系统自动缓冲。后面的操作实际也是直接从内存读取的，不从硬盘 ...

哦，哦。
m大，上面我发的那个示例代码，没办法提速了么？

mdyblog · 发表于 2019-10-19 21:58:18

红毛樱木发表于 2019-10-18 22:48
哦，哦。
m大，上面我发的那个示例代码，没办法提速了么？

我看看吧。

slore · 发表于 2019-10-19 22:22:04

本帖最后由 slore 于 2019-10-19 22:23 编辑

SHEL命令可否按用户会话来区分。现在如果多用户登录(Administrator, SYSTEM独立用户会话)，
第一个用SHEL命令可以，
另一个会话的SHEL就不起作用了。

-sys和 -user 组合了也没成功。

目前用EXEC代替吧，没有进程监护和关机函数钩子。

红毛樱木 · 发表于 2019-10-20 01:13:49

slore 发表于 2019-10-19 22:22
SHEL命令可否按用户会话来区分。现在如果多用户登录(Administrator, SYSTEM独立用户会话)，
第一个用SHE ...

切换前LOAD SU.IN，切换后LOAD ADMIN.INI
在SU.INI里先杀一次进程
TEAM KILL -explorer explorer.exe| KILL -explorer explorer.exe
然后在ADMIN.INI里
延时等待explorer.exe进程出现，再判断是PECMD.EXE MAIN加载的explorer.exe进程再杀一次，好像这样就行了。

slore · 发表于 2019-10-20 07:16:03

红毛樱木发表于 2019-10-20 01:13
切换前LOAD SU.IN，切换后LOAD ADMIN.INI
在SU.INI里先杀一次进程
TEAM KILL -explorer explorer.exe| ...

我知道现在的用户切换脚本是这样。我的PE是Admin和SYSTEM用户独立，各自是自己的用户会话，切换时，原本打开的程序，窗口都保留，不应该kill的。不然切换回来，还得重启explorer.exe。

你正常系统，用户1和用户2切换，都是各用户独自的explorer.exe。
PE的话，想要监护，和开始菜单关机有效需要用SHEL命令，但是现在好像是全机器的进程检查，不是按用户会话检查。

红毛樱木 · 发表于 2019-10-20 10:00:16

slore 发表于 2019-10-20 07:16
我知道现在的用户切换脚本是这样。我的PE是Admin和SYSTEM用户独立，各自是自己的用户会话，切换时，原本 ...

后台开个进程监控explorer.exe进程，
监控当前用户是否运行了explorer.exe进程，如果没有就exe --hook explorer.exe

不知道这样能不能满足你的需求

		自动登录	找回密码
密码			注册

[更新376#2825]PECMD2012.1.80.13_Win32_64.多窗口多线程.裸机系统2.3.3.1+18M酷M...

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评