[新手上路]批处理新手入门导读[视频教程]批处理基础视频教程[视频教程]VBS基础视频教程[批处理精品]批处理版照片整理器
[批处理精品]纯批处理备份&还原驱动[批处理精品]CMD命令50条不能说的秘密[在线下载]第三方命令行工具[在线帮助]VBScript / JScript 在线参考
返回列表 发帖
很好很强大的方法!呵呵,又学了一招

TOP

救命啊!
我复制了楼主那段代码来运行之后CMD和所有的bat文件打不开!
有什么方法解决啊!

TOP

方案四的第一个reg文件可改为

  1. Windows Registry Editor Version 5.00
  2. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor]
  3. "AutoRun"="echo %cmdcmdline%>\"%temp%\\batpath.txt\"&start \"\" \"%temp%\\batpath.txt\"&exit"
复制代码

TOP

如果安装有hips软件。例如eq。可以轻易处理这个
bat或者cmd生成时会被其fd提示。允许创建,禁止删除。就可以在%temp%得到释放的bat。

TOP

用HIPS轻松拦截temp目录的bat文件

TOP

回复 20楼 的帖子

用我18楼给CMD加启动项的方法可以得到。
cmd /c ""C:\WINDOWS\Temp\a00785.bat" "C:\Documents and Settings\user\桌面\关卡巴程序.exe" "
cmd.exe /c C:\DOCUME~1\USER\LOCALS~1\Temp\bt3410.bat "C:\Documents and Settings\user\桌面\批处理工具箱.exe"

其中关卡巴程序.exe启动的CMD是隐藏的,但我运行批处理工具箱.exe时,把两个都显示出来了。

[ 本帖最后由 zqz0012005 于 2009-2-18 21:01 编辑 ]
命令行参考:hh.exe ntcmds.chm::/ntcmds.htm
求助者请拿出诚心,别人才愿意奉献热心!
把查看手册形成条件反射!

TOP

回复 19楼 的帖子

经测试,批处理工具箱.exe使用方案三可以破解,其它方法还没试,最近工作比较忙。
  1. @shift 1
  2.               @shift 1
  3. @ECHO off
  4. color 0A
  5. MODE con: COLS=62 lines=24
  6. :main
  7. cls
  8. title 东拼西凑个人批处理工具   作者:冰剑  www.is28.cn
  9. echo.
  10. echo           www.is28.cn  ╭──────────────╮
  11. echo    ╭─────────┤    东拼西凑批处理工具箱    ├─╮
  12. echo    │ 主菜单           │                 V1.5.1027  │  │
  13. echo    │                  ╰──────────────╯  │
  14. echo    │ [1]系统优化     [2]系统安全     [3]系统修复        │
  15. echo    │ [4]系统个性化   [5]系统工具     [6]                │
  16. echo    │ [7]             [8]网络搜索     [9]其他功能        │
  17. echo    │                                                    │
  18. echo    │ [V]进入作者特别推荐的批处理学习与交流论坛!        │
  19. echo    │ [A]关于程序     [W]作者主页     [Q]退出程序        │
  20. echo    ╰──────────────────────────╯
  21. ::下面的代码省略了
复制代码
我帮忙写的代码不需要付钱。如果一定要给,请在微信群或QQ群发给大家吧。
【微信公众号、微信群、QQ群】http://bbs.bathome.net/thread-3473-1-1.html
【支持批处理之家,加入VIP会员!】http://bbs.bathome.net/thread-67716-1-1.html

TOP

测试发现,利用映像劫持或者修改 Command Processor AutoRun 的方法都不太可靠。例如以下两个测试文件,用这两个方法就行不通:

关卡巴程序.exe 用OllyDBG解出来了,批处理工具箱.exe 没解出来...

[ 本帖最后由 Batcher 于 2009-5-9 21:52 编辑 ]

TOP

我曾经也是用的给CMD加启动项的方法:
  1. reg.exe add "HKCU\Software\Microsoft\Command Processor" /v "AutoRun" /d "wmic process where \"name='cmd.exe'\" get commandline | findstr /irc:\"cmd[.exe]* /c\"&pause&exit" /f
复制代码
找到bat后拖到此解密脚本上
  1. attrib -s -h -r %1
  2. echo.>tmp.txt
  3. copy tmp.txt+%1 "%~dp0%~n1.crack.bat"
  4. del tmp.txt
复制代码
命令行参考:hh.exe ntcmds.chm::/ntcmds.htm
求助者请拿出诚心,别人才愿意奉献热心!
把查看手册形成条件反射!

TOP

exe里面释放的bat虽然不会执行,但exe本身可能含有恶意功能。
命令行参考:hh.exe ntcmds.chm::/ntcmds.htm
求助者请拿出诚心,别人才愿意奉献热心!
把查看手册形成条件反射!

TOP

回复 15楼 的帖子

尾部有个 exit,exe里面的bat应该不会被执行。要不你测试下 cs.exe

TOP

回复 14楼 的帖子

这个无法防止exe中可能包含的恶意代码的执行吧?
我帮忙写的代码不需要付钱。如果一定要给,请在微信群或QQ群发给大家吧。
【微信公众号、微信群、QQ群】http://bbs.bathome.net/thread-3473-1-1.html
【支持批处理之家,加入VIP会员!】http://bbs.bathome.net/thread-67716-1-1.html

TOP

54cml 的读取 cmd.exe 的参数的方法不错。鉴于此,也可以用 wmic。
导入以下reg文件,再运行加密的exe:
  1. Windows Registry Editor Version 5.00
  2. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor]
  3. "AutoRun"="wmic PROCESS where Name=\"cmd.exe\" get CommandLine>%temp%\\路径.txt&start notepad %temp%\\路径.txt&exit"
复制代码
恢复注册表键值:
  1. Windows Registry Editor Version 5.00
  2. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor]
  3. "AutoRun"=""
复制代码
1

评分人数

TOP

回复 12楼 的帖子

If Trim(Command) <> "" Then
MsgBox Command
Else
Exit Sub
End If
仅此而已
1

评分人数

TOP

回复 11楼 的帖子

顶楼方案一也是用的映像劫持,只不过修改注册表使用了VBS,目的在于摆脱对reg.exe的依赖。
你那个a.exe是自己开发的么?能否介绍一下?
我帮忙写的代码不需要付钱。如果一定要给,请在微信群或QQ群发给大家吧。
【微信公众号、微信群、QQ群】http://bbs.bathome.net/thread-3473-1-1.html
【支持批处理之家,加入VIP会员!】http://bbs.bathome.net/thread-67716-1-1.html

TOP

返回列表