无忧启动论坛

标题: 有谁能告诉我大白菜的PE里怎么找不到PECMD.INI配置文件。 [打印本页]

作者: gongqiq 时间: 2013-9-16 01:21
标题: 有谁能告诉我大白菜的PE里怎么找不到PECMD.INI配置文件。
有谁能告诉我大白菜的PE里怎么找不到PECMD.INI配置文件。我发了几个有关这个话题的贴怎么没有人告诉我呢。想加几个软件都不能加！

作者: 有点难 时间: 2013-9-16 20:15
楼主请找 Program Files ，Windows，System32 的文件有没有ini

作者: 2012390720 时间: 2013-9-18 00:37
解包搜索PECMD.INI

作者: zds1210 时间: 2013-9-20 19:06
似乎外面出来的新PE，都无pecmd.ini，估计是pecmd.exe和pecdm.ini二合一了。然后他们把注册信息也放到这个文件了。高手们分析一下。

作者: chiannet 时间: 2013-9-20 19:28

zds1210 发表于 2013-9-20 19:06
似乎外面出来的新PE，都无pecmd.ini，估计是pecmd.exe和pecdm.ini二合一了。然后他们把注册信息也放到这个文 ...

把它的PE的注册表system挂载到HKEY_LOCAL_MACHINE下，假设为****ABC，
看到什么呢？

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\****ABC\Setup]
"CmdLine"="PECMD.EXE MAIN %Windir%\\system32\\PECMD.INI"

复制代码

作者: chiannet 时间: 2013-9-20 19:29
它的PE的cmdline后是什么内容？

作者: congwulong 时间: 2013-9-20 20:03
FIND MEM<384,FBWF P40 L96 H192!FBWF P50 L160 H299
TEAM ENVI W=%WinDir%|ENVI $WS=%WinDir%\SYSTEM32|ENVI WSD=%WS%\Drivers

TEAM LOGO %WS%\DND.JPG |DISP B32|WAIT 169
//TEAM TEXT 正在启动..WinPE维护系统 …… #0xFFFFFF L59 T490 R500 B520 $20*|WAIT 69
TEAM FILE %W%\TXTSETUP.SI*|PATH #%WS%\CONFIG|FILE %WS%\*.*_|FILE %WSD%\*.SY_
TEAM PATH %SystemDrive%\TEMP|INIT U,3690|EXEC @PECMD.EXE CALL $SHELL32.DLL,DllInstall,#1,U
//LOGS %W%\PECMD.LOG

TEAM ENVI V0=HKLM\System\CurrentControlSet\Services|ENVI V1=System32\Drivers
REGI %V0%\USBHUB\ImagePath=%V1%\USBHUB.SYS
REGI %V0%\USBCCGP\ImagePath=%V1%\USBCCGP.SYS
REGI %V0%\USBEHCI\ImagePath=%V1%\USBEHCI.SYS
REGI %V0%\USBOHCI\ImagePath=%V1%\USBOHCI.SYS
REGI %V0%\USBSTOR\ImagePath=%V1%\USBSTOR.SYS
REGI %V0%\USBUHCI\ImagePath=%V1%\USBUHCI.SYS
REGI %V0%\HIDUSB\ImagePath=%V1%\HIDUSB.SYS
REGI %V0%\MOUCLASS\ImagePath=%V1%\MOUCLASS.SYS
REGI %V0%\MOUHID\ImagePath=%V1%\MOUHID.SYS
REGI %V0%\KBDCLASS\ImagePath=%V1%\KBDCLASS.SYS
REGI %V0%\KBDHID\ImagePath=%V1%\KBDHID.SYS
REGI %V0%\CDROM\ImagePath=%V1%\CDROM.SYS

REGI %V0%\AMDHUB30\ImagePath=%V1%\AMDHUB30.SYS
REGI %V0%\AMDXHC\ImagePath=%V1%\AMDXHC.SYS
REGI %V0%\USBFILTER\ImagePath=%V1%\USBFILTER.SYS
REGI %V0%\ASMTHUB3\ImagePath=%V1%\ASMTHUB3.SYS
REGI %V0%\ASMTXHCI\ImagePath=%V1%\ASMTXHCI.SYS
REGI %V0%\ETRONHUB3\ImagePath=%V1%\ETRONHUB3.SYS
REGI %V0%\ETRONXHCI\ImagePath=%V1%\ETRONXHCI.SYS
REGI %V0%\NUSB3HUB\ImagePath=%V1%\NUSB3HUB.SYS
REGI %V0%\NUSB3XHC\ImagePath=%V1%\NUSB3XHC.SYS
REGI %V0%\RUSB3HUB\ImagePath=%V1%\RUSB3HUB.SYS
REGI %V0%\RUSB3XHC\ImagePath=%V1%\RUSB3XHC.SYS
REGI %V0%\nusb3xhc\ImagePath=%V1%\ViaHub3.sys

REGI HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace\{D20EA4E1-3957-11d2-A40B-0C5020524153}\!
REGI HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace\{D6277990-4C6A-11CF-8D87-00AA0060F5BF}\! `删除任务计划
REGI HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{450D8FBA-AD25-11D0-98A8-0800361B1103}\! `删除桌面我的文档

EXEC =!%WinDir%\SYSTEM32\SHOWDRIVE.EXE
//EXEC =!%WinDir%\SYSTEM32\ORDERDRV.CMD
EXEC =!%WinDir%\SYSTEM32\FIXUSB.EXE U

//连接外置.CD+UD的选择和处理.挂载外置程序设置环境变量
RAMD ImDisk,L35,NTFS,Z:,虚拟盘
PATH Z:\Temp\
WAIT 300
EXEC =!%WinDir%\SYSTEM32\dnd.exe (ud) output "idnd/peload/*" %WS%\%~nx
IFEX %WS%\6WUDTOOLS.INI,!EXEC !=%WS%\bootpart.exe -mount -readonly -driveletter V:
IFEX U:\IDND\TOOLS\Extend.wim,exec @=%Windir%\System32\bootpart.exe -eject
IFEX %WS%\6WUDTOOLS.INI,LOAD %WS%\6WUDTOOLS.INI!LOAD \IDND\TOOLS\6WCDTOOLS.INI
WAIT 365

MOUN Z:\Tools\Basic.wim,Y:\Basic\,1,%Temp%
IFEX %WS%\6WUDTOOLS.INI,MOUN Z:\Tools\Extend.WIM,Y:\Extend\,1,%Temp%!MOUN \IDND\Tools\Extend.WIM,Y:\Extend\,1,%Temp%
ENVI OPDir=Y:\Basic
ENVI EXDir=Y:\Extend
//ENVI ICPT=X:\WXPE\SYSTEM32\ICO.DLL#
//ENVI ICSH=X:\WXPE\SYSTEM32\SHELL32.DLL#
ENVI DFUR=X:\Documents and Settings\Default User\
WAIT 369

//加载二级内核.创建桌面开始菜单快捷方式.注册热键.需要再7Z解压之后执行
EXEC =!%WS%\7z.exe x Z:\DND3.7z -y -aos -o"%WinDir%\"
NUMK 0
RUNS PECMD.EXE EXEC !%WS%\INTERNAT.EXE,输入法指示器
EXEC !X:\WXPE\SYSTEM32\MMC.CMD
EXEC =!CMD.EXE /C "REGSVR32 /S X:\WXPE\SYSTEM32\SEND.DLL"
REGI HKCR\*\shell\CAB-最大压缩\command\=makecab /v1 /D CompressionType=LZX /D CompressionMemory=21 "%1"
EXEC !%OPDir%\输入工具\INSWB.CMD
EXEC !=%WS%\LOADSYS.EXE
WAIT 365
LINK %Desktop%\Ghost手动,%OPDir%\GHOST32\GHOST32.EXE
LINK %Desktop%\Windows安装,%OPDir%\系统安装\WinNTSetup.exe
LINK %Desktop%\DiskGenius分区工具,%OPDir%\磁盘管理\diskgenius.exe
LINK %Desktop%\Windows启动引导修复,%OPDir%\系统维护\NTBOOTautofix.exe
LINK %Desktop%\登录密码清除,%OPDir%\密码管理\NTPWEDIT.exe
LINK %Desktop%\虚拟光驱,%OPDir%\光盘工具\虚拟光驱\vdm.exe

LINK %Programs%\临时文件,%WS%\PECMD.EXE,LOAD %WS%\PESET.INI,SHELL32.DLL#12
LINK %Programs%\我的工具,X:\WXPE\SYSTEM32\我的工具.exe

HOTK #112,PECMD.EXE `注册热键：F1 帮助
HOTK #120,PECMD EXEC !X:\WXPE\SYSTEM32\66369.CMD
HOTK #121,PECMD EXEC !X:\WXPE\SYSTEM32\CLEANTEMP.CMD
HOTK #122,%OPDir%\图形图像\WINSNAP.EXE

//快捷启动和开始菜单.LNK
//LINK %QuickLaunch%\我的电脑,%WS%\MYC.LNK
LINK %QuickLaunch%\截图工具(Ctrl+Alt+K),%OPDir%\图形图像\WINSNAP.EXE
LINK !%QuickLaunch%\临时文件清除,X:\WXPE\SYSTEM32\CLEANTEMP.CMD,,X:\WXPE\SYSTEM32\CLEANTEMP.ICO
LINK %QuickLaunch%\设置临时文件,%WS%\PECMD.EXE,LOAD %WS%\PESET.INI,SHELL32.DLL#12
LINK %QuickLaunch%\资源管理器,%W%\EXPLORER.EXE,/E,EXPLORER.EXE#1
LINK !%StartMenu%\刷新系统 F9,X:\WXPE\SYSTEM32\66369.CMD,,X:\WXPE\SYSTEM32\CLEANTEMP.ICO

//进入桌面
TEXT
IFEX %WS%\DNDGHOST.EXE, EXEC %WS%\DNDGHOST.EXE!EXEC %WS%\DNDSET.EXE PUTSPT
TEAM LOGO %WS%\DND2.JPG |WAIT 1669
//TEAM TEXT 正在载入桌面，请稍候 …… #0x00ffff l150 t500 r500 b520 $20|wait 300
TEAM TEXT |DISP W1024 H768 B32|WAIT 365
WALL %WS%\DESK.JPG
WAIT 365
//EXEC WALLCMD %WS%\DESK.JPG
FIND Explorer.EXE,!TEAM SHEL %WinDir%\EXPLORER.EXE|LOGO

EXEC !X:\WXPE\SYSTEM32\NUMLOCK.EXE
FONT X:\WXPE\FONTS
//EXEC !%OPDir%\REGDOC.CMD
WAIT 669
SITE %USERPROFILE%\「开始」菜单\程序\启动,+H
EXEC =!%WinDir%\SYSTEM32\OEM.CMD
//EXEC =!%WinDir%\SYSTEM32\HFS.CMD
USER 中国..行业门户,..-www.diannaodian.com

//基本工具菜单
LINK %Programs%\GHOST32\Ghost32 11.0.2,%OPDir%\GHOST32\GHOST32.EXE
LINK %Programs%\GHOST32\GhostExp镜像浏览器,%OPDir%\GHOST32\ghostexp.exe
LINK %Programs%\GHOST32\GhoHash密码查看器,%OPDir%\GHOST32\ghohash.exe
LINK !%Programs%\WIM工具\启用Wimtool,%OPDir%\ISWIM.CMD,,%OPDir%\WIM工具\WIMTOOL.EXE
LINK !%Programs%\WIM工具\启用WimNT,%OPDir%\ISWIMT.CMD,,%OPDir%\WIM工具\WIMNT.EXE
LINK %Programs%\文件工具\WinRar,%OPDir%\WINRAR\WINRAR.EXE
LINK %Programs%\磁盘管理\DiskGenius磁盘分区,%OPDir%\磁盘管理\diskgenius.exe
LINK %Programs%\磁盘管理\Bootice引导扇区管理,%OPDir%\磁盘管理\bootice.exe
LINK %Programs%\光盘工具\虚拟光驱,%OPDir%\光盘工具\虚拟光驱\vdm.exe
LINK %Programs%\光盘工具\ULTRAISO,%OPDir%\光盘工具\ULTRAISO\UltraISO.exe
LINK %Programs%\密码管理\Windows密码清除器,%OPDir%\密码管理\NTPWEDIT.exe
LINK %Programs%\系统维护\系统启动引导修复,%OPDir%\系统维护\NTBOOTautofix.exe
LINK %Programs%\图形图像\ACDSEE图片编辑,%OPDir%\图形图像\ACDSEE\ACDSEE.exe
LINK %Programs%\图形图像\WINSNAP截图,%OPDir%\图形图像\WINSNAP.exe
LINK %Programs%\系统安装\NT6系统安装器gui,%OPDir%\系统安装\NT6快捷安装器.exe
LINK %Programs%\系统安装\Windows通用安装器,%OPDir%\系统安装\WinNTSetup.exe

//附件.查看
LINK %Programs%\附件工具\记事本,%WS%\NOTEPAD.EXE
LINK %Programs%\附件工具\命令提示符,%WS%\CMD.EXE
LINK %Programs%\附件工具\注册表编辑器,%W%\REGEDIT.EXE
LINK %Programs%\附件工具\资源管理器,%W%\EXPLORER.EXE,,EXPLORER.EXE#1
LINK %Programs%\系统微调\显示隐藏分区,%WS%\PECMD.EXE,SHOW -1:-1,SHELL32.DLL#101
LINK %Programs%\系统微调\分配磁盘盘符,%WS%\SHOWDRIVE.EXE,,Shell32.dll#8
LINK %Programs%\系统微调\设置临时文件,%WS%\PECMD.EXE,LOAD %WS%\PESET.INI,SHELL32.DLL#12
LINK %Programs%\附件工具\查看.详细方式,%WS%\QXCK.CMD,,Shell32.dll#19
LINK %Programs%\附件工具\查看.平铺方式,%WS%\1009.CMD,,Shell32.dll#19
LINK %Programs%\附件工具\查看.图标方式,%WS%\TB.CMD,,Shell32.dll#19
LINK %Programs%\附件工具\计算器,%WS%\CALC.EXE
LINK %Programs%\附件工具\画图,%WS%\MSPAINT.EXE
LINK !%Programs%\附件工具\清除临时文件 F10,%WS%\CLEANTEMP.CMD,,%WS%\CLEANTEMP.ICO
LINK !%Programs%\附件工具\加入 UltraISO 关联,%OPDir%\光盘工具\ULTRAISO\SETUP.CMD,,%OPDir%\光盘工具\ULTRAISO\ULTRAISO.exe

//扩展外置菜单
IFEX %exdir%\Readme.txt,CALL UD_EXTOOL

_SUB UD_EXTOOL

//BIOS工具
link %programs%\BIOS工具\AMI BIOS刷新,%exdir%\BIOS工具\afuwin4.45cn.exe
link %programs%\BIOS工具\Award BIOS刷新,%exdir%\BIOS工具\winflash1.97.exe
link %programs%\BIOS工具\Phoenix BIOS刷新,%exdir%\BIOS工具\winphlash2.0.3.4.exe,,
link %programs%\BIOS工具\BIOS万能备份,%exdir%\BIOS工具\bios_backup_tookit.exe

//GHOST工具
link %programs%\GHOST32\GHOST32 8.3,%exdir%\GHOST32\GHOST83.exe
link %programs%\GHOST32\GHOST32 11.5,%exdir%\GHOST32\GHOST115.exe

//wim工具
link %programs%\wim工具\GimageX,%exdir%\WIM工具\PEGimagex.exe

//办公阅读
link %programs%\办公阅读\PDF阅读器,%exdir%\办公阅读\PDF阅读器.exe
EXEC !REGEDIT /S %exdir%\办公阅读\KEY.REG
link !%programs%\办公阅读\WORD文字处理,%exdir%\办公阅读\Word.exe
link %programs%\办公阅读\EXCEL表格处理,%exdir%\办公阅读\Excel.exe
link %programs%\办公阅读\PPT幻灯片处理,%exdir%\办公阅读\PPTView.exe

//备份还原
link %programs%\备份还原\GhostSev网络服务端,%exdir%\备份还原\ghostsrv.exe
link %programs%\备份还原\ImageX一键恢复,%exdir%\备份还原\imagex.exe
link %programs%\备份还原\一键 GHOST,%exdir%\备份还原\GGHOST32.exe

//磁盘管理
link %programs%\磁盘管理\ADDS无损分区,%exdir%\磁盘管理\ADDS\adds.exe
link %programs%\磁盘管理\LFormat磁盘低格,%exdir%\磁盘管理\lformat.exe
link %programs%\磁盘管理\PTDD分区表医生,%exdir%\磁盘管理\ptdd.exe
link %programs%\磁盘管理\UltraDefrag碎片整理,%exdir%\磁盘管理\ultradefrag.exe
link %programs%\磁盘管理\WinPm 7.0分区管理,%exdir%\磁盘管理\winpm.exe
link %programs%\磁盘管理\U盘格式化HDD,%exdir%\磁盘管理\HPUSBFW.exe
link %programs%\磁盘管理\磁盘分区助手5.0,%exdir%\磁盘管理\PARTASSIST.exe
link %programs%\磁盘管理\识别苹果分区,%exdir%\磁盘管理\Apple.exe,-dnd
link %desktop%\识别苹果分区,%exdir%\磁盘管理\Apple.exe,-dnd

//密码管理
link %programs%\密码管理\CMOS密码清除,%exdir%\密码管理\cmos.exe
link %programs%\密码管理\ADSL密码查看,%exdir%\密码管理\dialupass.exe
link %programs%\密码管理\Win Nt密码编辑,%exdir%\密码管理\ntpwedit.exe
link %programs%\密码管理\Win Nt密码恢复,%exdir%\密码管理\passwdrenew.exe
link %programs%\密码管理\通用密码查看器,%exdir%\密码管理\密码查看.exe

//驱动管理
link %programs%\驱动管理\SDB驱动备份,%exdir%\驱动管理\driverbak.exe
link %programs%\驱动管理\DEP驱动备份,%exdir%\驱动管理\driverexportpe.exe
link %programs%\驱动管理\GDP驱动提取,%exdir%\驱动管理\getpedriver.exe
link %programs%\驱动管理\安装自定义驱动,%exdir%\驱动管理\mpeidrv.exe

//数据恢复
link %programs%\数据恢复\FinalData数据恢复,%exdir%\数据恢复\finaldata.exe
link %programs%\数据恢复\RSTUDIO数据恢复,%exdir%\数据恢复\RSTUDIO.EXE
link %programs%\数据恢复\易我数据恢复,%exdir%\数据恢复\易我数据恢复.exe

//图形图像
link %programs%\图形图像\屏幕截取GIF,%exdir%\图形图像\GIF.exe
link %programs%\图形图像\PDF阅读器,%exdir%\图形图像\FOXITREADER.exe
link %programs%\图形图像\微型Photoshop,%exdir%\图形图像\StylePix.exe

//网络工具
FIND MEM<384,!link %desktop%\加载网络组件,%exdir%\网络工具\Net03.exe
FIND MEM<384,!link %programs%\网络工具\加载网络组件,%exdir%\网络工具\Net03.exe
FIND MEM<384,!link %programs%\网络工具\简易FTP服务器,%exdir%\网络工具\FTPServer.exe
FIND MEM<384,!link %programs%\网络工具\腾讯WebQQ,%exdir%\网络工具\WebQQ.url,,SHELL32.DLL#13

//文件工具
link %programs%\文件工具\FastCopy文件快拷,%exdir%\文件工具\fastcopy.exe
link %programs%\文件工具\畸形目录管理,%exdir%\文件工具\deformitydir.exe
link %programs%\文件工具\Hash文件信息校验,%exdir%\文件工具\md5.exe
link %programs%\文件工具\Winhex16位编辑器,%exdir%\文件工具\winhex.exe
link %programs%\文件工具\unlocker强制删除,%exdir%\文件工具\unlocker.exe
link %programs%\文件工具\文件搜索,%exdir%\文件工具\文件搜索.exe

//系统安装
link %programs%\系统安装\Windows安装助手,%exdir%\系统安装\setupxp.exe
link %programs%\系统安装\NT6系统安装器cmd,%exdir%\系统安装\SETUPWIN6X.exe
link %programs%\系统安装\SRS驱动离线注入,%exdir%\系统安装\win系统srs驱动注入.exe
link %programs%\系统安装\Win通用安装2合1,%exdir%\系统安装\WIN$MAN.exe

//系统维护
link %programs%\系统维护\ScanVirus安全分析,%exdir%\系统维护\scanvirus.exe
link %programs%\系统维护\Servicespe服务驱动管理,%exdir%\系统维护\servicespe.exe
link %programs%\系统维护\Windows启动修复,%exdir%\系统维护\WindowsFix.exe

//硬件检测
link %programs%\硬件检测\Memtest内存诊断,%exdir%\硬件检测\memtest.exe
link %programs%\硬件检测\HddScan磁盘扫描,%exdir%\硬件检测\hddscan.exe
link %programs%\硬件检测\Victoria磁盘扫描,%exdir%\硬件检测\victoria.exe
link %programs%\硬件检测\CPUZ处理器检测,%exdir%\硬件检测\CPUZ.exe
link %programs%\硬件检测\显示器测试,%exdir%\硬件检测\TESTPLAY.exe
link %programs%\硬件检测\笔记本电池检测,%exdir%\硬件检测\BatteryMon.exe
link %programs%\硬件检测\硬盘检测HDTune,%exdir%\硬件检测\HDTune.exe
link %programs%\硬件检测\Aida64环境检测,%exdir%\硬件检测\aida64.exe
link %programs%\硬件检测\键盘检测工具,%exdir%\硬件检测\KEYBOARDTEST.exe

_END

REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318}\=DVD/CD-ROM 驱动器
REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}\=磁盘驱动器
REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}\=显示卡
REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E969-E325-11CE-BFC1-08002BE10318}\=软盘控制器
REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\=IDE ATA/ATAPI 控制器
REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\=键盘
REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\=声音、视频和游戏控制器
REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318}\=鼠标和其它指针设备
REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\=网络适配器
REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E97D-E325-11CE-BFC1-08002BE10318}\=系统设备
REGI HKLM\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F}\=存储卷

REGI HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\WebView=#1
REGI HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FindExtensions\Static\WebSearch\!
REGI HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SmallIcons\SmallIcons=no

TEAM EXEC =PECMD SERV !AudioSrv|EXEC =PECMD SERV AudioSrv|SERV EVENTLOG
TEAM WAIT 1000|KILL SMSS.EXE|KILL WINLOGON.EXE|FILE %WS%\SMSS.EXE|FILE %WS%\WINLOGON.EXE|FILE %WS%\WIN32K.SYS
TEAM WAIT 1000|FILE %WS%\ORDERDRV.CMD|FILE %WS%\MBRFIX.EXE|FILE %WS%\MOUNTVOL.EXE|FILE %WS%\DND*.JPG
TEAM WAIT 1000|FILE X:\WXPE\TEMP\*.*|FILE %WS%\INSTALLIME.EXE|FILE Z:\DND3.7Z|TEXT |ENVI

/////////////////////////////////////////验证HASH///////////////////////////////////////////
HASH %WinDir%\SYSTEM32\DNDGHOST.EXE,hPSW,SHA1
ENVI $DNDW=6D10F4A963C34C26FDC9081BB22979849A36CABF
ENVI $DNDE=3AFF181CCB9D6A9EF0F974F07AD656A97D9913C1
FIND $%DNDW%=%hPSW%,ENVI $CHCK=YES
FIND $%DNDE%=%hPSW%,ENVI $CHCK=YES
FIND $%CHCK%=YES,!CALL BU_FU
TEAM ENVI $CHCK=|ENVI $DNDW=|ENVI $DNDE=

_SUB BU_FU
FILE %DESKTOP%\*.*
MESS 本PE核心文件已经损坏!10秒后自动重启!@..WINPE提示! #OK *10000
SHUT R
_END
///////////////////////////////////////////////////////////////////////////////////////////
//配置结束

作者: zds1210 时间: 2013-9-20 20:31

congwulong 发表于 2013-9-20 20:03
FIND MEM

不错，这配置文件是怎么得来的啊？

作者: zds1210 时间: 2013-9-20 20:33

chiannet 发表于 2013-9-20 19:28
把它的PE的注册表system挂载到HKEY_LOCAL_MACHINE下，假设为****ABC，
看到什么呢？

似乎是正常的。

作者: congwulong 时间: 2013-9-20 20:55

zds1210 发表于 2013-9-20 20:31
不错，这配置文件是怎么得来的啊？

先用PEID查壳，然后OD去壳~~

作者: gy0715 时间: 2013-9-21 07:16
从ini文件看到，大白菜是山寨电。脑。店。的啊

作者: lsyz0021 时间: 2015-6-11 08:19

congwulong 发表于 2013-9-20 20:55
先用PEID查壳，然后OD去壳~~

具体怎么去壳，然后有获得这些配置能不能说的详细点

作者: halo3213 时间: 2015-6-12 15:18

congwulong 发表于 2013-9-20 20:03
FIND MEM

能不能说详细点~~~ 很想学习~~~

作者: dk123456518 时间: 2016-10-8 16:48
感谢分享、。、

欢迎光临无忧启动论坛 (http://wuyou.net./)