有没有判断MBR/PBR是nt5.x还是nt6.x或以上的命令行工具？

807979023

五大分享的工具没看见，哪位上传1个？

liuzhaoyzz

江南一根葱 发表于 2020-7-15 19:39
我是网上抄的，再加自己的主观臆断 delphi代码
GetFirmwareEnvironmentVariableA('','{00000000-0000-0000 ...

        不好意思，这么久了没注意到你的回复！
能否编译为exe文件？分享上来，谢谢！要静态编译哦！

liuzhaoyzz

807979023 发表于 2020-7-24 10:10
五大分享的工具没看见，哪位上传1个？

        不好意思，才看到你的帖子，我在一楼分享了5大的程序。

807979023

liuzhaoyzz 发表于 2020-11-17 11:22
不好意思，才看到你的帖子，我在一楼分享了5大的程序。

谢谢！

liuzhaoyzz

        有没有大神用c/c++写一个判断MBR/PBR是nt5.x还是nt6.x或以上的命令行工具？5大pecmd写的，没有加壳的版本，一会被360安全卫士咔嚓掉，mdyblog大神有免杀版pecmd，用这个免杀版pecmd内嵌脚本会不会好点？360一会又不报风险，我自己的确不用360（仅仅用于测试），但是发给别人就被咔嚓掉很郁闷。       一楼有5大pecmd源代码。另外5大能否解释下这些代码的原理？从代码看不懂原理。

ChkMbrPbr原理
1、GETF \\.\PhysicalDrive%&disk%,0#440,&BootCode读取磁盘0扇区440字节长度到变量bootcode
2、CODE *,NTLDR,**-ANSI,&NT5PbrStr把NTLDR用ANSI编码保存在变量NT5PbrStr中。
3、GETF -find %&drv%,0#512#5#0#1#512,&NT5PbrRet,*&NT5PbrStr
读取磁盘0扇区512字节→5字节？偏移0→1号块？偏移512，查找NT5PbrStr（即NTLDR），查找结果保存在到变量NT5PbrRet。
[大位置[#大长度[#子长度[#子偏移[#块大小[#块内偏移]]]]]],
4、如果没找到NTLDR，就查找BOOTMGR，
GETF -find %&drv%,0#512#7#0#1#512,&NT6PbrRet,*&NT6PbrStr
读取磁盘0扇区512字节→7字节？偏移0→1号块？偏移512，查找NT6PbrStr（即BOOTMGR），查找结果保存在到变量NT6PbrRet。
5、查找NT5Mbr，NT6Mbr变量，如果找到就分别赋值为PrintMBR=MBR:NT5，PrintMBR=MBR:NT6
6、查找NT5PbrRet，NT6PbrRet变量，如果找到就分别赋值为PrintPBR=PBR:NT5，PrintPBR=PBR:NT6

liuzhaoyzz

527104427 发表于 2021-2-26 14:28
咦，我怎么没发现这里还有一个提问！

你这个解释很详细，很棒，就是这个意思。

这个解释没有必要了，当时想要让人用c/c++之类的语言实现的原因是，pecmd总是报病毒，360的装机率很高的，pecmd写的程序不可能只给我们这样子的人使用，还需要给很多其他的人使用，如果被杀掉很尴尬，而且对于批处理这种流程化的脚本来说，会影响后续的处理判断。后来发现了用原版没有精简的pecmd_cli原始版本为蓝本，内嵌脚本编译之后，360就不报病毒了，所以没有必要再重新用c/c++写程序了。