[更新376#2825]PECMD2012.1.80.13_Win32_64.多窗口多线程.裸机系统2.3.3.1+18M酷M...

527104427 · 发表于 2020-3-31 09:29:56

mdyblog 发表于 2020-3-31 01:06
ENVI &::CB_SETCURSEL=0x014E
ENVI &::CBN_SELENDOK=0x0009
ENVI &::CBN_EDITCHANGE=0x0005 //消息编辑 ...

多谢老大，完美！

hhh333 · 发表于 2020-3-31 11:15:07

WAIGO 发表于 2020-3-31 00:30
2.0.10 版的 IMDISK 文件齐全没有问题，路径正确也可以肯定。但是注册表就不知道要修改哪里，什盼告知。 ...

完整的注册表如下：
1、AWEAlloc的注册

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\PE-sys\ControlSet001\Services\AWEAlloc]
"Description"="Driver for physical memory allocation through AWE"
"DisplayName"="AWE Memory Allocation Driver"
"ErrorControl"=dword:00000000
"ImagePath"=hex(2):5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,\
  00,49,00,56,00,45,00,52,00,53,00,5c,00,61,00,77,00,65,00,61,00,6c,00,6c,00,\
  6f,00,63,00,2e,00,73,00,79,00,73,00,00,00
"Start"=dword:00000003
"Type"=dword:00000001

2、NT6的IMDISK注册

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\PE-sys\ControlSet001\Services\ImDisk]
"Description"="磁盘仿真驱动器"
"DisplayName"="ImDisk 虚拟磁盘驱动器"
"ErrorControl"=dword:00000000
"ImagePath"=hex(2):5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,\
  00,49,00,56,00,45,00,52,00,53,00,5c,00,69,00,6d,00,64,00,69,00,73,00,6b,00,\
  2e,00,73,00,79,00,73,00,00,00
"Start"=dword:00000002
"Type"=dword:00000001

[HKEY_LOCAL_MACHINE\PE-sys\ControlSet001\Services\ImDskSvc]
"Description"="ImDisk 虚拟磁盘驱动器的帮助服务。"
"DisplayName"="ImDisk 虚拟磁盘驱动器帮助"
"ErrorControl"=dword:00000000
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,69,\
  00,6d,00,64,00,73,00,6b,00,73,00,76,00,63,00,2e,00,65,00,78,00,65,00,00,00
"ObjectName"="LocalSystem"
"Start"=dword:00000002
"Type"=dword:00000010

3、NT5的IMDISK注册

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\PE-sys\ControlSet001\Enum\Root\LEGACY_IMDISK]
"NextInstance"=dword:00000001
[HKEY_LOCAL_MACHINE\PE-sys\ControlSet001\Enum\Root\LEGACY_IMDISK\0000]
"Service"="ImDisk"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="ImDisk Virtual Disk Driver"
[HKEY_LOCAL_MACHINE\PE-sys\ControlSet001\Enum\Root\LEGACY_IMDISK\0000\Control]
"*NewlyCreated*"=dword:00000000
"ActiveService"="ImDisk"
[HKEY_LOCAL_MACHINE\PE-sys\ControlSet001\services\ImDisk]
"Type"=dword:00000001
"Start"=dword:00000000
"ErrorControl"=dword:00000000
"ImagePath"="system32\\DRIVERS\\imdisk.sys"
"DisplayName"="ImDisk Virtual Disk Driver"
"Description"="Disk emulation driver"
[HKEY_LOCAL_MACHINE\PE-sys\ControlSet001\services\ImDisk\Enum]
"0"="Root\\LEGACY_IMDISK\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

复制代码

有点小区别。

WAIGO · 发表于 2020-3-31 22:05:06

hhh333 发表于 2020-3-31 11:15
完整的注册表如下：
1、AWEAlloc的注册
Windows Registry Editor Version 5.00

改好了。非常感谢！

WAIGO · 发表于 2020-3-31 22:07:32

mdyblog 发表于 2020-3-31 01:21
很老的PECMD包中有IMD注册表。
从正常系统导一个出来，就可以。

改好了。六天前的私信恳请看一看是否可行。非常感谢！

WAIGO · 发表于 2020-3-31 22:09:07

红毛樱木发表于 2020-3-31 00:46
用不带imdisk版本的pecmd就行了呗

多谢关注！改好了……

527104427 · 发表于 2020-4-1 19:25:10

mdyblog 发表于 2020-3-31 01:21
很老的PECMD包中有IMD注册表。
从正常系统导一个出来，就可以。

报告一个BUG:

※查询父进程号： ENVI ?返回名=PPID,进程号
此命令查不到SysWOW64或system32目录里面运行的进程，始终返回0

mdyblog · 发表于 2020-4-4 09:40:55

527104427 发表于 2020-4-1 19:25
报告一个BUG:

※查询父进程号： ENVI ?返回名=PPID,进程号

SYSTEM32下测测试正常：

红毛樱木 · 发表于 2020-4-4 10:11:26

mdyblog 发表于 2020-4-4 09:40
SYSTEM32下测测试正常：

他的应该是进程是SYSTEM用户权限运行的，所以无法查看。不是BUG

527104427 · 发表于 2020-4-4 10:35:33

mdyblog 发表于 2020-4-4 09:40
SYSTEM32下测测试正常：

再三确认过，确实是system的进程。用find --pid能找到父进程。

老大，sed的问题有空修一下不？
以前的代码:
set  &a=\"abcd"\
sed  &b=0,\\,\\\\,%&a%

现在要加好多反斜杠:
sed  &b=0,\\,\\\\\\\,%&a%

mdyblog · 发表于 2020-4-4 15:30:37

527104427 发表于 2020-4-4 10:35
再三确认过，确实是system的进程。用find --pid能找到父进程。

老大，sed的问题有空修一下不？

https://www.lanzous.com/iazidpg: PECMD_SED.zip

527104427 · 发表于 2020-4-4 15:48:38

mdyblog 发表于 2020-4-4 15:30
https://www.lanzous.com/iazidpg: PECMD_SED.zip

好了

红毛樱木 · 发表于 2020-4-4 22:14:09

M大，
请教下挂载VHD的MOUN-vhd是调用AttachVirtualDisk这个API吗？
如果是的话，加一个挂载ISO的功能吧。
https://msdn.microsoft.com/en-us/library/windows/desktop/dd323692(v=vs.85).aspx

win8及以上系统可以用来直接挂ISO。

红毛樱木 · 发表于 2020-4-5 00:05:03

SET#% &si=(4*7) 0 0 0 *(4*6) 0 //SCROLLINFO 4*7 个字节

示例代码中看到这样一段。
请教，这种创建结构体的具体用法和格式及各部分含义。

红毛樱木 · 发表于 2020-4-5 11:23:47

ENVI^ ENVIMODE=1
SET#% &a=*4 0
ENVI-addr ;&&Len=&&a
MESS. <%&&Len%>

复制代码

单独查询长度查不了，非要和地址一起才可以。

ENVI^ ENVIMODE=1
SET#% &a=*4 0
ENVI-addr &&addr;&&Len=&&a
MESS. <%&&addr%><%&&Len%>

复制代码

mdyblog · 发表于 2020-4-5 16:07:47

本帖最后由 mdyblog 于 2020-4-5 16:16 编辑

红毛樱木发表于 2020-4-5 00:05
SET#% &si=(4*7) 0 0 0 *(4*6) 0

示例代码中看到这样一段。

SET#%
#为字节模式
%为10进制
$为16进制
(4*7) 就是28
(4*7) 就是24

SET#%  &si=28  0 0 0  *24 0
开始4个字节依次为 28  0 0 0
*24 0：
接着 24 个 0

*N 表示后面数值重复N次

mdyblog · 发表于 2020-4-5 16:14:44

红毛樱木发表于 2020-4-5 11:23
单独查询长度查不了，非要和地址一起才可以。

只有长度是可以的。
上面程序返回：
<4>

红毛樱木 · 发表于 2020-4-5 17:17:50

mdyblog 发表于 2020-4-5 16:14
只有长度是可以的。
上面程序返回：

我实际使用，什么都没返回。要两个一起才可以。你试试

mdyblog · 发表于 2020-4-5 19:40:10

本帖最后由 mdyblog 于 2020-4-5 19:47 编辑

红毛樱木发表于 2020-4-5 17:17
我实际使用，什么都没返回。要两个一起才可以。你试试

直接用 SET-addr

ENVI^ ENVIMODE=1
SET#% &a=*4 0
SET-addr ;&&Len=&a
MESS. <%&&Len%>

如果用 ENVI-addr ;&&Len=&&a
前面要用 ENVI^ ForceLocal=1 切换到PE变量模式。

ENVI^ ForceLocal=1
ENVI^ ENVIMODE=1
SET#% &a=*4 0
ENVI-addr ;&&Len=&&a
MESS. <%&&Len%>

---------
同上

红毛樱木 · 发表于 2020-4-5 20:23:19

mdyblog 发表于 2020-4-5 19:40
直接用 SET-addr

ENVI^ ENVIMODE=1

ENVI^ ENVIMODE=1
ENVI#% &a=*4 0
ENVI-addr ;&&Len=&a
MESS. <%&&Len%>

复制代码

ENVI^ ENVIMODE=1
ENVI#% &a=*4 0
ENVI-addr &&add;&&Len=&a
MESS. <%&&add%><%&&Len%>

复制代码

我是这个意思。

mdyblog · 发表于 2020-4-6 08:10:28

红毛樱木发表于 2020-4-5 20:23
我是这个意思。

PE变量的内存操作，直接用SET，不要用 ENVI

ENVI^ ENVIMODE=1
SET#% &a=*4 0
SET-addr ;&&Len=&a
MESS. <%&&Len%>

红毛樱木 · 发表于 2020-4-6 11:06:00

mdyblog 发表于 2020-4-6 08:10
PE变量的内存操作，直接用SET，不要用 ENVI

ENVI^ ENVIMODE=1

HELP里，基本上都是ENVI来演示的。这样的话，好绕好晕。

红毛樱木 · 发表于 2020-4-6 14:47:21

本帖最后由红毛樱木于 2020-4-6 15:25 编辑

mdyblog 发表于 2020-4-6 08:10
PE变量的内存操作，直接用SET，不要用 ENVI

ENVI^ ENVIMODE=1

MOUN-udm -udmid:pt#2 -ret:&MounRet -opt: -S 512 \\.\PhysicalDrive6 Z:

复制代码

这中间用-opt:无效，反而会造成挂载失败。
主要是碰到磁盘是4096扇区的时候要指定一下-S 4096，遇到这种情况测试无效了。（现在的MOUN-udm -udmid:无法自动判断4096扇区磁盘，而用MOUN-udm -udm- -u+ -mall -mhide1 -mhide \\.\PhysicalDrive6 Z:可以）

mdyblog · 发表于 2020-4-6 16:12:03

红毛樱木发表于 2020-4-6 14:47
这中间用-opt:无效，反而会造成挂载失败。
主要是碰到磁盘是4096扇区的时候要指定一下-S 4096，遇到 ...

MOUN-udm -udmid:pt#2 -ret:&MounRet -opt: -S -opt: 512 \\.\PhysicalDrive6 Z:

or
MOUN-udm -udmid:pt#2 -ret:&MounRet -opts: "-S 512" \\.\PhysicalDrive6 Z:

红毛樱木 · 发表于 2020-4-6 16:42:53

mdyblog 发表于 2020-4-6 16:12
MOUN-udm -udmid:pt#2 -ret:&MounRet -opt: -S -opt: 512 \\.\PhysicalDrive6 Z:

or

MOUN-udm -udmid:pt#2 -ret:&MounRet -opt: -S -opt: 4096 \\.\PhysicalDrive6 Z:

or
MOUN-udm -udmid:pt#2 -ret:&MounRet -opts: "-S 4096" \\.\PhysicalDrive6 Z:

实测，还是没有按4096挂载，造成Z:不可读。
你用那个4K优盘测试下看看。

红毛樱木 · 发表于 2020-4-6 16:49:03

本帖最后由红毛樱木于 2020-4-6 20:41 编辑

mdyblog 发表于 2020-4-6 16:12
MOUN-udm -udmid:pt#2 -ret:&MounRet -opt: -S -opt: 512 \\.\PhysicalDrive6 Z:

or

part -hextp -phy -fill list part 6#2,&&fixfenqu2
MSTR &&c,&&d=<4><5>%&&fixfenqu2%
RAMD ImDisk*&MounRet*%&&c%*%&&d%*0*\\.\PhysicalDrive6 -a -S 4096 -o hd -m Z:
MESS. %&MounRet%

非要这种直接调用IMDISK的方式才可以。但是这样就不能用MOUN中的别的-CheckFile等参数，不方便，老大看下。

-------------------------------------------------------------------------------------
总结一下：
磁盘号为6的磁盘是4K扇区磁盘，R模式的，两个分区。Win7下测试。
方法一：(-S 4096参数实际无效，还是按照512来处理的，具体现象是Z:无法访问)
MOUN-udm -udmid:pt#2 -ret:&MounRet -opt: -S -opt: 4096 \\.\PhysicalDrive6 Z:
or
MOUN-udm -udmid:pt#2 -ret:&MounRet -opts: "-S 4096" \\.\PhysicalDrive6 Z:

方法二：(可以正常访问Z:)
MOUN-udm -udm- -u+ -mall -mhide1 -mhide \\.\PhysicalDrive6 Z:

方法三：(可以正常访问Z:)
part -hextp -phy -fill list part 6#2,&&fixfenqu2
MSTR &&c,&&d=<4><5>%&&fixfenqu2%
RAMD ImDisk*&MounRet*%&&c%*%&&d%*0*\\.\PhysicalDrive6 -a -S 4096 -o hd -m Z:

--------------------------------------------------------------------------------------
总之应该就是-udmid中使用的-opt(s)传递参数无效。

mdyblog · 发表于 2020-4-7 07:08:41

红毛樱木发表于 2020-4-6 16:49
part -hextp -phy -fill list part 6#2,&&fixfenqu2
MSTR &&c,&&d=%&&fixfenqu2%
RAMD ImDisk*&MounRet ...

PECMD-PT4K.ZIP: https://www.lanzous.com/ib2jjef

-S 4096 可以不用指定。可自动识别 4K磁盘。

红毛樱木 · 发表于 2020-4-7 12:10:19

mdyblog 发表于 2020-4-7 07:08
PECMD-PT4K.ZIP: https://www.lanzous.com/ib2jjef

-S 4096 可以不用指定。可自动识别 4K磁盘。

测试通过。

527104427 · 发表于 2020-4-7 17:18:08

mdyblog 发表于 2020-4-7 07:08
PECMD-PT4K.ZIP: https://www.lanzous.com/ib2jjef

-S 4096 可以不用指定。可自动识别 4K磁盘。

请教老大，
ENVI ?&a=WinVer //0x600011DB1

能不能通过 ENVI? 或 ENVI-mkfixdummy 等命令将&a拆分成三段？
0x6 0x0001 0x1DB1

xbwin96e · 发表于 2020-4-7 17:24:32

感谢分享

红毛樱木 · 发表于 2020-4-7 18:32:01

本帖最后由红毛樱木于 2020-4-7 18:45 编辑

搞错了

		自动登录	找回密码
密码			注册

[更新376#2825]PECMD2012.1.80.13_Win32_64.多窗口多线程.裸机系统2.3.3.1+18M酷M...

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评

浏览过的版块