[新手上路]批处理新手入门导读[视频教程]批处理基础视频教程[视频教程]VBS基础视频教程[批处理精品]批处理版照片整理器
[批处理精品]纯批处理备份&还原驱动[批处理精品]CMD命令50条不能说的秘密[在线下载]第三方命令行工具[在线帮助]VBScript / JScript 在线参考
返回列表 发帖
tireless

Rank: 6Rank: 6

帖子
381 
积分
1801 
技术
9  
捐助
0  
注册时间
2008-10-27 
1 跳转到 »
发表于 2009-2-15 21:15 | 显示全部帖子
54cml 的读取 cmd.exe 的参数的方法不错。鉴于此,也可以用 wmic。
导入以下reg文件,再运行加密的exe:
  1. Windows Registry Editor Version 5.00

  2. 

  3. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor]

  4. "AutoRun"="wmic PROCESS where Name=\"cmd.exe\" get CommandLine>%temp%\\路径.txt&start notepad %temp%\\路径.txt&exit"
复制代码
恢复注册表键值:
  1. Windows Registry Editor Version 5.00

  2. 

  3. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor]

  4. "AutoRun"=""
复制代码
1

评分人数

TOP

tireless

Rank: 6Rank: 6

帖子
381 
积分
1801 
技术
9  
捐助
0  
注册时间
2008-10-27 
2
发表于 2009-2-15 21:35 | 显示全部帖子

回复 15楼 的帖子

尾部有个 exit,exe里面的bat应该不会被执行。要不你测试下 cs.exe

TOP

tireless

Rank: 6Rank: 6

帖子
381 
积分
1801 
技术
9  
捐助
0  
注册时间
2008-10-27 
3
发表于 2009-2-16 02:56 | 显示全部帖子
测试发现,利用映像劫持或者修改 Command Processor AutoRun 的方法都不太可靠。例如以下两个测试文件,用这两个方法就行不通:

关卡巴程序.exe 用OllyDBG解出来了,批处理工具箱.exe 没解出来...

[ 本帖最后由 Batcher 于 2009-5-9 21:52 编辑 ]

TOP

tireless

Rank: 6Rank: 6

帖子
381 
积分
1801 
技术
9  
捐助
0  
注册时间
2008-10-27 
4
发表于 2009-6-28 19:39 | 显示全部帖子

方案四的第一个reg文件可改为

  1. Windows Registry Editor Version 5.00

  2. 

  3. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor]

  4. "AutoRun"="echo %cmdcmdline%>\"%temp%\\batpath.txt\"&start \"\" \"%temp%\\batpath.txt\"&exit"
复制代码

TOP

返回列表