中国DOS联盟论坛

中国DOS联盟

-- 联合DOS 推动DOS 发展DOS --

联盟域名:www.cn-dos.net  论坛域名:www.cn-dos.net/forum
DOS,代表着自由开放与发展,我们努力起来,学习FreeDOS和Linux的自由开放与GNU精神,共同创造和发展美好的自由与GNU GPL世界吧!

游客:  注册 | 登录 | 命令行 | 会员 | 搜索 | 上传 | 帮助 »
中国DOS联盟论坛 » 其它操作系统综合讨论区 » [讨论]研究了下cmd.exe有很多新发现
« [1] [2] »
作者:
标题: [讨论]研究了下cmd.exe有很多新发现 上一主题 | 下一主题
electronixtar
铂金会员





积分 7493
发帖 2672
注册 2005-9-2
状态 离线
『楼 主』:  [讨论]研究了下cmd.exe有很多新发现

用 记事本 打开 cmd.exe 可以看到很多东西

首先是:
msvcrt.dll KERNEL32.dll NTDLL.DLL USER32.dll
说明cmd依赖这几个系统dll

接下来是个很关键的东西:
software\Policies\Microsoft\Windows\System

这里有几个注册表键值,干什么的呢?
在网上有很多技巧可以禁用cmd,特别是网吧里。很多管理员把cmd禁用了,因为cmd用处大危害大,但是这些管理员又没有直接把cmd.exe删除,而是把改名,或者在注册表改一个 策略 的设置,把cmd禁用了。cmd就是根据这些注册表键值来提示:命令行工具已被管理员禁用~~所以我们可以直接修改cmd.exe把这些键值改成别的,cmd不就可以用了嘛~~~
edit /80 C:\Windows\System32\cmd.exe
PageDown几次到Line 215,小心的按Insert键切换到替换模式,然后随便改上面说的 software\Policies\Microsoft\Windows\System 注册表路径的一个字母,cmd就解禁了,HOHO~~

接下来的乱码中有 for if assoc ftype 的一些字符串,例如我看到了 NEQ

然后有发现了cmd调用的几个Win32 API

  Quote:
SaferRecordEventLogEntry
ImpersonateLoggedOnUser
SaferCloseLevel
SaferComputeTokenFromLevel
SaferIdentifyLevel
RevertToSelf
RegQueryValueW
RegEnumKeyW
RegDeleteKeyW
RegSetValueW
RegCloseKey
RegQueryValueExW
RegOpenKeyW
RegSetValueExW
RegCreateKeyExW
CreateProcessAsUserW
RegOpenKeyExW
FreeSid
LookupAccountSidW
GetSecurityDescriptorOwner
GetFileSecurityW
ShellExecuteExW
SHChangeNotify
WNetCancelConnection2W
WNetGetConnectionW
WNetAddConnection2W

甚至cmd.pdb

接下来发现了几个神秘的内部命令
dpath

  Quote:
允许程序象在当前目录中那样打开指定目录中的数据文件。

APPEND [[drive:]path[;...]] [/X[:ON | :OFF]] [/PATH:ON | /PATH:OFF] [/E]
APPEND ;

  [drive:]path 指定要附加的驱动器和目录。
  /X:ON        用附加的目录用于文件搜索和应用程序执行。
  /X:OFF       将附加的目录仅用于打开文件的请求。/X:OFF 为默认
               设置。
  /PATH:ON     将附加的目录用于已经指定路径的文件请求。
               /PATH:ON 为默认设置。
  /PATH:OFF    关闭 /PATH:ON 的效果。
  /E           在名为 APPEND 环境变量中存储一份附加目录列表。/E
                 只能在系统启动后第一次使用 APPEND 时使用。

键入 APPEND ; 来清除附加目录列表。
键入 APPEND 而不带参数来显示这个附加目录列表。

怎么现实的是append的帮助呢?

%cmdextversion%
扩展到cmd的版本?这个比较实用,呵呵
(后来发现这个东西在 if 的帮助文档里提到过,晕~~看书不仔细啊~~)

keys

  Quote:
在 DOS 系统上启用或停用命令行编辑

这在与 DOS 系统兼容的环境是可行的。它在 Windows XP 之下
并无作用;原因是命令行编辑总是处于启用状态。

verify

  Quote:
指示 cmd.exe 是否要验证文件是否已正确地写入磁盘。

ERIFY [ON | OFF]

要显示当前 VERIFY 设置,键入不带参数的 VERIFY。

%pathext%
显示的是
.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
难道说是,脚本?

kcquax
这是什么东东呢?
fdpnxsatz
这个又是什么呢?
pprrw?

据汇编高手WQXQIQI说,Win2k源代码泄漏有cmd.exe,那个高手能研究下不?没想到cmd里的秘密这么多呢

再往下翻,可以看到unicode的很多错误信息,由于我在家里上网,没有高级工具,所以没法贴出来,大家可以看看

再往下翻,有很多零碎的字符,但是很有用。很多是内部命令的帮助信息

然后是 注册表 里有关cmd自启动、自动填充的特性的注册表键值

下次我会用反汇编、Win32PE结构来分析cmd.exe

[ Last edited by electronixtar on 2006-10-3 at 01:27 ]




C:\>BLOG http://initiative.yo2.cn/
C:\>hh.exe ntcmds.chm::/ntcmds.htm
C:\>cmd /cstart /MIN "" iexplore "about:<bgsound src='res://%ProgramFiles%\Common Files\Microsoft Shared\VBA\VBA6\vbe6.dll/10/5432'>"
2006-10-2 23:14
查看资料  发送邮件  发短消息 网志   编辑帖子  回复  引用回复
liangbin
初级用户




积分 116
发帖 5
注册 2004-2-12
状态 离线
『第 2 楼』:  

沙发 

2006-10-2 23:31
查看资料  发送邮件  访问主页  发短消息 网志   编辑帖子  回复  引用回复
electronixtar
铂金会员





积分 7493
发帖 2672
注册 2005-9-2
状态 离线
『第 3 楼』:  

板凳~~~^_^




C:\>BLOG http://initiative.yo2.cn/
C:\>hh.exe ntcmds.chm::/ntcmds.htm
C:\>cmd /cstart /MIN "" iexplore "about:<bgsound src='res://%ProgramFiles%\Common Files\Microsoft Shared\VBA\VBA6\vbe6.dll/10/5432'>"
2006-10-2 23:35
查看资料  发送邮件  发短消息 网志   编辑帖子  回复  引用回复
redtek
金牌会员





积分 2902
发帖 1147
注册 2006-9-21
状态 离线
『第 4 楼』:  

欣赏!!!

2006-10-2 23:44
查看资料  发送邮件  发短消息 网志   编辑帖子  回复  引用回复
lxmxn
版主




积分 11386
发帖 4938
注册 2006-7-23
状态 离线
『第 5 楼』:  

顶一个先

学习ing…………


2006-10-3 00:59
查看资料  发送邮件  发短消息 网志   编辑帖子  回复  引用回复
proof
高级用户





积分 687
发帖 222
注册 2005-8-21
状态 离线
『第 6 楼』:  

欣赏!!!



[ Last edited by proof on 2006-10-3 at 02:07 ]

2006-10-3 01:54
查看资料  发短消息 网志   编辑帖子  回复  引用回复
holyman
初级用户





积分 42
发帖 20
注册 2006-10-24
状态 离线
『第 7 楼』:  

不错是不错,不过好像刚起步,有效的信息不多

2006-10-25 10:14
查看资料  发送邮件  发短消息 网志   编辑帖子  回复  引用回复
electronixtar
铂金会员





积分 7493
发帖 2672
注册 2005-9-2
状态 离线
『第 8 楼』:  

有人会反汇编吗?把cmd反汇编了看看有什么好东东?




C:\>BLOG http://initiative.yo2.cn/
C:\>hh.exe ntcmds.chm::/ntcmds.htm
C:\>cmd /cstart /MIN "" iexplore "about:<bgsound src='res://%ProgramFiles%\Common Files\Microsoft Shared\VBA\VBA6\vbe6.dll/10/5432'>"
2006-10-25 11:47
查看资料  发送邮件  发短消息 网志   编辑帖子  回复  引用回复
liangdezhi
初级用户





积分 26
发帖 12
注册 2006-10-11
状态 离线
『第 9 楼』:  

我用记事本打开多是乱码啊
求怎么打开啊?
谢谢~~~~~~~

2006-10-25 13:06
查看资料  发送邮件  发短消息 网志   编辑帖子  回复  引用回复
exipt
新手上路





积分 6
发帖 3
注册 2006-10-12
状态 离线
『第 10 楼』:  

沙发不知道这个cmd是不是XP2的用

还有就是这些AIP函数的具体用法能贴出来吗?感激

SaferRecordEventLogEntry
ImpersonateLoggedOnUser
SaferCloseLevel
SaferComputeTokenFromLevel
SaferIdentifyLevel
RevertToSelf
RegQueryValueW
RegEnumKeyW
RegDeleteKeyW
RegSetValueW
RegCloseKey
RegQueryValueExW
RegOpenKeyW
RegSetValueExW
RegCreateKeyExW
CreateProcessAsUserW
RegOpenKeyExW
FreeSid
LookupAccountSidW
GetSecurityDescriptorOwner
GetFileSecurityW
ShellExecuteExW
SHChangeNotify
WNetCancelConnection2W
WNetGetConnectionW
WNetAddConnection2W

[ Last edited by exipt on 2006-10-25 at 03:04 PM ]

2006-10-25 15:02
查看资料  发送邮件  发短消息 网志   编辑帖子  回复  引用回复
electronixtar
铂金会员





积分 7493
发帖 2672
注册 2005-9-2
状态 离线
『第 11 楼』:  



  Quote:
AIP函数的具体用法

MSDN上有详细说明啊,我贴出来也是 Ctrl+C Ctrl+V




C:\>BLOG http://initiative.yo2.cn/
C:\>hh.exe ntcmds.chm::/ntcmds.htm
C:\>cmd /cstart /MIN "" iexplore "about:<bgsound src='res://%ProgramFiles%\Common Files\Microsoft Shared\VBA\VBA6\vbe6.dll/10/5432'>"
2006-10-25 20:19
查看资料  发送邮件  发短消息 网志   编辑帖子  回复  引用回复
kingchain
初级用户





积分 133
发帖 57
注册 2006-3-15
状态 离线
『第 12 楼』:  

学习ING

2006-10-25 22:36
查看资料  发送邮件  发短消息 网志   编辑帖子  回复  引用回复
6622186
高级用户





积分 894
发帖 411
注册 2007-2-17
状态 离线
『第 13 楼』:  

%pathext% 是环境变量啊. 从其值可以看出 .com 是优先于 .exe的, 使用这些文件的时候是不必加后缀的. 你可以添加 .txt, 这样在命令行输入.txt文件时不必加.txt.



@set c=     不知则觉多,知则觉少,越知越多,便觉越来越少.        --- 知多少.
@for,/l,%%i,in,(1,1,55)do,@call,set/p=%%c:~%%i,1%%<nul&ping/n 1 127.1>nul


2007-5-16 23:13
查看资料  发短消息 网志   编辑帖子  回复  引用回复
joinhoone
初级用户





积分 73
发帖 39
注册 2007-5-17
状态 离线
『第 14 楼』:  

看不懂。。不过在网吧破了CMD之后做啥呢。

2007-5-17 09:46
查看资料  发送邮件  发短消息 网志   编辑帖子  回复  引用回复
pjyhl82
初级用户





积分 40
发帖 20
注册 2007-9-11
状态 离线
『第 15 楼』:  

又学到东西了,感谢

2007-9-11 23:58
查看资料  发送邮件  发短消息 网志   编辑帖子  回复  引用回复
« [1] [2] »
请注意:您目前尚未注册或登录,请您注册登录以使用论坛的各项功能,例如发表和回复帖子等。


可打印版本 | 推荐给朋友 | 订阅主题 | 收藏主题



论坛跳转: