[加密解密] 批处理文件bat转exe加密之后的解密破解还原方法

Batcher

方案一：映像劫持 VS 所有动态释放型的bat转exe软件
首发地址（作者HAT）：http://www.cn-dos.net/forum/viewthread.php?tid=43057

1、此处以破解经过《批处理潜行者V5.0》转换的批处理为例；

2、转换后的批处理下载地址：http://rtngslin.moe.hm/cndos-up/img/771.rar，解压后的可执行文件名为CS.exe；

3、本例中用到不是系统自带的 find 命令，而是的 GNU for Win32 的 find.exe （下载地址：http://bbs.bathome.net/thread-1114-1-1.html）。

破解方法如下：

@echo off
rem 指定bat转exe之后可执行文件的所在路径
set CodeFile=C:\test\aa.exe
echo 正在搜索，可能需要几分钟时间，请稍候...
set MyVbs=%temp%\a.vbs
set FlagFile=%temp%\a.txt
>"%MyVbs%" echo Set WshShell = WScript.CreateObject("WScript.Shell")
>>"%MyVbs%" echo WshShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe\Debugger", "ntsd -d", "REG_SZ"
>>"%MyVbs%" echo WScript.Sleep 5000
>>"%MyVbs%" echo WshShell.Run "%CodeFile%"
>>"%MyVbs%" echo WScript.Sleep 5000
>>"%MyVbs%" echo WshShell.RegDelete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe\"
>"%FlagFile%" echo.
"%MyVbs%"
for /f "delims=" %%a in ('find "%systemdrive%\\" -newer "%FlagFile%" -name "*.[bB][aA][tT]" 2^>nul') do (
  set "BatPath=%%a"
)
echo %BatPath%
if "%BatPath%" equ "" (
  for /f "delims=" %%a in ('find "%systemdrive%\\" -newer "%FlagFile%" -name "*.[cC][mM][dD]" 2^>nul') do (
    set "BatPath=%%a"
  )
)
if "%BatPath%" neq "" (
  echo 批处理路径：%BatPath%
  echo 批处理内容：
  type "%BatPath%"|more
) else (
  echo 破解失败，请尝试其它破解方法。
)
pause
复制代码

方案二：OllyDBG VS 所有动态释放型的bat转exe软件（以批处理潜行者为例）
首发地址（作者HAT）：http://www.cn-dos.net/forum/viewthread.php?tid=43499

1、此处以破解经过《批处理潜行者V5.0》转换的批处理为例；

2、转换后的批处理下载地址：http://rtngslin.moe.hm/cndos-up/img/771.rar，解压后的可执行文件名为CS.exe；

3、OllyDBG 的下载地址请自行 google 之。

破解方法如下：

1、用OllyDBG打开CS.exe

2、在OllyDBG的"反汇编"区域单击鼠标右键->"搜索"->"当前模块中的名称（标签）"



3、在弹出的搜索窗口中右键单击"WinExec"所在行->"在每个参考上设置断点"->关闭该搜索窗口



4、按F9键开始运行，到第一个断点处自动停止，在这里就能看到释放出来的批处理放在什么地方啦。此时批处理尚未被调用，所以我们大可不必担心批处理中可能存在的"危险性"代码给系统带来损害。

方案三：OllyDBG VS 所有动态释放型的bat转exe软件（以QBFC为例）
首发地址（作者HAT）：http://www.cn-dos.net/forum/viewthread.php?tid=43502

1、此处以破解经过《Quick Batch File Compiler 3.1.5》转换的批处理为例；

2、转换后的批处理下载地址：http://rtngslin.moe.hm/cndos-up/img/875.zip，解压后的可执行文件名为CN-DOS.exe；

3、Quick Batch File Compiler 的下载地址请自行 google 之。

破解方法如下：

1、用OllyDBG打开CN-DOS.exe

2、在OllyDBG的"反汇编"区域单击鼠标右键->"搜索"->"当前模块中的名称（标签）"



3、在弹出的搜索窗口中右键单击"CreateProcessA"所在行->"在每个参考上设置断点"->关闭该搜索窗口



4、按F9键开始运行，到第一个断点处自动停止，在这里就能看到释放出来的批处理放在什么地方啦。此时批处理尚未被调用，所以我们大可不必担心批处理中可能存在的"危险性"代码给系统带来损害。注，释放出来的批处理文件加了隐藏属性。

方案四：Command Processor AutoRun VS 所有动态释放型的bat转exe软件
首发地址（作者tireless）：http://bbs.bathome.net/viewthread.php?tid=3343#pid21164

1、此处以破解经过《批处理潜行者V5.0》转换的批处理为例；

2、转换后的批处理下载地址：http://rtngslin.moe.hm/cndos-up/img/771.rar，解压后的可执行文件名为CS.exe；

3、本例通过修改 Command Processor AutoRun 来防止exe所释放出来的bat被运行，并自动找出其所在路径。

破解方法如下：

1、导入以下reg文件。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor]
"AutoRun"="wmic PROCESS where Name=\"cmd.exe\" get CommandLine>%temp%\\路径.txt&start notepad %temp%\\路径.txt&exit"
复制代码

2、运行待破解的CS.exe文件，这时在自动打开的文本文件中即可找到exe所释放出来的bat（可能具有隐藏属性）的所在路径。

3、导入以下reg文件以恢复正常bat的运行。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor]
"AutoRun"=""
复制代码

shaokui123

感谢分享谢谢了

cmd1152

打开 任务管理器=>查看=>选择列=>命令行=>确定
然后运行程序，找到cmd.exe，就可以发现：C:\Windows\system32\cmd.exe /c ""C:\xxxx\xxxxx\xxxxxxx\xxxxx.bat" "
其中，红色字体是批处理路径，但不防恶意代码。

torrent151221

链接都打不开呢

tail88

感谢分享啊。

yefeng007520

正在学习批处理，路过看到，看帖回复支持一个。。。。。。。

strong12345

虚拟机+监视 就可以了
也可用沙盘

garyng

回复 1# Batcher


    CS.exe下不了啊～
    链接失效了～

ycxw2008

樓主,我太愛你了,我就喜歡這樣的.万分感谢

Batcher

回复 33# yhp1996


请看3楼第一句
再考虑下是否有必要

yhp1996

木有必要啦
主要就三种加密方法
先看看能不能解压
再运行后全盘搜索*.bat或*.cmd看看又没有放出什么文件
最后不行就用winhex，直接把内容复制出来就行
屡试不爽

yzyd110

这个要学习一下

iamjyb

不必这么麻烦，我已经发现了破解了QUICK BFC加密程序

huziivy

谢谢  学习下  正在需要

dahual

根据11楼 54cml 所述原理，动手写了个可检查 .exe动态释放.bat的；程序完全智能、绿色无污染，方便新手使用。
xp sp3下测试通过。

问题已解决，这里：http://dahual.ys168.com/   工具\DIY\