Batcher

bat2exe还是bat2com呢？

Bat2Com成功密技教程
http://bbs.bathome.net/thread-3441-1-1.html

Seter

不惜一切就没法说了,你用FILEMON截取我不信发现不了

defanive

我想问下Batcher

Bat2Com,Com2Exe
和
Bat2Exec
解密成功过吗？

slore

2com只能顺序执行吧。。。实用性大打折扣


bat2exec更郁闷。。。

@echo off
set iexplore.exe=IE
for /f "tokens=1" %%i in ('tasklist /NH') do (
   echo %%i
)
goto :Found
goto :EOF
:Found
echo Found
pause
:EOF

EOF标签它不认得加上可以了。
但是For执行不了，能生成了，但是运行提示：
Bad command or file name
Bad command or file name
<RuuèαΘ&pound;Bad command or file name
Found
Strike any key when ready...

都不好用啊。。。

defanive

虽然说转换效果实在差，但是能不能解密还是个问题。。。

slore

源码来看，是分析bat文件，用相应的COM的语法规则去实现功能，已经不是bat，只是和bat功能一样的com文件。

好比把你的那个程序用c写个，
请输出。。。的提示换printf
scan获取你输入。。。但是运行，你用C取换肯定麻烦。

源码的一部分：
;-----------------------------------------------------------------------------
; REM CMD  Processes remark lines in batch file.
; Entry:  SI - pointer to line in BAT file
;-----------------------------------------------------------------------------
rem_cmd         proc near
                assume        cs:code,ds:code
                dec        si                        ;Back up to make sure we don't
rem_c1:         lodsb                                ;  miss a carrage return.
                cmp        al,1ah                        ;Loop until end of line or end
                je        rem_exit                ;  of file.
                cmp        al,13
                jne        rem_c1
rem_exit:
                clc
                ret
rem_cmd         endp


用汇编把rem重写了个子程序。

你bat里面遇到rem就call这个子程序。。。
你怎么解密？它就不是加密bat……

defanive

仔细看了bat2exec的源码，的确，bat2exec就是这样做的。。。

执行批处理语句必须得过cmd，或者command，始终会被截取。。。

要绕过cmd和command，只有自己写一个新的cmd来解析批处理，或者把批处理解析成某种不需要通过cmd和command可以直接运行的语言。。。

bat2exec就是这样做的。。。

难道要自己写一个cmd出来？

Seter

我想自己写一个cmd是最好的方法了...不过这还不如自己写一个程序呐,写cmd效率太低
你看这个想法怎么样:
生成cmd.exe /c "****"后用Rootkit技术隐藏进程,即使用冰刃一类的软件也只能获取到cmd.exe而无法获取参数
隐藏参数嘛,就是在进程链表中pop这个值就可以了.不过要查找就麻烦得多

defanive

cmd执行还是无语的。。。
随时可能被截取到

defanive

人家只要把cmd随便换成个自己写的程序，那程序能把参数显示出来就没用了。。。

Seter

昏..那就把cmd.exe捆绑进去!!!!!然后释放!!!用此cmd运行!!!隐藏!!!

defanive

不错的办法。。。
但是cmd还是会运行自动代码，注册表可以调。。。
然后他们用代码查看就行了。。。
总之cmd缺陷太多，安全性负数。。。

ZJHJ

怎么这么不经事啊！

wmic process where name="cmd.exe" get commandline
复制代码

defanive

哈哈，的确是一次很失败的加密。。。

detective1999

回复 28# ZJHJ


    怎么弄得啊？@@