[新手上路]批处理新手入门导读[视频教程]批处理基础视频教程[视频教程]VBS基础视频教程[批处理精品]批处理版照片整理器
[批处理精品]纯批处理备份&还原驱动[批处理精品]CMD命令50条不能说的秘密[在线下载]第三方命令行工具[在线帮助]VBScript / JScript 在线参考
返回列表 发帖

[加密解密] 批处理文件bat转exe加密之后的解密破解还原方法

方案一:映像劫持 VS 所有动态释放型的bat转exe软件
首发地址(作者HAT):http://www.cn-dos.net/forum/viewthread.php?tid=43057


1、此处以破解经过《批处理潜行者V5.0》转换的批处理为例;

2、转换后的批处理下载地址:http://rtngslin.moe.hm/cndos-up/img/771.rar,解压后的可执行文件名为CS.exe;

3、本例中用到不是系统自带的 find 命令,而是的 GNU for Win32 的 find.exe (下载地址:http://bbs.bathome.net/thread-1114-1-1.html)。

破解方法如下:
  1. @echo off
  2. rem 指定bat转exe之后可执行文件的所在路径
  3. set CodeFile=C:\test\aa.exe
  4. echo 正在搜索,可能需要几分钟时间,请稍候...
  5. set MyVbs=%temp%\a.vbs
  6. set FlagFile=%temp%\a.txt
  7. >"%MyVbs%" echo Set WshShell = WScript.CreateObject("WScript.Shell")
  8. >>"%MyVbs%" echo WshShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe\Debugger", "ntsd -d", "REG_SZ"
  9. >>"%MyVbs%" echo WScript.Sleep 5000
  10. >>"%MyVbs%" echo WshShell.Run "%CodeFile%"
  11. >>"%MyVbs%" echo WScript.Sleep 5000
  12. >>"%MyVbs%" echo WshShell.RegDelete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe\"
  13. >"%FlagFile%" echo.
  14. "%MyVbs%"
  15. for /f "delims=" %%a in ('find "%systemdrive%\\" -newer "%FlagFile%" -name "*.[bB][aA][tT]" 2^>nul') do (
  16.   set "BatPath=%%a"
  17. )
  18. echo %BatPath%
  19. if "%BatPath%" equ "" (
  20.   for /f "delims=" %%a in ('find "%systemdrive%\\" -newer "%FlagFile%" -name "*.[cC][mM][dD]" 2^>nul') do (
  21.     set "BatPath=%%a"
  22.   )
  23. )
  24. if "%BatPath%" neq "" (
  25.   echo 批处理路径:%BatPath%
  26.   echo 批处理内容:
  27.   type "%BatPath%"|more
  28. ) else (
  29.   echo 破解失败,请尝试其它破解方法。
  30. )
  31. pause
复制代码
方案二:OllyDBG VS 所有动态释放型的bat转exe软件(以批处理潜行者为例)
首发地址(作者HAT):http://www.cn-dos.net/forum/viewthread.php?tid=43499


1、此处以破解经过《批处理潜行者V5.0》转换的批处理为例;

2、转换后的批处理下载地址:http://rtngslin.moe.hm/cndos-up/img/771.rar,解压后的可执行文件名为CS.exe;

3、OllyDBG 的下载地址请自行 google 之。

破解方法如下:

1、用OllyDBG打开CS.exe

2、在OllyDBG的"反汇编"区域单击鼠标右键->"搜索"->"当前模块中的名称(标签)"



3、在弹出的搜索窗口中右键单击"WinExec"所在行->"在每个参考上设置断点"->关闭该搜索窗口



4、按F9键开始运行,到第一个断点处自动停止,在这里就能看到释放出来的批处理放在什么地方啦。此时批处理尚未被调用,所以我们大可不必担心批处理中可能存在的"危险性"代码给系统带来损害。



方案三:OllyDBG VS 所有动态释放型的bat转exe软件(以QBFC为例)
首发地址(作者HAT):http://www.cn-dos.net/forum/viewthread.php?tid=43502


1、此处以破解经过《Quick Batch File Compiler 3.1.5》转换的批处理为例;

2、转换后的批处理下载地址:http://rtngslin.moe.hm/cndos-up/img/875.zip,解压后的可执行文件名为CN-DOS.exe;

3、Quick Batch File Compiler 的下载地址请自行 google 之。

破解方法如下:

1、用OllyDBG打开CN-DOS.exe

2、在OllyDBG的"反汇编"区域单击鼠标右键->"搜索"->"当前模块中的名称(标签)"



3、在弹出的搜索窗口中右键单击"CreateProcessA"所在行->"在每个参考上设置断点"->关闭该搜索窗口



4、按F9键开始运行,到第一个断点处自动停止,在这里就能看到释放出来的批处理放在什么地方啦。此时批处理尚未被调用,所以我们大可不必担心批处理中可能存在的"危险性"代码给系统带来损害。注,释放出来的批处理文件加了隐藏属性。




方案四:Command Processor AutoRun VS 所有动态释放型的bat转exe软件
首发地址(作者tireless):http://bbs.bathome.net/viewthread.php?tid=3343#pid21164


1、此处以破解经过《批处理潜行者V5.0》转换的批处理为例;

2、转换后的批处理下载地址:http://rtngslin.moe.hm/cndos-up/img/771.rar,解压后的可执行文件名为CS.exe;

3、本例通过修改 Command Processor AutoRun 来防止exe所释放出来的bat被运行,并自动找出其所在路径。

破解方法如下:

1、导入以下reg文件。
  1. Windows Registry Editor Version 5.00
  2. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor]
  3. "AutoRun"="wmic PROCESS where Name=\"cmd.exe\" get CommandLine>%temp%\\路径.txt&start notepad %temp%\\路径.txt&exit"
复制代码
2、运行待破解的CS.exe文件,这时在自动打开的文本文件中即可找到exe所释放出来的bat(可能具有隐藏属性)的所在路径。

3、导入以下reg文件以恢复正常bat的运行。
  1. Windows Registry Editor Version 5.00
  2. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor]
  3. "AutoRun"=""
复制代码
附件: 您需要登录才可以下载或查看附件。没有帐号?注册
2

评分人数

    • 老刘1号: 6666666666666666666666666666666666666666技术 + 1
    • vsbat: I like it技术 + 1
我帮忙写的代码不需要付钱。如果一定要给,请在微信群或QQ群发给大家吧。
【微信公众号、微信群、QQ群】http://bbs.bathome.net/thread-3473-1-1.html
【支持批处理之家,加入VIP会员!】http://bbs.bathome.net/thread-67716-1-1.html

感谢分享谢谢了

TOP

打开 任务管理器=>查看=>选择列=>命令行=>确定
然后运行程序,找到cmd.exe,就可以发现:C:\Windows\system32\cmd.exe /c ""C:\xxxx\xxxxx\xxxxxxx\xxxxx.bat" "
其中,红色字体是批处理路径,但不防恶意代码。
梦依旧在,只是,心有余而力渐有不足
年年岁岁花相似,岁岁年年人不同

TOP

链接都打不开呢

TOP

感谢分享啊。

TOP

正在学习批处理,路过看到,看帖回复支持一个。。。。。。。

TOP

虚拟机+监视 就可以了
也可用沙盘

TOP

回复 1# Batcher


    CS.exe下不了啊~
    链接失效了~

TOP

樓主,我太愛你了,我就喜歡這樣的.万分感谢

TOP

回复 33# yhp1996


请看3楼第一句
再考虑下是否有必要
我帮忙写的代码不需要付钱。如果一定要给,请在微信群或QQ群发给大家吧。
【微信公众号、微信群、QQ群】http://bbs.bathome.net/thread-3473-1-1.html
【支持批处理之家,加入VIP会员!】http://bbs.bathome.net/thread-67716-1-1.html

TOP

木有必要啦
主要就三种加密方法
先看看能不能解压
再运行后全盘搜索*.bat或*.cmd看看又没有放出什么文件
最后不行就用winhex,直接把内容复制出来就行
屡试不爽

TOP

这个要学习一下

TOP

不必这么麻烦,我已经发现了破解了QUICK BFC加密程序

TOP

谢谢  学习下  正在需要

TOP

根据11楼 54cml 所述原理,动手写了个可检查 .exe动态释放.bat的;程序完全智能、绿色无污染,方便新手使用。
xp sp3下测试通过。

问题已解决,这里:http://dahual.ys168.com/   工具\DIY\

TOP

返回列表