|
本帖最后由 chiannet 于 2022-6-10 20:57 编辑
晕,
USBOS-V3.0-WY_10167683.7Z
USBOS-V3.0-P_30C80A9F.7Z
里面的挂在程序是旧的,下面这个才是我新写的。
TEAM ENVI V2V=|ENVI &ZWF=|ENVI TRAGT0=
ENVI LETTER=W M N Q R S T U V B D E F G H I J K L O P A Z
FORX %WINDIR%\精确定位文件\ZW-*,&ZW-F,1,TEAM FNAM &ZWF=%&ZW-F%|ENVI TRAGT0=BOOT\EXTAPP\%&ZWF%
FIND $%TRAGT0%=,TEAM MESS 用于搜外置程序的索引丢失。|CALL TEND!CALL PZW
MOUN -udm -u+ -mall -mhide -tag:%TRAGT0% *
CALL PZW
MOUN -udm -udm- -u+ -mall -mhide1 -tag:%TRAGT0% *
CALL PZW
MOUN -UDM -U+ -udfs -mall -mhide -tag:%TRAGT0% *
CALL PZW
MOUN -UDM -U+ -udfs -udimg:USBOSV3.iso -mall -mhide -CheckFile:%TRAGT0% *
CALL PZW
FORX %WINDIR%\SYSTEM32\BOOTPART.EXE,&CC,1,
{
//这节是利用BOOTPART.EXE挂载隐藏区。
FORX * %LETTER%,K,
{
IFEX %K%:,!
{
EXEC -wait -hide %&CC% -mount -readonly -driveletter %K%:
IFEX %K%:\%TRAGT0%,
{
ENVI BOOTPART_成功=相关
CALL PZW
}!
{
EXEC -wait -hide %&CC% -eject
}
EXIT FORX
}
}
}
FORX * %LETTER%,K,
{
IFEX %K%:,!
{
FORX * U ISO\U ISOS\U,PO,
{
FORX !\%PO%SBOSV3.iso,ISO,0,
{
IFEX %K%:,EXEC -wait -hide IMDISK.EXE -d -m %K%:
EXEC =!IMDISK.EXE -a -f "%ISO%" -m %K%:
CALL PZW
}
}
}
}
CALL TEND
_SUB TEND
FIND $%~1=,!REGI $HKLM\SOFTWARE\USBOS\V2V=%~1
FIND $%BOOTPART_成功%=相关,!FORX * TEM32 WOW64,K,TEAM FILE %WINDIR%\SYS%K%\BOOTPART.*|FILE %WINDIR%\SYS%K%\BOOTPT64.SYS
TEAM ENVI TRAGT0|ENVI LETTER=
FILE %CURFILE%
EXIT FILE
_END
_SUB PZW
FORX !\%TRAGT0%,&R,1,TEAM LSTR &R=1,%&R%|CALL TEND %&R%
_END
新写的仅依托指纹文件,
1、先搜可见区散列的外置,
2、可见区搜不到就用PECMD各种挂载(udm ud 高端隐藏,及UD根的USBOSV3.iso),
3、pecmd挂不上就用BOOTPART.EXE做最后尝试,
3、BOOTPART.EXE挂载失败,就搜索可见区
USBOSV3.iso
ISO\USBOSV3.iso
ISOS\USBOSV3.iso
找到了就挂载它。
以上1、2、3、4谁先逮着,立即收手。
|
|