|
flyuu
初级用户
积分 41
发帖 21
注册 2006-11-30
状态 离线
|
『楼 主』:
请有破解加密批处理文件经验的各位大侠进来帮帮小虾~~
偶有个加密的批处理文件,能麻烦您破解下么?
地址:文件下载
作者是用BAT2EXEC 1.5或者还加上其它手段弄的.
偶是菜鸟,让您见笑了,有空帮偶睇下了.非常谢谢!
忘记说了,原始文件是*.com,偶修改了扩展名~~
这个是那个ghost8.3全分区光盘的引导部分的DOS启动下的文件,因为偶朋友的机器经常需要重做系统,后来偶就找到这个光盘,但是共享版只能用来备份和恢复C区,其它分区的功能是关闭的.
所以期盼版主能帮忙搞定哈~
再次谢谢先!
[ Last edited by flyuu on 2006-11-30 at 01:35 PM ]
|
|
 2006-12-1 00:17 |
|
|
online365
初级用户
积分 182
发帖 75
注册 2006-10-11
状态 离线
|
|
|
2006-12-1 00:31 |
|
|
flyuu
初级用户
积分 41
发帖 21
注册 2006-11-30
状态 离线
|
『第
3 楼』:
别吓偶啊,偶查了再传的卡巴和AVG Anti-Spyware 7.5,江民
|
|
|
2006-12-1 00:48 |
|
|
flyuu
初级用户
积分 41
发帖 21
注册 2006-11-30
状态 离线
|
『第
4 楼』:
再说在这里放毒,那不是,叫什么来着,关公门前耍大刀~~
|
|
|
2006-12-1 00:52 |
|
|
online365
初级用户
积分 182
发帖 75
注册 2006-10-11
状态 离线
|
『第
5 楼』:
楼主别误会啊~~ 我也不知道什么原因,我用的是 金山毒霸6~试了好几次都提示发现病毒
|
|
|
2006-12-1 01:47 |
|
|
flyuu
初级用户
积分 41
发帖 21
注册 2006-11-30
状态 离线
|
『第
6 楼』:
不会啦,其它杀毒软件会不会把*.bat一概处理成病毒偶不清楚哈.
|
|
|
2006-12-1 01:51 |
|
|
namejm
荣誉版主
batch fan
积分 5226
发帖 1737
注册 2006-3-10
来自 成都
状态 离线
|
『第
7 楼』:
十分抱歉,其实我只对CMD下的批处理比较精通一点,其他方面完全是菜鸟,对纯DOS更是一知半解,并且根本不会破解之道。
好在本论坛里还是有其他高手,请各位出招吧^_^
另外,请楼主把标题修改一下。在标题里指定呼叫某人是不甚妥当的做法,容易引起他人反感的。
|
尺有所短,寸有所长,学好CMD没商量。
考虑问题复杂化,解决问题简洁化。 |
|
|
2006-12-1 01:59 |
|
|
flyuu
初级用户
积分 41
发帖 21
注册 2006-11-30
状态 离线
|
『第
8 楼』:
呵呵呵,因为实践阁下几篇贴子,效果不错,所以直接发贴起那样的名字找您啦,请别见怪.对论坛各位前辈失礼之处,在此一并致歉!
|
|
|
2006-12-1 02:18 |
|
|
namejm
荣誉版主
batch fan
积分 5226
发帖 1737
注册 2006-3-10
来自 成都
状态 离线
|
『第
9 楼』:
目前把标题修改为:各路大侠请进,仍属不妥当,在标题里最好能够让人能大概知道你想要做什么,也就是所谓的见名知义,请继续修改吧。
|
尺有所短,寸有所长,学好CMD没商量。
考虑问题复杂化,解决问题简洁化。 |
|
|
2006-12-1 02:24 |
|
|
flyuu
初级用户
积分 41
发帖 21
注册 2006-11-30
状态 离线
|
|
|
2006-12-1 02:35 |
|
|
HUNRYBECKY
银牌会员
积分 1179
发帖 442
注册 2006-9-9
状态 离线
|
『第
11 楼』:
这个可以还原成BAT文件的,我原来用过这个工具,不过反编译工具我忘记了叫什么名字,不过反编译过来的也有部分是乱码,不是很准确。
其实这个工具只能把BAT编译成COM文件,不能编译成EXE文件,如果你改成EXE文件,将无法运行。你使用记事本打开该文件,还是可以看到源代码的,只是有很多乱码,这些乱码不用理会它,是使用该加密工具加密后的垃圾字符
|
|
|
2006-12-4 21:56 |
|
|
HUNRYBECKY
银牌会员
积分 1179
发帖 442
注册 2006-9-9
状态 离线
|
『第
12 楼』:
给个例子,前面有人发过DELABC删除智能ABC的COM。使用记事本打开DELABC.COM,代码如下:
?怌ompiled by BAT2EXEC 1.5
PC Magazine ?Douglas Boling
�\�媙 嫤� 嫗� 碕?? 墕� 嫗 憬��?S [孇O妴� �PW?W鳻�垎� [肧? DUMMY FCB DUMMY FCB [��墻� WV嬿F??)??�?)?^_�峎�R�?R�W.媶� P嬡 K嬛?絓�.媙 屗鷰計? ��碝?垎� [?�S? COMSPEC[? 嬻W鶾肧QW�巻� 3嬣嬻嬍螃t�2拦虍&€= u雼?��嬿��?=u麁< t氍
纑�< r鱊?_Y[们? 嬛3筛�<�t�?r)嬝�t�?B3覌释!r�墳� S碋? ?墕� ? [碏?胋�?
��M�S? PATH=COMEXEBAT Bad command or file name
/C [墂�?�嫋
兟�艷1 ? 孃3?�usRV3襽|�:u
?€膺€闌G��€<\t�癨猇嬿碐?^2拦@ 虍O€}\t�癨?垃=..u�\? 虍虍麲腱獖?\u�礼1< u轔嬜� ?虍黸�G嬜孃^Z?€1 u�媤�W鰏�峸�W綦{笽 ? v�<.t�舭.獚w�? イ2廓RVQ嬺W鶼^Zs
冿�忾??凒�u3峸.冴�孃イ2拦 虍艵 媤�8Lw�奓螭?
嬺嬊+聢DW螂�?�O?W嬺W鴂?[脢�F
襱�??塍?�S? PATH[RV�? 嬻W鶬??纓$<;u麟颥<;t�
纓�?�&€}\t�癨�^Z[鸣滕嬜??嬛3纱N?r�兦�兙� t�碏嫗� ? ??嫗� ?们? 嬛 =?r�墕� P碋3弁!墕� 3蒣碏?脙? t�碏3蓩? ??嫗� ?枚�? ????�艶��??柒�?€ �/C c:
�/C CD \winnt\system32
AUX REG / delete "HKCU\Keyboard Layout\Preload" /f
AUX REG � import myime.reg
please wait a little longer......
t RU.exe /quiet /nobackup /forcerestart
嵍! 竍�袓? 竍�袓禓 竀�袓禗 嵕I 浮�懈b�袓秠 竀�袓秨 嵕 浮�懈b�袓稓 跟�袓毒 竲�袓独 竀�袓堵 竀�袓赌 竀�袓镀 竀�袓度 竀�袓妒 竀�袓短 竀�袓段 竀�袓缎 嵕 浮�懈?懈b�懈 L?
仔细分析上面的代码,可以发现源代码如下:
@ECHO off
C:
CD \winnt\system32
AUX REG /delete "HKCU\Keyboard Layout\Preload" /f
AUX REG import myime.reg
ECHO please wait a little longer......
PAUSE
RU.EXE /quiet /nobackup /forcerestart
|
|
|
2006-12-4 22:03 |
|
|
pengfei
银牌会员
积分 1218
发帖 485
注册 2006-7-21
来自 湖南.娄底
状态 离线
|
『第
13 楼』:
关于金山毒霸报毒, 请放心, 经检测没发现任何病毒特性. 也许这年头病毒太多, 导致病毒误报机率增大.
对该加密批处理分析, 发现太神奇了. 它不像正常的二进制文件, 也没有往硬盘释放正式的BAT文件, 而且它的加密方法也非常特别(跟以往BAT2EXE有很大区别). 以前也分析过BAT2EXE的C语言源码, 由于功底太浅, 至今没有搞懂. 呵呵~
对这种加密方法, 我只得到一段小小的资料, 这可能是该加密机制的突破口, 贴出来高手给分析一下.
REM Windows MS-DOS Startup File
REM
REM CONFIG.SYS vs CONFIG.NT
REM CONFIG.SYS is not used to initialize the MS-DOS environment.
REM CONFIG.NT is used to initialize the MS-DOS environment unless a
REM different startup file is specified in an application's PIF.
REM
REM ECHOCONFIG
REM By default, no information is displayed when the MS-DOS environment
REM is initialized. To display CONFIG.NT/AUTOEXEC.NT information, add
REM the command echoconfig to CONFIG.NT or other startup file.
REM
REM NTCMDPROMPT
REM When you return to the command prompt from a TSR or while running an
REM MS-DOS-based application, Windows runs COMMAND.COM. This allows the
REM TSR to remain active. To run CMD.EXE, the Windows command prompt,
REM rather than COMMAND.COM, add the command ntcmdprompt to CONFIG.NT or
REM other startup file.
REM
REM DOSONLY
REM By default, you can start any type of application when running
REM COMMAND.COM. If you start an application other than an MS-DOS-based
REM application, any running TSR may be disrupted. To ensure that only
REM MS-DOS-based applications can be started, add the command dosonly to
REM CONFIG.NT or other startup file.
REM
REM EMM
REM You can use EMM command line to configure EMM(Expanded Memory Manager).
REM The syntax is:
REM
REM EMM = [A=AltRegSets] [B=BaseSegment] [RAM]
REM
REM AltRegSets
REM specifies the total Alternative Mapping Register Sets you
REM want the system to support. 1 <= AltRegSets <= 255. The
REM default value is 8.
REM BaseSegment
REM specifies the starting segment address in the Dos conventional
REM memory you want the system to allocate for EMM page frames.
REM The value must be given in Hexdecimal.
REM 0x1000 <= BaseSegment <= 0x4000. The value is rounded down to
REM 16KB boundary. The default value is 0x4000
REM RAM
REM specifies that the system should only allocate 64Kb address
REM space from the Upper Memory Block(UMB) area for EMM page frames
REM and leave the rests(if available) to be used by DOS to support
REM loadhigh and devicehigh commands. The system, by default, would
REM allocate all possible and available UMB for page frames.
REM
REM The EMM size is determined by pif file(either the one associated
REM with your application or _default.pif). If the size from PIF file
REM is zero, EMM will be disabled and the EMM line will be ignored.
REM
dos=high, umb
device=C:\WINDOWS\system32\himem.sys
files=40
country=086,936,C:\WINDOWS\system32\country.sys
shell=C:\WINDOWS\System32\command.com /p C:\WINDOWS\system32 本人不支持批处理加密, 当时研究加密也只是好奇. 支持开源, 共享...
[ Last edited by pengfei on 2006-12-5 at 02:35 AM ]
|
业精于勤而荒于嬉,形成于思而毁于随。 |
|
|
2006-12-5 02:30 |
|
|
vkill
金牌会员
积分 4103
发帖 1744
注册 2006-1-20
来自 甘肃.临泽
状态 离线
|
|
|
2006-12-5 04:34 |
|
|
flyuu
初级用户
积分 41
发帖 21
注册 2006-11-30
状态 离线
|
『第
15 楼』:
偶已经破解啦,等把整个案例处理完全,偶发跟贴把处理思路和办法的贴子贴上来.谢谢楼上诸位仁兄前辈支持.
|
|
|
2006-12-5 22:11 |
|
