无忧启动论坛

标题: PECMD V2.80 载入logo时的版本信息怎么隐藏？？ [打印本页]

作者: apeil 时间: 2007-4-24 20:48
标题: PECMD V2.80 载入logo时的版本信息怎么隐藏？？
如题，不知道该怎么改？？？哪位大侠说明下。

作者: armymangl 时间: 2007-4-24 21:02
http://bbs.wuyou.net/forum.php?m ... &extra=page%3D2
看作者告诉你该怎么做，做好了告诉俺方法啊，俺也没试过。:lol :lol

作者: shakaikki 时间: 2007-4-24 21:08
不过嘛最好录象下来

作者: apeil 时间: 2007-4-24 21:16

原帖由 armymangl 于 2007-4-24 09:02 PM 发表
http://bbs.wuyou.net/forum.php?mod=viewthread&tid=91524&extra=page%3D2
看作者告诉你该怎么做，做好了告诉俺方法啊，俺也没试过。:lol :lol

早就研究过了，不可以，还有谁能提供帮助？

作者: wanghh 时间: 2007-4-25 07:43
我也想知道。:D

作者: toptop 时间: 2007-4-25 17:09
期待那位写个教程！！！

作者: apeil 时间: 2007-4-26 13:50
没高手可以解答下吗？

作者: mssss123 时间: 2007-4-26 14:59
我也想学学.:) :victory:

作者: armymangl 时间: 2007-4-26 16:01
直接再pecmd.ini文件最后加上一句
TEXT
试试看行不行

作者: ujohn 时间: 2007-4-26 16:07
尊重原创，不要改！……

作者: apeil 时间: 2007-4-26 16:11

原帖由 armymangl 于 2007-4-26 04:01 PM 发表
直接再pecmd.ini文件最后加上一句
TEXT
试试看行不行

这个我知道，这样做只能去除登入后的logo。我设置了输入密码登入，问题是在这个输入密码的界面上的这个logo信息没法去除。

作者: wanghh 时间: 2007-4-26 17:25
00405B1B /$ 55             push ebp
00405B1C |. 8D6C24 88       lea    ebp, dword ptr [esp-78]
00405B20 |. 81EC 4C030000    sub    esp, 34C
00405B26 |. A1 04304100    mov    eax, dword ptr [413004]
..........
00405BE8 |. 33C0             xor    eax, eax
00405BEA |> 66:8B0C85 1826400>/mov    cx, word ptr [eax*4+402618]
00405BF2 |. 66:03C8          |add    cx, ax
00405BF5 |. 66:41          |inc    cx
00405BF7 |. 66:894C45 D4    |mov    word ptr [ebp+eax*2-2C], cx
00405BFC |. 40             |inc    eax
00405BFD |. 83F8 28          |cmp    eax, 28
00405C00 |.^7C E8          \jl    short 00405BEA

  上面的内存单元[402618]内容如下：
  00402618  1F 00 00 00 2B 00 00 00 1D 00 00 00 53 00 00 00  ...+......S...
  00402628  64 00 00 00 68 00 00 00 49 00 00 00 3D 00 00 00  d...h...I...=...
  00402638  17 00 00 00 39 00 00 00 64 00 00 00 61 00 00 00  ...9...d...a...
  00402648  60 00 00 00 53 00 00 00 5F 00 00 00 54 00 00 00  `...S..._...T...
  00402658  54 00 00 00 60 00 00 00 0D 00 00 00 14 00 00 00  T...`..........
  00402668  38 00 00 00 59 00 00 00 4D 00 00 00 51 00 00 00  8...Y...M...Q...
  00402678  4D 00 00 00 4F 00 00 00 4A 00 00 00 48 00 00 00  M...O...J...H...
  00402688  03 00 00 00 24 00 00 00 5A 00 00 00 00 00 00 00  ...$...Z.......
  00402698  2B 00 00 00 56 00 00 00 49 00 00 00 0D 00 00 00  +...V...I.......
  004026A8  11 00 00 00 0D 00 00 00 11 00 00 00 01 00 00 00  .............
  以上内存单元内容加上其位置值就是真实内容。譬如[00402618]=1F，其位置=1，1F+1=20，
  就是空格字符；又如[402624]=53，位置=4，53+4=57，就是大写W字符；依此类推，最后结果
  存在堆栈[ebp-2C]内存中。
[ebp-2C]= - Winpe Commander (Modified By Lxl1638)

00405C02 |. 33C0             xor    eax, eax
00405C04 |> 66:8B0C85 B826400>/mov    cx, word ptr [eax*4+4026B8]
00405C0C |. 66:03C8          |add    cx, ax
00405C0F |. 66:41          |inc    cx
00405C11 |. 66:898C45 34FFFFF>|mov    word ptr [ebp+eax*2-CC], cx
00405C19 |. 40             |inc    eax
00405C1A |. 83F8 0F          |cmp    eax, 0F
00405C1D |.^7C E5          \jl    short 00405C04

  内存单元[4026B8]内容如下：
  004026B8  22 00 00 00 4A 00 00 00 35 00 00 00 50 00 00 00  "...J...5...P...
  004026C8  33 00 00 00 4C 00 00 00 2D 00 00 00 28 00 00 00  3...L...-...(...
  004026D8  27 00 00 00 38 00 00 00 29 00 00 00 2C 00 00 00  '...8...)...,...
  004026E8  17 00 00 00 23 00 00 00 25 00 00 00 00 00 00 00  ...#...%.......
  跟前面一样计算方法，最后解密结果为：
[ebp-CC]= #L8T8R400B48$14
  这就是PECMD的TEXT命令用来显示[ebp-2C]内容的位置与字体。

00405C1F |. 8D85 34FFFFFF    lea    eax, dword ptr [ebp-CC]
00405C25 |. 50             push eax                            ; /<%s>
00405C26 |. 68 9C2B4000    push 00402B9C                      ; |2.7.831.2302
00405C2B |. 8D45 D4          lea    eax, dword ptr [ebp-2C]       ; |
00405C2E |. 50             push eax                            ; |<%s>
00405C2F |. 68 B82B4000    push 00402BB8                      ; |PECMD
00405C34 |. 68 C42B4000    push 00402BC4                      ; |%s%s , V%s%s*
00405C39 |. 68 00634100    push 00416300                      ; |s
00405C3E |. FF15 FC124000    call dword ptr [<&USER32.wsprintfW>]  ; \wsprintfW

  调用API函数wsprintfW来格式化上面字符串，存在[00416300]单元中，容易看出其结果为：
PECMD - Winpe Commander (Modified By Lxl1638)，V2.7.831.2302#L8T8R400B48$14

00405C44 |. 83C4 18          add    esp, 18
00405C47 |. 393D B8624100    cmp    dword ptr [4162B8], edi       ;比较是否显示字符串
00405C4D  74 4C          je    short 00405C9B  ;相等不显示，可以改为jmp，亦即74->EB
00405C4F |> 68 00634100    push 00416300                      ; /<%s> = ""
00405C54 |. 8D85 2CFDFFFF    lea    eax, dword ptr [ebp-2D4]       ; |
00405C5A |. 68 7C2B4000    push 00402B7C                      ; |%s
00405C5F |. 50             push eax                            ; |s
00405C60 |. FF15 FC124000    call dword ptr [<&USER32.wsprintfW>]  ; \wsprintfW
00405C66 |. 6A 01          push 1
00405C68 |. E8 2DFEFFFF    call 00405A9A
00405C6D |. 8D85 2CFDFFFF    lea    eax, dword ptr [ebp-2D4]
00405C73 |. 50             push eax
00405C74 |. C705 2C3D4100 FFF>mov    dword ptr [413D2C], 0FFFFFF
00405C7E |. E8 38000000    call 00405CBB                      ;调用写字符串子程序
00405C83 |. 83C4 14          add    esp, 14
00405C86 |. 68 D0070000    push 7D0                            ;/Timeout=2000.ms
00405C8B |. FF15 64104000    call dword ptr [<&KERNEL32.Sleep>] ;\Sleep
00405C91 |. 6A 00          push 0
00405C93 |. E8 02FEFFFF    call 00405A9A
00405C98 |. 83C4 04          add    esp, 4
00405C9B |> 8B4D 74          mov    ecx, dword ptr [ebp+74]
00405C9E |. A1 B8624100    mov    eax, dword ptr [4162B8]
00405CA3 |. 5F             pop    edi
00405CA4 |. 5E             pop    esi

这个子程序只要修改00405C4D这一行，亦即74改为EB就达到不显示字符串目的，不过更好方法还是不去
调用它，毕竟它会占用CPU周期与内存。它是被下面子程序来调用的：

00409A14 |. 53             push ebx
00409A15 |. E8 4BBFFFFF    call 00405965
00409A1A |. 59             pop    ecx
00409A1B E8 FBC0FFFF    call 00405B1B             ;这里调用上面，把它改为nop就好
00409A20 |. EB 20          jmp    short 00409A42
00409A22 |> 53             push ebx

最后，用十六进制软件如WinHex打开PECMD.EXE，搜索“E8FBC0FFFF”替换为“9090909090”即好。

作者: ronlin 时间: 2007-4-26 19:02
有具体的步骤吗???

作者: zhfzl2006 时间: 2007-4-26 20:47

原帖由 wanghh 于 2007-4-26 05:25 PM 发表
00405B1B /$ 55             push ebp
00405B1C |. 8D6C24 88       lea    ebp, dword ptr [esp-78]
00405B20 |. 81EC 4C030000    sub    esp, 34C
00405B26 |. A1 04304100    mov    eax ...

好像找不到亚

作者: snaketsg 时间: 2007-4-27 08:22
在内部PECMD.INI开头就来上这么一下：

TEXT 　　　　　　　　　　　　　　　　　　　　　　　　　#0xFFFF,20,720,799,758 $20

[ 本帖最后由 snaketsg 于 2007-4-27 08:25 AM 编辑 ]

作者: apeil 时间: 2007-4-27 08:27

原帖由 wanghh 于 2007-4-26 05:25 PM 发表
00405B1B /$ 55             push ebp
00405B1C |. 8D6C24 88       lea    ebp, dword ptr [esp-78]
00405B20 |. 81EC 4C030000    sub    esp, 34C
00405B26 |. A1 04304100    mov    eax ...

这个不是2.8版的

作者: apeil 时间: 2007-4-27 08:27

原帖由 snaketsg 于 2007-4-27 08:22 AM 发表
在内部PECMD.INI开头就来上这么一下：

TEXT 　　　　　　　　　　　　　　　　　　　　　　　　　#0xFFFF,20,720,799,758 $20

你试过可以？

作者: snaketsg 时间: 2007-4-27 08:27

原帖由 apeil 于 2007-4-27 08:27 AM 发表

你试过可以？

哎。。。。。。。。。。。。。

作者: apeil 时间: 2007-4-27 08:39
瞎搞，还是想想怎么编译下把那个字串找出来吧。

作者: zhfzl2006 时间: 2007-4-27 08:52

原帖由 snaketsg 于 2007-4-27 08:22 AM 发表
在内部PECMD.INI开头就来上这么一下：

TEXT 　　　　　　　　　　　　　　　　　　　　　　　　　#0xFFFF,20,720,799,758 $20

兄弟，，好像不行呀！

Snap1.jpg (63.11 KB, 下载次数: 46)

作者: apeil 时间: 2007-4-27 10:00
诶，没戏
？？。。。。。。。。。。。。。。。

作者: wanghh 时间: 2007-4-28 17:06
哪位高手修改放个上来。

作者: wanghh 时间: 2007-4-28 17:10
哪位有2.7.831.2302版本的传个上来好吗？要未加壳的。

作者: warezzzzz 时间: 2007-4-28 17:29
请看PEMCD的说明，
"LOGO之后才TEXT"
当版本讯息出现会给TEXT覆盖掉.

作者: snaketsg 时间: 2007-4-28 17:52
。。。。。。。。
。。。LOGO。。。。。
TEXT 　　　　　　　　　　　　　　　　　　　　　　　　　#0xFFFF,20,720,799,758 $20

作者: lxl1638 时间: 2007-4-28 18:02
无聊，就为一个版本信息讨论那么多，PE和Windows中有N多微软的信息，怎么不想换一下？换成自己的。PECMD仅显示一行英文版本信息，也没有中文，也只有在无忧的才知道那行文字是什么意思，非要改成自己的不成？

也说明了PECMD内置的命令可以清除那行文字。

作者: caozhi256 时间: 2007-4-28 20:49
嘻嘻，楼上的几位？！有精神不学好，挨批评了吧，我笑:lol :lol :lol

作者: allegro 时间: 2007-4-28 21:50
提示: 作者被禁止或删除内容自动屏蔽

作者: adiwdmd 时间: 2007-4-28 22:17

原帖由 allegro 于 2007-4-28 09:50 PM 发表
这个不是开源的吗？

支持,怀念Yonsm的编程风格和RP

作者: lxl1638 时间: 2007-4-28 22:55

原帖由 adiwdmd 于 2007-4-28 10:17 PM 发表

支持,怀念Yonsm的编程风格和RP

RP？RXPE？你知RXPE是从何而来吗？

作者: wanghh 时间: 2007-4-30 12:25
修改后不能登陆了。:)

作者: 风铃夜思雨 时间: 2007-4-30 13:21
ollydbg载放PECMD。EXE，右键查找所有参考文本字串，找到如下类似的信息，双击进入

"WinPE Commander (Modified By Lxl1638)"
"PECMD"
"%s - %s"
"2.8.262.1036"

双击后见到的信息为如下
0040564E  |.  68 282D4100 PUSH PECMD.00412D28                   ;  UNICODE "EXPLORER.EXE"
00405653  |.  E8 18140000 CALL PECMD.00406A70
00405658  |.  85C0       TEST EAX,EAX
0040565A  |.  59          POP ECX
0040565B  |.  75 03       JNZ SHORT PECMD.00405660
0040565D  |.  40          INC EAX
0040565E  |.  EB 02       JMP SHORT PECMD.00405662
00405660  |>  33C0       XOR EAX,EAX
00405662  |>  8325 A0434100>AND DWORD PTR DS:[4143A0],0
00405669  |.  85C0       TEST EAX,EAX
0040566B    0F84 B4000000 JE PECMD.00405725　　　　　在反汇编这列上双击这行，把JE改为JMP
00405671  |.  8B35 24134000 MOV ESI,DWORD PTR DS:[<&USER32.wsprintfW>;  USER32.wsprintfW
00405677  |.  68 302A4000 PUSH PECMD.00402A30                   ; /<%s> = "WinPE Commander (Modified By Lxl1638)"
0040567C  |.  68 7C2A4000 PUSH PECMD.00402A7C                   ; |<%s> = "PECMD"
00405681  |.  8D85 60FFFFFF LEA EAX,DWORD PTR SS:[EBP-A0]          ; |
00405687  |.  68 882A4000 PUSH PECMD.00402A88                   ; |Format = "%s - %s"
0040568C  |.  50          PUSH EAX                               ; |s
0040568D  |.  FFD6       CALL NEAR ESI                         ; \wsprintfW
0040568F  |.  68 502C4000 PUSH PECMD.00402C50                   ;  UNICODE "2.8.262.1036"
00405694  |.  8D85 60FFFFFF LEA EAX,DWORD PTR SS:[EBP-A0]
0040569A  |.  50          PUSH EAX
0040569B  |.  8D85 C0FEFFFF LEA EAX,DWORD PTR SS:[EBP-140]
004056A1  |.  68 6C2C4000 PUSH PECMD.00402C6C                   ;  UNICODE "%s , V%s#0"
004056A6  |.  50          PUSH EAX
004056A7  |.  FFD6       CALL NEAR ESI
004056A9  |.  6A 01       PUSH 1
004056AB  |.  E8 A4FEFFFF CALL PECMD.00405554

然后再在这行右键，复制到可执行文件，选择，在弹出的窗口中，关闭，会提示你保存为一个文件，将文件保存为pecmd.exe即可，这样就没有LOGO的版本信息了

作者: wanghh 时间: 2007-4-30 13:59
ollydbg载放PECMD。EXE，右键查找所有参考文本字串，找到如下类似的信息，双击进入

"WinPE Commander (Modified By Lxl1638)"
"PECMD"
"%s - %s"
"2.8.262.1036"

双击后见到的信息为如下
0040564E  |.  68 282D4100 PUSH PECMD.00412D28                   ;  UNICODE "EXPLORER.EXE"
00405653  |.  E8 18140000 CALL PECMD.00406A70
00405658  |.  85C0       TEST EAX,EAX
0040565A  |.  59          POP ECX
0040565B  |.  75 03       JNZ SHORT PECMD.00405660
0040565D  |.  40          INC EAX
0040565E  |.  EB 02       JMP SHORT PECMD.00405662
00405660  |>  33C0       XOR EAX,EAX
00405662  |>  8325 A0434100>AND DWORD PTR DS:[4143A0],0
00405669  |.  85C0       TEST EAX,EAX
0040566B    0F84 B4000000 JE PECMD.00405725　　　　　在反汇编这列上双击这行，把JE改为JMP
00405671  |.  8B35 24134000 MOV ESI,DWORD PTR DS:[<&USER32.wsprintfW>;  USER32.wsprintfW
00405677  |.  68 302A4000 PUSH PECMD.00402A30                   ; /<%s> = "WinPE Commander (Modified By Lxl1638)"
0040567C  |.  68 7C2A4000 PUSH PECMD.00402A7C                   ; |<%s> = "PECMD"
00405681  |.  8D85 60FFFFFF LEA EAX,DWORD PTR SS:[EBP-A0]          ; |
00405687  |.  68 882A4000 PUSH PECMD.00402A88                   ; |Format = "%s - %s"
0040568C  |.  50          PUSH EAX                               ; |s
0040568D  |.  FFD6       CALL NEAR ESI                         ; \wsprintfW
0040568F  |.  68 502C4000 PUSH PECMD.00402C50                   ;  UNICODE "2.8.262.1036"
00405694  |.  8D85 60FFFFFF LEA EAX,DWORD PTR SS:[EBP-A0]
0040569A  |.  50          PUSH EAX
0040569B  |.  8D85 C0FEFFFF LEA EAX,DWORD PTR SS:[EBP-140]
004056A1  |.  68 6C2C4000 PUSH PECMD.00402C6C                   ;  UNICODE "%s , V%s#0"
004056A6  |.  50          PUSH EAX
004056A7  |.  FFD6       CALL NEAR ESI
004056A9  |.  6A 01       PUSH 1
004056AB  |.  E8 A4FEFFFF CALL PECMD.00405554
风铃夜思雨高手！成了。

作者: apeil 时间: 2007-4-30 14:19

原帖由 风铃夜思雨 于 2007-4-30 01:21 PM 发表
ollydbg载放PECMD。EXE，右键查找所有参考文本字串，找到如下类似的信息，双击进入

"WinPE Commander (Modified By Lxl1638)"
";PECMD"
"%s - %s"
"2.8.262.1036"

双击后见到的信息为如下
0040564 ...

能传个改好的附件上来吗？

作者: lxl1638 时间: 2007-4-30 14:19
是高手了，但大家没有想到V2.82版的：

"WinPE Commander (Modified By Lxl1638)"
"PECMD"
"%s - %s"
"2.8.262.1036"

这些文字完全是从版本信息中提取的(用系统函数从版本信息中读取这些)，其实只要修改版本信息即可修改这些文字，包括改成：

"WinPE Commander (By XXXXXXXXX)"

之类，新的高手也就出现了。

[ 本帖最后由 lxl1638 于 2007-4-30 02:21 PM 编辑 ]

作者: wanghh 时间: 2007-4-30 14:59
倒不是要修改成XX所作。而是白色的字很不美观。故隐藏起来。

作者: apeil 时间: 2007-4-30 15:17

原帖由 lxl1638 于 2007-4-30 02:19 PM 发表
是高手了，但大家没有想到V2.82版的：

"WinPE Commander (Modified By Lxl1638)"
";PECMD"
"%s - %s"
"2.8.262.1036"

这些文字完全是从版本信息中提取的(用系统函数从版本信息中读取这些)，其实只要修改 ...

我的目的也是隐藏起来，难看。那杞不是修改资源文件就能改。

作者: lxl1638 时间: 2007-4-30 15:56

原帖由 wanghh 于 2007-4-30 02:59 PM 发表
倒不是要修改成XX所作。而是白色的字很不美观。故隐藏起来。

倒，这个与字的颜色有关，那你认为什么样的颜色才美观？要更醒目的大红大绿之类？

活用 TEXT 命令完全可以清除，TEXT 命令的说明也提到可以清除指定区域的文字。

作者: wanghh 时间: 2007-4-30 16:07
只是自己玩玩而已。老九老大不要见怪啊。

作者: 风铃夜思雨 时间: 2007-4-30 16:19
修改2.8.2版本很容易造成问题，昨晚从九点改到凌晨两点，都不行，就如老九所说，修改版本信息的确可以，但最郁闷的就是修改后PECMD很容易造成不正常

只有通过本人33楼所说改法才不会出错

作者: lxl1638 时间: 2007-4-30 16:40

原帖由 风铃夜思雨 于 2007-4-30 04:19 PM 发表
修改2.8.2版本很容易造成问题，昨晚从九点改到凌晨两点，都不行，就如老九所说，修改版本信息的确可以，但最郁闷的就是修改后PECMD很容易造成不正常

只有通过本人33楼所说改法才不会出错

对不起了，V2.8.3版即将放出，修正了你提出的那个超级口令MD5问题，但这个版本可能又要你忙一会了，还是通过TEXT命令去清除那行文字吧，这才是正道。如果用TEXT命令去清除的话，那行文字只会显示一会，就一会的炫耀都要改的话。。。。。。。。

本人不担保刻意修改会不会出现问题，反正本人是这样做的。

作者: apeil 时间: 2007-4-30 16:53

原帖由 lxl1638 于 2007-4-30 04:40 PM 发表

对不起了，V2.8.3版即将放出，修正了你提出的那个超级口令MD5问题，但这个版本可能又要你忙一会了，还是通过TEXT命令去清除那行文字吧，这才是正道。如果用TEXT命令去清除的话，那行文字只会显示一会，就 ...

可以，你把TEXT的命令详细留下，那我们就不会老想办法去去掉那个东西了

欢迎光临无忧启动论坛 (http://wuyou.net./)