无忧启动论坛

 找回密码
 注册
搜索
系统gho:最纯净好用系统下载站投放广告、加入VIP会员,请联系 微信:wuyouceo
查看: 110530|回复: 257
打印 上一主题 下一主题

[分享] PECMD.INI CMPS/CMPA 加密破解方法

    [复制链接]
跳转到指定楼层
1#
发表于 2015-10-15 23:41:22 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
本帖最后由 liberize 于 2015-10-18 02:22 编辑

前言:

最近在找一个好用的 PE,找到了阿弥陀佛的 Win7PE,符合我的需求,然而当我想定制一下的时候,却发现里面的 INI 脚本做了加密。
发信请求解密,没有得到回复,于是自己写了个小工具,解出了其中的 INI 脚本。

原理:

已开源在 GitHub:https://github.com/liberize/pecmd-decrypt,其实没有几行代码。

其实准确说“解密”无关,目前之所以没有破解只是因为算法没公开,我也没有去研究它的算法,
反正不管怎样,最后肯定要解出来才能执行,所以我在执行的地方替换了它调用的系统 API,从 API 参数里面拿到了解出来的脚本。

鉴于 mdyblog 已经做出了反应,相信他已经知道我 hook 的是哪个 API,没错,就是 MultiByteToWideChar。
pecmd 执行每一行的时候会将其转为 unicode 编码,便会调用上面的 api,过滤一下就可以得到原始内容。

理论上此方法适用于使用所有加密方式加密的 ini,不限于 CMPS/CMPA。

用什么版本的 pecmd.exe 其实无所谓,但是最近的 m 版 pecmd,启动时会执行一个内置脚本,这个脚本的内容也会出现在生成的 ini 文件中,
为了避免混在一起无法区分,请使用不会执行内置脚本的 pecmd,谁有的话欢迎提供(我就不传了,附件只能传 500k)。
判断方法:用一个没有加密的脚本去跑,如果解出来是一样的,那么就不会执行内置脚本。

步骤:

本人比较懒,所以直接发布简陋的命令行工具,没有做成 GUI 工具。以下步骤在 PE 下进行。

1. 先得到加密的 pecmd.ini,如果内置于 pecmd.exe,请用 res hacker 提取
2. 找一个不会执行内置脚本的 pecmd.exe,32/64 位其实无所谓,只要 PE 能运行就可以
3. 下载附件,使用与 pecmd.exe 对应的版本,比如 pecmd.exe 是 64 位的就使用 x64 文件夹中的版本
4. 将 1、2 里面的 pecmd.exe 和 pecmd.ini 放在 x86/x64 这个目录下
5. 打开终端,运行 DetourHook.exe "pecmd.exe pecmd.ini" DetourHookDll.dll
6. 在当前目录生成 original.ini,便是解密后的 pecmd.ini



工具:

10-16 更新: 修复了乱码等若干 bug,生成的原始 ini 更加准确

http://pan.baidu.com/s/1hquEuv6 密码:hnjw

QQ截图20151015233241.png (79.17 KB, 下载次数: 524)

QQ截图20151015233241.png

评分

参与人数 26无忧币 +121 收起 理由
yyz2191958 + 2
ajsadhotmail + 5 很给力!
hero8000 + 5 赞一个!
祝君红红火火 + 5 很给力!
+ 3 赞一个!
bg888 + 5 很给力!
zds1210 + 5 在矛就有盾,何必加密?
qiaoqiao189 + 5 哪里找pecmd.exe
sjw799206595 + 5 很给力!
527104427 + 5 好玩
有阴也有阳 + 5 很给力!
passat + 5 很给力!
ert12 + 5 很给力!
青青草 + 5 很给力!
yurunghost + 5 很给力!
awnuitfk + 5 很给力!
2012qz + 5 赞一个!
hhforest + 5 很给力!
liangyi + 5 很给力!
zhczf + 5 楼主的教程太简陋了,搞详细更好
大毛桃 + 5 很给力!
糊涂 + 5
notepad + 5 很给力!
gylgw + 1 很给力!
xzf680 + 5 很给力!
阿弥陀佛 + 5 很给力!

查看全部评分

推荐
发表于 2017-7-28 07:26:05 | 只看该作者
xmzhqw 发表于 2017-7-24 16:45
昨天试了你的,可以弄出一个代码,但不是 pecmd.ini。我以为成功了,但后来才发现不是。不知道什么原因。 ...

对于加密的没有必要用!好用的pe多了!当然可以用自己编写的PECMD.INI去调用原来的PECMD.INI!太折腾!不如找一个自己觉得好一点的pe用!或者可以自己少量修改一下就可以的!
回复

使用道具 举报

推荐
发表于 2015-10-17 12:17:54 | 只看该作者
m大改进算法,估计那些盈利的pe,为系统添加垃圾的pe们又笑了,从pe作者角度希望自己的pe不被修改,当然盈利者的这种想法更加强烈,但用户角度最痛恨这种盈利性的pe,真是两边不讨好!其实我无所谓,因为我已经很少使用pe,就算是用只是帮人家装一下系统而已,大不了直接用安装盘的iso写入U盘连pe都省了!个人观点,不吐不快,如有得罪之处,就当我放了个屁!
回复

使用道具 举报

推荐
发表于 2015-12-25 14:45:01 | 只看该作者
求破解这个配置
PECMD加密求破解.part1.rar (400 KB, 下载次数: 182)

PECMD加密求破解.part2.rar (269.04 KB, 下载次数: 159)

回复

使用道具 举报

5#
发表于 2015-10-15 23:42:04 | 只看该作者
xxfx谢谢分享
回复

使用道具 举报

6#
发表于 2015-10-16 00:03:06 | 只看该作者
LZ是通过日志判断?貌似不科学,对新版PECMD也无效
回复

使用道具 举报

7#
发表于 2015-10-16 00:11:12 | 只看该作者
牛!我的PE被拿来开刀了。还好没有恶意代码
软件先收藏!
回复

使用道具 举报

8#
发表于 2015-10-16 00:14:25 | 只看该作者
赤木刚宪 发表于 2015-10-16 00:03
LZ是通过日志判断?貌似不科学,对新版PECMD也无效

应该不是通过日志啊。软件还没测试,但是看截图跟我写的配置一样一样滴。牛逼!m大要哭了
回复

使用道具 举报

9#
 楼主| 发表于 2015-10-16 00:17:32 | 只看该作者
赤木刚宪 发表于 2015-10-16 00:03
LZ是通过日志判断?貌似不科学,对新版PECMD也无效

其实准确说“解密”无关,目前之所以没有破解只是因为算法没公开,我也没有去研究它的算法,反正不管怎样,最后肯定要解出来才能执行,所以我在执行的地方替换了它调用的系统 API,从参数里面拿到了解出来的脚本。
回复

使用道具 举报

10#
 楼主| 发表于 2015-10-16 00:19:07 | 只看该作者
阿弥陀佛 发表于 2015-10-16 00:11
牛!我的PE被拿来开刀了。还好没有恶意代码
软件先收藏!

回复

使用道具 举报

11#
发表于 2015-10-16 00:20:35 | 只看该作者
感谢分享,辛苦了
回复

使用道具 举报

12#
发表于 2015-10-16 00:23:03 | 只看该作者
阿弥陀佛 发表于 2015-10-16 00:11
牛!我的PE被拿来开刀了。还好没有恶意代码
软件先收藏!

哈哈,不知道大神为啥要加密?这样不是无忧风格啊。。。。。。
回复

使用道具 举报

13#
发表于 2015-10-16 00:24:10 | 只看该作者
liberize 发表于 2015-10-16 00:17
其实准确说“解密”无关,目前之所以没有破解只是因为算法没公开,我也没有去研究它的算法,反正不管怎样 ...

要是这样的话,那就算整个pecmd.exe压缩加壳,应该也可以拿到脚本吧
回复

使用道具 举报

14#
 楼主| 发表于 2015-10-16 00:30:51 | 只看该作者
阿弥陀佛 发表于 2015-10-16 00:24
要是这样的话,那就算整个pecmd.exe压缩加壳,应该也可以拿到脚本吧

是的,不过其实这个破解的方法封住也不难
回复

使用道具 举报

15#
发表于 2015-10-16 00:30:54 | 只看该作者
1400700226 发表于 2015-10-16 00:23
哈哈,不知道大神为啥要加密?这样不是无忧风格啊。。。。。。

这个么,在做这个win7PE之前我也从来不加密。但是无忧不是有段时间被某些人搅浑了。还有人就拿别人的pe随便改点皮毛就吹得天花乱坠。某些臭名昭著的个人或网站,甚至加了恶意软件。。。。我想有点水平的人配置文件完全可以自己写。这也是一种学习啊。而且我的pe也留了pecmd.ini最为diy的接口。
回复

使用道具 举报

16#
 楼主| 发表于 2015-10-16 00:35:10 | 只看该作者
阿弥陀佛 发表于 2015-10-16 00:30
这个么,在做这个win7PE之前我也从来不加密。但是无忧不是有段时间被某些人搅浑了。还有人就拿别人的pe随 ...

其实我只是想把世界之窗换成比较小的 opera,虽说直接删掉世界之窗的文件就可以了,可是我有比较严重的洁癖 + 强迫症,不把世界之窗的代码删掉就浑身不爽,所以。。。
回复

使用道具 举报

17#
发表于 2015-10-16 00:39:30 | 只看该作者
liberize 发表于 2015-10-16 00:30
是的,不过其实这个破解的方法封住也不难

那个7pe还有些问题。dism好像不完整。可能因为我添加的驱动不适合,有些人反应找不到磁盘。还有一个U盘不能自动分配盘符,这个只要kill explorer就行了,这句忘了。配置文件后面那段代码就是定时检测插入新磁盘就自动kill explorer的。本来想等问题多一点再作更新的。
如果你需要,我再传一个没有软件没有集成驱动的版本。
回复

使用道具 举报

18#
发表于 2015-10-16 00:57:20 | 只看该作者
渣网速。上传限制得只有500kb/s。。传完了
链接: http://pan.baidu.com/s/1ntnI88T 密码: mmnq
回复

使用道具 举报

19#
发表于 2015-10-16 06:28:16 | 只看该作者
本帖最后由 gylgw 于 2015-10-16 06:59 编辑

这个比较牛啊,谢谢楼主分享。

但是好像对我现在所用的PE解密不了,解出来是乱码。而且在RH中怎么判断哪个是PECMD呢?

sshot-1.png (52.16 KB, 下载次数: 490)

和你一样位置没有内容

和你一样位置没有内容

sshot-2.png (79.52 KB, 下载次数: 462)

sshot-2.png

sshot-3.png (35.73 KB, 下载次数: 482)

sshot-3.png
回复

使用道具 举报

20#
发表于 2015-10-16 07:12:16 | 只看该作者
厉害,感谢分享宝贵经验
回复

使用道具 举报

21#
发表于 2015-10-16 07:41:39 | 只看该作者
liberize 发表于 2015-10-16 00:17
其实准确说“解密”无关,目前之所以没有破解只是因为算法没公开,我也没有去研究它的算法,反正不管怎样 ...

又一牛人。
回复

使用道具 举报

22#
发表于 2015-10-16 07:49:12 来自手机 | 只看该作者
chiannet 发表于 2015-10-16 07:41
又一牛人。

我测试解密失败哦
回复

使用道具 举报

23#
发表于 2015-10-16 08:19:32 | 只看该作者
给加密的脚本解密成功,感谢分享!
回复

使用道具 举报

24#
发表于 2015-10-16 08:30:21 | 只看该作者
感谢分享
回复

使用道具 举报

25#
发表于 2015-10-16 09:12:15 | 只看该作者

我测试成功了
回复

使用道具 举报

26#
发表于 2015-10-16 09:46:30 | 只看该作者
不学习就跟不上了
回复

使用道具 举报

27#
发表于 2015-10-16 10:45:02 | 只看该作者

同样成功
回复

使用道具 举报

28#
 楼主| 发表于 2015-10-16 10:58:20 | 只看该作者

不能解的请贴上你们的 PECMD.EXE,我看一下
回复

使用道具 举报

29#
 楼主| 发表于 2015-10-16 11:00:54 | 只看该作者
gylgw 发表于 2015-10-16 06:28
这个比较牛啊,谢谢楼主分享。

但是好像对我现在所用的PE解密不了,解出来是乱码。而且在RH中怎么判断哪 ...

你找的第二张图这个就是啊,一般比较大的资源,并且在开始有 CMPA 字样应该就是了
第三张图似乎只有注释乱码?也许原来的脚本就是这样子的
回复

使用道具 举报

30#
 楼主| 发表于 2015-10-16 11:03:10 | 只看该作者

不能解的请贴上你们的 PECMD.EXE,我看一下
回复

使用道具 举报

31#
发表于 2015-10-16 11:09:01 | 只看该作者
本帖最后由 青青草 于 2015-10-17 00:17 编辑
liberize 发表于 2015-10-16 11:03
不能解的请贴上你们的 PECMD.EXE,我看一下


麻烦您帮忙看一下,谢谢了!

PECMD.rar

691.97 KB, 下载次数: 123, 下载积分: 无忧币 -2

PECMDini.rar

10.28 KB, 下载次数: 66, 下载积分: 无忧币 -2

回复

使用道具 举报

32#
 楼主| 发表于 2015-10-16 11:12:58 | 只看该作者
青青草 发表于 2015-10-16 11:09
麻烦您帮忙看一下,谢谢了!

你这个 PECMD 有点丧心病狂啊,资源里面放满了脚本,有加密的也有没加密的
回复

使用道具 举报

33#
发表于 2015-10-16 11:15:32 | 只看该作者
liberize 发表于 2015-10-16 11:12
你这个 PECMD 有点丧心病狂啊,资源里面放满了脚本,有加密的也有没加密的

呵呵,难怪找不到。谢谢了!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2024-11-28 12:23

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表