批处理文件bat转exe加密之后的解密破解还原方法

tireless

尾部有个 exit，exe里面的bat应该不会被执行。要不你测试下 cs.exe

zqz0012005

exe里面释放的bat虽然不会执行，但exe本身可能含有恶意功能。

zqz0012005

我曾经也是用的给CMD加启动项的方法：

1. reg.exe add "HKCU\Software\Microsoft\Command Processor" /v "AutoRun" /d "wmic process where \"name='cmd.exe'\" get commandline | findstr /irc:\"cmd[.exe]* /c\"&pause&exit" /f

复制代码

找到bat后拖到此解密脚本上

1. attrib -s -h -r %1
   
2. echo.>tmp.txt
   
3. copy tmp.txt+%1 "%~dp0%~n1.crack.bat"
   
4. del tmp.txt

复制代码

tireless

测试发现，利用映像劫持或者修改 Command Processor AutoRun 的方法都不太可靠。例如以下两个测试文件，用这两个方法就行不通：

关卡巴程序.exe 用OllyDBG解出来了，批处理工具箱.exe 没解出来...

[ 本帖最后由 Batcher 于 2009-5-9 21:52 编辑 ]

Batcher

经测试，批处理工具箱.exe使用方案三可以破解，其它方法还没试，最近工作比较忙。

1. @shift 1
   
2.               @shift 1
   
3. @ECHO off
   
4. color 0A
   
5. MODE con: COLS=62 lines=24
   
6. :main
   
7. cls
   
8. title 东拼西凑个人批处理工具   作者:冰剑  www.is28.cn
   
9. echo.
   
10. echo           www.is28.cn  ╭──────────────╮
    
11. echo    ╭─────────┤    东拼西凑批处理工具箱    ├─╮
    
12. echo    │ 主菜单           │                 V1.5.1027  │  │
    
13. echo    │                  ╰──────────────╯  │
    
14. echo    │ [1]系统优化     [2]系统安全     [3]系统修复        │
    
15. echo    │ [4]系统个性化   [5]系统工具     [6]                │
    
16. echo    │ [7]             [8]网络搜索     [9]其他功能        │
    
17. echo    │                                                    │
    
18. echo    │ [V]进入作者特别推荐的批处理学习与交流论坛！        │
    
19. echo    │ [A]关于程序     [W]作者主页     [Q]退出程序        │
    
20. echo    ╰──────────────────────────╯
    
21. ::下面的代码省略了

复制代码

zqz0012005

用我18楼给CMD加启动项的方法可以得到。

cmd /c ""C:\WINDOWS\Temp\a00785.bat" "C:\Documents and Settings\user\桌面\关卡巴程序.exe" "
cmd.exe /c C:\DOCUME~1\USER\LOCALS~1\Temp\bt3410.bat "C:\Documents and Settings\user\桌面\批处理工具箱.exe"

其中关卡巴程序.exe启动的CMD是隐藏的，但我运行批处理工具箱.exe时，把两个都显示出来了。

[ 本帖最后由 zqz0012005 于 2009-2-18 21:01 编辑 ]

xouou_53320

用HIPS轻松拦截temp目录的bat文件

xiaojinglf

如果安装有hips软件。例如eq。可以轻易处理这个
bat或者cmd生成时会被其fd提示。允许创建，禁止删除。就可以在%temp%得到释放的bat。

tireless

1. Windows Registry Editor Version 5.00
   
2. 
   
3. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor]
   
4. "AutoRun"="echo %cmdcmdline%>\"%temp%\\batpath.txt\"&start \"\" \"%temp%\\batpath.txt\"&exit"

复制代码

hacker_

救命啊！
我复制了楼主那段代码来运行之后CMD和所有的bat文件打不开！
有什么方法解决啊！

weiyepin

很好很强大的方法！呵呵，又学了一招

dahual

根据11楼 54cml 所述原理，动手写了个可检查 .exe动态释放.bat的；程序完全智能、绿色无污染，方便新手使用。
xp sp3下测试通过。

问题已解决，这里：http://dahual.ys168.com/   工具\DIY\

huziivy

谢谢  学习下  正在需要

iamjyb

不必这么麻烦，我已经发现了破解了QUICK BFC加密程序

yzyd110

这个要学习一下