PECMD.INI CMPS/CMPA 加密破解方法

liberize · 发表于 2015-10-15 23:41:22

本帖最后由 liberize 于 2015-10-18 02:22 编辑

前言：

最近在找一个好用的 PE，找到了阿弥陀佛的 Win7PE，符合我的需求，然而当我想定制一下的时候，却发现里面的 INI 脚本做了加密。
发信请求解密，没有得到回复，于是自己写了个小工具，解出了其中的 INI 脚本。

原理：

已开源在 GitHub：https://github.com/liberize/pecmd-decrypt，其实没有几行代码。

其实准确说“解密”无关，目前之所以没有破解只是因为算法没公开，我也没有去研究它的算法，
反正不管怎样，最后肯定要解出来才能执行，所以我在执行的地方替换了它调用的系统 API，从 API 参数里面拿到了解出来的脚本。

鉴于 mdyblog 已经做出了反应，相信他已经知道我 hook 的是哪个 API，没错，就是 MultiByteToWideChar。
pecmd 执行每一行的时候会将其转为 unicode 编码，便会调用上面的 api，过滤一下就可以得到原始内容。

理论上此方法适用于使用所有加密方式加密的 ini，不限于 CMPS/CMPA。

用什么版本的 pecmd.exe 其实无所谓，但是最近的 m 版 pecmd，启动时会执行一个内置脚本，这个脚本的内容也会出现在生成的 ini 文件中，
为了避免混在一起无法区分，请使用不会执行内置脚本的 pecmd，谁有的话欢迎提供（我就不传了，附件只能传 500k）。
判断方法：用一个没有加密的脚本去跑，如果解出来是一样的，那么就不会执行内置脚本。

步骤：

本人比较懒，所以直接发布简陋的命令行工具，没有做成 GUI 工具。以下步骤在 PE 下进行。

1. 先得到加密的 pecmd.ini，如果内置于 pecmd.exe，请用 res hacker 提取
2. 找一个不会执行内置脚本的 pecmd.exe，32/64 位其实无所谓，只要 PE 能运行就可以
3. 下载附件，使用与 pecmd.exe 对应的版本，比如 pecmd.exe 是 64 位的就使用 x64 文件夹中的版本
4. 将 1、2 里面的 pecmd.exe 和 pecmd.ini 放在 x86/x64 这个目录下
5. 打开终端，运行 DetourHook.exe "pecmd.exe pecmd.ini" DetourHookDll.dll
6. 在当前目录生成 original.ini，便是解密后的 pecmd.ini

工具：

10-16 更新: 修复了乱码等若干 bug，生成的原始 ini 更加准确

http://pan.baidu.com/s/1hquEuv6 密码：hnjw

liberize · 发表于 2015-10-16 00:17:32

赤木刚宪发表于 2015-10-16 00:03
LZ是通过日志判断？貌似不科学，对新版PECMD也无效

其实准确说“解密”无关，目前之所以没有破解只是因为算法没公开，我也没有去研究它的算法，反正不管怎样，最后肯定要解出来才能执行，所以我在执行的地方替换了它调用的系统 API，从参数里面拿到了解出来的脚本。

liberize · 发表于 2015-10-16 00:19:07

阿弥陀佛发表于 2015-10-16 00:11
牛！我的PE被拿来开刀了。还好没有恶意代码
软件先收藏！

liberize · 发表于 2015-10-16 00:30:51

阿弥陀佛发表于 2015-10-16 00:24
要是这样的话，那就算整个pecmd.exe压缩加壳，应该也可以拿到脚本吧

是的，不过其实这个破解的方法封住也不难

liberize · 发表于 2015-10-16 00:35:10

阿弥陀佛发表于 2015-10-16 00:30
这个么，在做这个win7PE之前我也从来不加密。但是无忧不是有段时间被某些人搅浑了。还有人就拿别人的pe随 ...

其实我只是想把世界之窗换成比较小的 opera，虽说直接删掉世界之窗的文件就可以了，可是我有比较严重的洁癖 + 强迫症，不把世界之窗的代码删掉就浑身不爽，所以。。。

liberize · 发表于 2015-10-16 10:58:20

chiannet 发表于 2015-10-16 09:12
我测试成功了

不能解的请贴上你们的 PECMD.EXE，我看一下

liberize · 发表于 2015-10-16 11:00:54

gylgw 发表于 2015-10-16 06:28
这个比较牛啊，谢谢楼主分享。

但是好像对我现在所用的PE解密不了，解出来是乱码。而且在RH中怎么判断哪 ...

你找的第二张图这个就是啊，一般比较大的资源，并且在开始有　ＣＭＰＡ　字样应该就是了
第三张图似乎只有注释乱码？也许原来的脚本就是这样子的

liberize · 发表于 2015-10-16 11:03:10

赤木刚宪发表于 2015-10-16 07:49
我测试解密失败哦

不能解的请贴上你们的 PECMD.EXE，我看一下

liberize · 发表于 2015-10-16 11:12:58

青青草发表于 2015-10-16 11:09
麻烦您帮忙看一下，谢谢了！

你这个 PECMD 有点丧心病狂啊，资源里面放满了脚本，有加密的也有没加密的

liberize · 发表于 2015-10-16 11:20:49

青青草发表于 2015-10-16 11:09
麻烦您帮忙看一下，谢谢了！

我看了，有一些乱码，还有一些内容不对，我再看一下

liberize · 发表于 2015-10-16 20:29:18

2012qz 发表于 2015-10-16 20:24
我的是分开的，好像不成功，解密后 log 内容都一样

前面可能是内置脚本，看 1 楼

liberize · 发表于 2015-10-16 20:30:56

gylgw 发表于 2015-10-16 11:20
我使用的PECMD.EXE和PECMD.INI，还有一个是三卡加载INI

请再试试，乱码应该没有了，我这儿基本都能解，除了那个 PECMD.INI　一执行就重启。。。
注意前面一段可能是内置脚本，看 1 楼

liberize · 发表于 2015-10-16 20:32:25

青青草发表于 2015-10-16 11:09
麻烦您帮忙看一下，谢谢了！

更新了，你再试试，乱码应该没有了，注意下前面可能是内置脚本，看 1 楼

liberize · 发表于 2015-10-16 22:07:29

23456 发表于 2015-10-16 21:49
成功了原来是挑PECMD.EXE 大白菜03 PE乱码

这个不像是成功了。。

liberize · 发表于 2015-10-17 01:07:41

23456 发表于 2015-10-16 22:35
乱码

我试了，没问题啊

FIND MEM<384,FBWF P40 L96 H192!FBWF P50 L160 H299

TEAM ENVI W=%WinDir%|ENVI $WS=%WinDir%\SYSTEM32|ENVI WSD=%WS%\Drivers

TEAM LOGO %WS%\DBC.JPG |DISP B32|WAIT 169

//TEAM TEXT 正在启动大白菜WinPE维护系统 …… #0xFFFFFF L59 T490 R500 B520 $20*|WAIT 69

TEAM FILE %W%\TXTSETUP.SI*|PATH #%WS%\CONFIG|FILE %WS%\*.*_|FILE %WSD%\*.SY_

TEAM PATH %SystemDrive%\TEMP|INIT U,3690|EXEC @PECMD.EXE CALL $SHELL32.DLL,DllInstall,#1,U

TEAM ENVI V0=HKLM\System\CurrentControlSet\Services|ENVI V1=System32\Drivers

REGI %V0%\USBHUB\ImagePath=%V1%\USBHUB.SYS

REGI %V0%\USBCCGP\ImagePath=%V1%\USBCCGP.SYS

REGI %V0%\USBEHCI\ImagePath=%V1%\USBEHCI.SYS

REGI %V0%\USBOHCI\ImagePath=%V1%\USBOHCI.SYS

REGI %V0%\USBSTOR\ImagePath=%V1%\USBSTOR.SYS

REGI %V0%\USBUHCI\ImagePath=%V1%\USBUHCI.SYS

REGI %V0%\HIDUSB\ImagePath=%V1%\HIDUSB.SYS

REGI %V0%\MOUCLASS\ImagePath=%V1%\MOUCLASS.SYS

REGI %V0%\MOUHID\ImagePath=%V1%\MOUHID.SYS

REGI %V0%\KBDCLASS\ImagePath=%V1%\KBDCLASS.SYS

REGI %V0%\KBDHID\ImagePath=%V1%\KBDHID.SYS

REGI %V0%\CDROM\ImagePath=%V1%\CDROM.SYS

REGI %V0%\AMDHUB30\ImagePath=%V1%\AMDHUB30.SYS

REGI %V0%\AMDXHC\ImagePath=%V1%\AMDXHC.SYS

REGI %V0%\USBFILTER\ImagePath=%V1%\USBFILTER.SYS

REGI %V0%\ASMTHUB3\ImagePath=%V1%\ASMTHUB3.SYS

REGI %V0%\ASMTXHCI\ImagePath=%V1%\ASMTXHCI.SYS

REGI %V0%\ETRONHUB3\ImagePath=%V1%\ETRONHUB3.SYS

REGI %V0%\ETRONXHCI\ImagePath=%V1%\ETRONXHCI.SYS

REGI %V0%\NUSB3HUB\ImagePath=%V1%\NUSB3HUB.SYS

REGI %V0%\NUSB3XHC\ImagePath=%V1%\NUSB3XHC.SYS

REGI %V0%\RUSB3HUB\ImagePath=%V1%\RUSB3HUB.SYS

REGI %V0%\RUSB3XHC\ImagePath=%V1%\RUSB3XHC.SYS

REGI %V0%\nusb3xhc\ImagePath=%V1%\ViaHub3.sys

REGI HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace\{D20EA4E1-3957-11d2-A40B-0C5020524153}\!

REGI HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace\{D6277990-4C6A-11CF-8D87-00AA0060F5BF}\!  `删除任务计划

REGI HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{450D8FBA-AD25-11D0-98A8-0800361B1103}\! `删除桌面我的文档

REGI HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\{59031a47-3f72-44a7-89c5-5595fe6b30ee}\!`删除共享文档

EXEC =!%WinDir%\SYSTEM32\SHOWDRIVE.EXE

//EXEC =!%WinDir%\SYSTEM32\ORDERDRV.CMD

EXEC =!%WinDir%\SYSTEM32\FIXUSB.EXE U

EXEC *=%WS%\7z.EXE x %WSD%\IntelRaid.sys -pBaiCai13287712562 -y -aoa -o"%Windir%\System32\"

//连接外置.CD+UD的选择和处理.挂载外置程序设置环境变量

FIND MEM>384,RAMD ImDisk,L125,NTFS,Z:,虚拟盘!RAMD ImDisk,L35,NTFS,Z:,虚拟盘

//FIND MEM>512,RAMD ImDisk* -e -s 50M -m Z:

PATH Z:\Temp\

WAIT 300

EXEC =!%WinDir%\SYSTEM32\dbc.exe (ud) output "idbc/peload/*" %WS%\%~nx

IFEX %WS%\BCUDTOOLS.INI,!EXEC !=%WS%\bootpart.exe -mount -readonly -driveletter V:

IFEX U:\IDBC\TOOLS\Extend.wim,exec @=%Windir%\System32\bootpart.exe  -eject

IFEX %WS%\BCUDTOOLS.INI,LOAD %WS%\BCUDTOOLS.INI!FORX !\IDBC\TOOLS\BCCDTOOLS.INI,IniCD,1,LOAD %IniCD%

WAIT 365

IFEX Z:\Tools\Basic.WIM,MOUN Z:\Tools\Basic.wim,Y:\Basic\,1,%Temp%

IFEX Z:\Tools\Extend.WIM,MOUN Z:\Tools\Extend.WIM,Y:\Extend\,1,%Temp%

ENVI OPDir=Y:\Basic

ENVI EXDir=Y:\Extend

//ENVI ICPT=X:\WXPE\SYSTEM32\ICO.DLL#

//ENVI ICSH=X:\WXPE\SYSTEM32\SHELL32.DLL#

ENVI DFUR=X:\Documents and Settings\Default User\

WAIT 369

//加载二级内核.创建桌面开始菜单快捷方式.注册热键.需要在7Z解压之后执行

//IFEX Z:\DBC3.7z,EXEC *=%WS%\7z.exe x Z:\DBC3.7z -pBaiCai13287712562 -y -aoa -o"%WinDir%\"

NUMK 0

RUNS PECMD.EXE EXEC !%WS%\INTERNAT.EXE,输入法指示器

EXEC !X:\WXPE\SYSTEM32\MMC.CMD

EXEC =!CMD.EXE /C "REGSVR32 /S X:\WXPE\SYSTEM32\SEND.DLL"

//REGI HKCR\*\shell\CAB-最大压缩\command\=makecab /v1 /D CompressionType=LZX /D CompressionMemory=21 "%1"

//EXEC !%OPDir%\输入工具\INSWB.CMD

EXEC *=%WS%\7z.exe x %OPDir%\输入工具\FREEWB.7z -y -aoa -o"%ProgramFiles%\FreeWB"

EXEC *%ProgramFiles%\FreeWB\REGISTRY.EXE /S

EXEC @%OPDir%\输入工具\ZG.EXE

EXEC *=%WS%\LOADSYS.EXE

TEAM FILE %WS%\LOADSYS.EXE|FILE %WSD%\IntelRaid.sys

WAIT 365

LINK %Desktop%\GHOST克隆  【Alt+G 】,%OPDir%\GHOST32\GHOST32.EXE

LINK %Desktop%\Win系统安装【Alt+W】,%OPDir%\系统安装\WinNTSetup.exe

LINK %Desktop%\DG分区工具  【Alt+D】,%OPDir%\磁盘管理\diskgenius.exe

LINK %Desktop%\Win引导修复【Alt+F】,%OPDir%\系统维护\NTBOOTautofix.exe

LINK %Desktop%\登录密码清除【Alt+C】,%OPDir%\密码管理\NTPWEDIT.exe

LINK %Desktop%\虚拟光驱,%OPDir%\光盘工具\虚拟光驱\vdm.exe

FIND MEM<512,LINK %Desktop%\设置临时文件,%WS%\PECMD.EXE,LOAD %WS%\PESET.INI,SHELL32.DLL#12

//LINK %Programs%\临时文件,%WS%\PECMD.EXE,LOAD %WS%\PESET.INI,SHELL32.DLL#12

LINK %Programs%\我的工具,X:\WXPE\SYSTEM32\我的工具.exe

HOTK #112,PECMD.EXE `注册热键：F1 帮助

HOTK #120,PECMD EXEC !X:\WXPE\SYSTEM32\SL.CMD

HOTK #121,PECMD EXEC !X:\WXPE\SYSTEM32\CLEANTEMP.CMD

HOTK #122,%OPDir%\图形图像\WINSNAP.EXE

HOTK Alt+D,Y:\Basic\磁盘管理\Diskgenius.EXE

HOTK Alt+G,Y:\Basic\GHOST32\GHOST32.EXE

HOTK Alt+W,Y:\Basic\系统安装\WinNTSetup.EXE

HOTK Alt+F,Y:\Basic\系统维护\NTBOOTautofix.EXE

HOTK Alt+C,Y:\Basic\密码管理\NTPWEDIT.EXE

HOTK Alt+Z,%WS%\DBCGhost.EXE

HOTK Alt+A,Y:\EXTEND\密码管理\dialupass.exe

//快捷启动和开始菜单.LNK

//LINK %QuickLaunch%\我的电脑,%WS%\MYC.LNK

LINK %QuickLaunch%\截图工具(F11),%OPDir%\图形图像\WINSNAP.EXE

LINK !%QuickLaunch%\临时文件清除,X:\WXPE\SYSTEM32\CLEANTEMP.CMD,,X:\WXPE\SYSTEM32\CLEANTEMP.ICO

LINK %QuickLaunch%\设置临时文件,%WS%\PECMD.EXE,LOAD %WS%\PESET.INI,SHELL32.DLL#12

LINK %QuickLaunch%\资源管理器,%W%\EXPLORER.EXE,/E,EXPLORER.EXE#1

LINK !%StartMenu%\刷新系统 [F9],X:\WXPE\SYSTEM32\SL.CMD,,X:\WXPE\SYSTEM32\CLEANTEMP.ICO

LINK %StartMenu%\设置临时文件,%WS%\PECMD.EXE,LOAD %WS%\PESET.INI,SHELL32.DLL#12

//************************************进入桌面***********************************

EXEC =%WS%\MYSET.EXE PUTSPT

IFEX %WS%\DBCGHOST.EXE,EXEC %WS%\DBCGHOST.EXE /AUTO

TEAM LOGO %WS%\DBC2.JPG |WAIT 1666

//TEAM TEXT 正在载入桌面，请稍候 …… #0x00ffff l150 t500 r500 b520 $20|wait 300

TEAM DISP W1024 H768 B32|WAIT 166

WALL %WS%\DESK.JPG

//WAIT 366

//EXEC WALLCMD %WS%\DESK.JPG

FIND Explorer.EXE,!TEAM SHEL %WinDir%\EXPLORER.EXE|WAIT 1999|LOGO

//************************************进入桌面***********************************

EXEC !X:\WXPE\SYSTEM32\NUMLOCK.EXE

FONT X:\WXPE\FONTS

//EXEC !%OPDir%\REGDOC.CMD

WAIT 669

SITE %USERPROFILE%\「开始」菜单\程序\启动,+H

EXEC =!%WinDir%\SYSTEM32\OEM.CMD

//EXEC =!%WinDir%\SYSTEM32\HFS.CMD

USER 装机专家,大白菜PE-www.winbaicai.com

//基本工具菜单

LINK %Programs%\GHOST32\Ghost32 11.0.2,%OPDir%\GHOST32\GHOST32.EXE

LINK %Programs%\GHOST32\GhostExp镜像浏览器,%OPDir%\GHOST32\ghostexp.exe

LINK %Programs%\GHOST32\GhoHash密码查看器,%OPDir%\GHOST32\ghohash.exe

LINK !%Programs%\WIM工具\启用Wimtool,%OPDir%\ISWIM.CMD,,%OPDir%\WIM工具\WIMTOOL.EXE

LINK !%Programs%\WIM工具\启用WimNT,%OPDir%\ISWIMT.CMD,,%OPDir%\WIM工具\WIMNT.EXE

LINK %Programs%\文件工具\WinRar,%OPDir%\WINRAR\WINRAR.EXE

LINK %Programs%\磁盘管理\DiskGenius磁盘分区,%OPDir%\磁盘管理\diskgenius.exe

LINK %Programs%\磁盘管理\Bootice引导扇区管理,%OPDir%\磁盘管理\bootice.exe

LINK %Programs%\光盘工具\虚拟光驱,%OPDir%\光盘工具\虚拟光驱\vdm.exe

LINK %Programs%\光盘工具\ULTRAISO,%OPDir%\光盘工具\ULTRAISO\UltraISO.exe

LINK %Programs%\密码管理\Windows密码清除器,%OPDir%\密码管理\NTPWEDIT.exe

LINK %Programs%\系统维护\系统启动引导修复,%OPDir%\系统维护\NTBOOTautofix.exe

LINK %Programs%\图形图像\ACDSEE图片编辑,%OPDir%\图形图像\ACDSEE\ACDSEE.exe

LINK %Programs%\图形图像\WINSNAP截图,%OPDir%\图形图像\WINSNAP.exe

LINK %Programs%\系统安装\NT6系统安装器gui,%OPDir%\系统安装\NT6快捷安装器.exe

LINK %Programs%\系统安装\Windows通用安装器,%OPDir%\系统安装\WinNTSetup.exe

//附件.查看

LINK %Programs%\附件工具\记事本,%WS%\NOTEPAD.EXE

LINK %Programs%\附件工具\命令提示符,%WS%\CMD.EXE

LINK %Programs%\附件工具\注册表编辑器,%W%\REGEDIT.EXE

LINK %Programs%\附件工具\资源管理器,%W%\EXPLORER.EXE,,EXPLORER.EXE#1

LINK %Programs%\系统微调\显示隐藏分区,%WS%\PECMD.EXE,SHOW -1:-1,SHELL32.DLL#101

LINK %Programs%\系统微调\分配磁盘盘符,%WS%\SHOWDRIVE.EXE,,Shell32.dll#8

LINK %Programs%\系统微调\设置临时文件,%WS%\PECMD.EXE,LOAD %WS%\PESET.INI,SHELL32.DLL#12

LINK %Programs%\附件工具\查看.详细方式,%WS%\XX.CMD,,Shell32.dll#19

LINK %Programs%\附件工具\查看.平铺方式,%WS%\PP.CMD,,Shell32.dll#19

LINK %Programs%\附件工具\查看.图标方式,%WS%\TB.CMD,,Shell32.dll#19

LINK %Programs%\附件工具\计算器,%WS%\CALC.EXE

LINK %Programs%\附件工具\画图,%WS%\MSPAINT.EXE

LINK !%Programs%\附件工具\清除临时文件 F10,%WS%\CLEANTEMP.CMD,,%WS%\CLEANTEMP.ICO

LINK !%Programs%\附件工具\加入 UltraISO 关联,%OPDir%\光盘工具\ULTRAISO\SETUP.CMD,,%OPDir%\光盘工具\ULTRAISO\ULTRAISO.exe

//扩展外置菜单

IFEX %exdir%\Readme.txt,CALL UD_EXTOOL

_SUB UD_EXTOOL

//BIOS工具

link %programs%\BIOS工具\AMI BIOS刷新,%exdir%\BIOS工具\afuwin4.45cn.exe

link %programs%\BIOS工具\Award BIOS刷新,%exdir%\BIOS工具\winflash1.97.exe

link %programs%\BIOS工具\Phoenix BIOS刷新,%exdir%\BIOS工具\winphlash2.0.3.4.exe,,

link %programs%\BIOS工具\BIOS万能备份,%exdir%\BIOS工具\bios_backup_tookit.exe

//GHOST工具

link %programs%\GHOST32\GHOST32 8.3,%exdir%\GHOST32\GHOST83.exe

link %programs%\GHOST32\GHOST32 11.5,%exdir%\GHOST32\GHOST115.exe

//wim工具

link %programs%\wim工具\GimageX,%exdir%\WIM工具\PEGimagex.exe

//办公阅读

link %programs%\办公阅读\PDF阅读器,%exdir%\办公阅读\PDF阅读器.exe

EXEC !REGEDIT /S %exdir%\办公阅读\KEY.REG

link !%programs%\办公阅读\WORD文字处理,%exdir%\办公阅读\Word.exe

link %programs%\办公阅读\EXCEL表格处理,%exdir%\办公阅读\Excel.exe

link %programs%\办公阅读\PPT幻灯片处理,%exdir%\办公阅读\PPTView.exe

//备份还原

link %programs%\备份还原\GhostSev网络服务端,%exdir%\备份还原\ghostsrv.exe

link %programs%\备份还原\ImageX一键恢复,%exdir%\备份还原\imagex.exe

link %programs%\备份还原\一键备份恢复,%exdir%\备份还原\CGI.exe

//磁盘管理

link %programs%\磁盘管理\ADDS无损分区,%exdir%\磁盘管理\ADDS\adds.exe

link %programs%\磁盘管理\LFormat磁盘低格,%exdir%\磁盘管理\lformat.exe

link %programs%\磁盘管理\PTDD分区表医生,%exdir%\磁盘管理\ptdd.exe

link %programs%\磁盘管理\UltraDefrag碎片整理,%exdir%\磁盘管理\ultradefrag.exe

link %programs%\磁盘管理\WinPm 7.0分区管理,%exdir%\磁盘管理\winpm.exe

link %programs%\磁盘管理\U盘格式化HDD,%exdir%\磁盘管理\HPUSBFW.exe

link %programs%\磁盘管理\磁盘分区助手,%exdir%\磁盘管理\PARTASSIST.exe

link %programs%\磁盘管理\识别苹果分区,%exdir%\磁盘管理\Apple.exe,-dnd

link %desktop%\识别苹果分区,%exdir%\磁盘管理\Apple.exe,-dnd

//密码管理

link %programs%\密码管理\CMOS密码清除,%exdir%\密码管理\cmos.exe

link %programs%\密码管理\ADSL密码查看,%exdir%\密码管理\dialupass.exe

link %programs%\密码管理\Win Nt密码编辑,%exdir%\密码管理\ntpwedit.exe

link %programs%\密码管理\Win Nt密码恢复,%exdir%\密码管理\passwdrenew.exe

link %programs%\密码管理\通用密码查看器,%exdir%\密码管理\密码查看.exe

//驱动管理

link %programs%\驱动管理\SDB驱动备份,%exdir%\驱动管理\driverbak.exe

link %programs%\驱动管理\DEP驱动备份,%exdir%\驱动管理\driverexportpe.exe

link %programs%\驱动管理\GDP驱动提取,%exdir%\驱动管理\getpedriver.exe

link %programs%\驱动管理\安装自定义驱动,%exdir%\驱动管理\mpeidrv.exe

//数据恢复

link %programs%\数据恢复\FinalData数据恢复,%exdir%\数据恢复\finaldata.exe

link %programs%\数据恢复\RSTUDIO数据恢复,%exdir%\数据恢复\RSTUDIO.EXE

link %programs%\数据恢复\易我数据恢复,%exdir%\数据恢复\易我数据恢复.exe

link %programs%\数据恢复\金山数据恢复,%exdir%\数据恢复\金山数据恢复.exe

//图形图像

link %programs%\图形图像\屏幕截取GIF,%exdir%\图形图像\GIF.exe

link %programs%\图形图像\PDF阅读器,%exdir%\图形图像\FOXITREADER.exe

link %programs%\图形图像\微型Photoshop,%exdir%\图形图像\StylePix.exe

//网络工具

IFEX %Desktop%\设置临时文件.LNK,!link %desktop%\加载网络组件,%exdir%\网络工具\Net03.exe

IFEX %Desktop%\设置临时文件.LNK,!link %programs%\网络工具\加载网络组件,%exdir%\网络工具\Net03.exe

IFEX %Desktop%\设置临时文件.LNK,!link %programs%\网络工具\简易FTP服务器,%exdir%\网络工具\FTPServer.exe

IFEX %Desktop%\设置临时文件.LNK,!link %programs%\网络工具\腾讯WebQQ,%exdir%\网络工具\WebQQ.url,,SHELL32.DLL#13

//文件工具

link %programs%\文件工具\FastCopy文件快拷,%exdir%\文件工具\fastcopy.exe

link %programs%\文件工具\畸形目录管理,%exdir%\文件工具\deformitydir.exe

link %programs%\文件工具\Hash文件信息校验,%exdir%\文件工具\md5.exe

link %programs%\文件工具\Winhex16位编辑器,%exdir%\文件工具\winhex.exe

link %programs%\文件工具\unlocker强制删除,%exdir%\文件工具\unlocker.exe

link %programs%\文件工具\文件搜索,%exdir%\文件工具\文件搜索.exe

//系统安装

link %programs%\系统安装\Windows安装助手,%exdir%\系统安装\setupxp.exe

link %programs%\系统安装\NT6系统安装器cmd,%exdir%\系统安装\SETUPWIN6X.exe

link %programs%\系统安装\Win通用安装2合1,%exdir%\系统安装\WIN$MAN.exe

//系统维护

link %programs%\系统维护\SRS驱动离线注入,%exdir%\系统维护\win系统srs驱动注入.exe

link %programs%\系统维护\ScanVirus安全分析,%exdir%\系统维护\scanvirus.exe

link %programs%\系统维护\Servicespe服务驱动管理,%exdir%\系统维护\servicespe.exe

link %programs%\系统维护\Windows启动修复,%exdir%\系统维护\WindowsFix.exe

//硬件检测

link %programs%\硬件检测\Memtest内存诊断,%exdir%\硬件检测\memtest.exe

link %programs%\硬件检测\HddScan磁盘扫描,%exdir%\硬件检测\hddscan.exe

link %programs%\硬件检测\Victoria磁盘扫描,%exdir%\硬件检测\victoria.exe

link %programs%\硬件检测\CPUZ处理器检测,%exdir%\硬件检测\CPUZ.exe

link %programs%\硬件检测\显示器测试,%exdir%\硬件检测\TESTPLAY.exe

link %programs%\硬件检测\笔记本电池检测,%exdir%\硬件检测\BatteryMon.exe

link %programs%\硬件检测\硬盘检测HDTune,%exdir%\硬件检测\HDTune.exe

link %programs%\硬件检测\Aida64环境检测,%exdir%\硬件检测\aida64.exe

link %programs%\硬件检测\键盘检测工具,%exdir%\硬件检测\KEYBOARDTEST.exe

_END

REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318}\=DVD/CD-ROM 驱动器

REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}\=磁盘驱动器

REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}\=显示卡

REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E969-E325-11CE-BFC1-08002BE10318}\=软盘控制器

REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\=IDE ATA/ATAPI 控制器

REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\=键盘

REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\=声音、视频和游戏控制器

REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318}\=鼠标和其它指针设备

REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\=网络适配器

REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E97D-E325-11CE-BFC1-08002BE10318}\=系统设备

REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F}\=存储卷

REGI HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\WebView=#1

REGI HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FindExtensions\Static\WebSearch\!

REGI HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SmallIcons\SmallIcons=no

TEAM EXEC =PECMD SERV !AudioSrv|EXEC =PECMD SERV AudioSrv|SERV EVENTLOG

TEAM WAIT 1000|KILL SMSS.EXE|KILL WINLOGON.EXE|FILE %WS%\SMSS.EXE|FILE %WS%\WINLOGON.EXE|FILE %WS%\WIN32K.SYS

TEAM WAIT 1000|FILE %WS%\ORDERDRV.CMD|FILE %WS%\MBRFIX.EXE|FILE %WS%\MOUNTVOL.EXE|FILE %WS%\DBC*.JPG

TEAM WAIT 1000|FILE X:\WXPE\TEMP\*.*|FILE %WS%\INSTALLIME.EXE|FILE Z:\DBC3.7Z|TEXT |ENVI

/////////////////////////////////////////验证HASH///////////////////////////////////////////

HASH %WinDir%\SYSTEM32\DBCGHOST.EXE,hPSW,SHA1

ENVI $DBCW=26C524D9C93B9C4A435A88ACCCB28549DB62E586

FIND $%DBCW%=%hPSW%,ENVI $CHCK=YES

FIND $%CHCK%=YES,CALL FU !CALL BU_FU

TEAM SET $CHCK|SET $DBCW

_SUB BU_FU

FILE %DESKTOP%\*.*

MESS 本PE核心文件未成功加载!10秒后自动重启!@大白菜WINPE提示! #OK *10000

SHUT R

_END

_SUB FU

FORX !\GHO\DBCPLUS.INI,DBCINI,1,LOAD %DBCINI%

_END

////////////////////////////////////////////////////////////////////////////////////////////

//配置结束

IFEX %WS%\DBC3,FILE %WS%\DBC3

liberize · 发表于 2015-10-17 01:12:02

青青草发表于 2015-10-17 00:21
还是不行。麻烦您再看一下好吗？我把pecmd.exe和pecmd.ini也一并上传了，在28楼。先谢谢了！

这个是人家做了处理，我这儿每次跑也都给我关机了，我暂时没时间搞这个，不好意思

liberize · 发表于 2015-10-17 01:48:22

yurunghost 发表于 2015-10-17 01:23
求解密一直解不成功

额，没有快压，解压不了

[分享] PECMD.INI CMPS/CMPA 加密破解方法

点评

评分

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评

		自动登录	找回密码
密码			注册