有没有判断MBR/PBR是nt5.x还是nt6.x或以上的命令行工具？

liuzhaoyzz

       bootice可以判断磁盘MBR/PBR是nt5.x或者是nt6.x，但是不支持命令行，而且bootice的源代码很多都丢失了，有没有判断MBR/PBR是nt5.x还是nt6.x或以上的命令行工具？

有没有高手能用c/c++写一个？
比如执行MBRPBRtype c:返回MBR:NT6 PBR:NT6这种。

感谢5大的ChkMbrPbr，分享个示例代码：
@echo off
for /f "tokens=2,4 delims=: " %%i in ('ChkMbrPbr_x86.exe -ChkMbrPbr C:') do set "MBR=%%i" & set "PBR=%%j"
echo MBR="%MBR%" PBR="%PBR%"
pause

@echo off
for /f "tokens=2,4 delims=: " %%i in ('ChkMbrPbr_x86_1ʼ.exe  C:') do set "MBR=%%i" & set "PBR=%%j"
echo MBR="%MBR%" PBR="%PBR%"
pause

wintoflash

linux下有个开源的ms-sys可以看一下。

liuzhaoyzz

wintoflash 发表于 2020-5-6 18:30
linux下有个开源的ms-sys可以看一下。

为啥牛逼的命令行工具都只有linux版本的？我是个门外汉啊！

窄口牛

因为win不需要，直接自己验证。

liuzhaoyzz

527104427 发表于 2020-5-7 00:48
用PECMD做了一个，不知是否你想要的结果：

5大一出手，就知有没有！5大牛逼啊！
我测试了下，MBR/GPT硬盘上运行都不出错，而且判断MBR/PBR很准确，感谢感谢！满足需求，膜拜5大！


5大可否分享源代码？只是好奇。

liuzhaoyzz

527104427 发表于 2020-5-7 11:09
没什么人玩PECMD，太没意思了。搞不懂为啥这么强大的工具没人用。

       感谢5大分享！pecmd的确很强大，博大精深，学起来太难了，脚本说明太复杂，一般人哪里搞得懂啊。

plusv

527104427 发表于 2020-5-7 11:09
没什么人玩PECMD，太没意思了。搞不懂为啥这么强大的工具没人用。

MPress 容易報毒,
建議用 UPX 比較通用.



PECMD 容易報毒.

liuzhaoyzz

plusv 发表于 2020-5-7 14:44
MPress 容易報毒,
建議用 UPX 比較通用.

       那些弱智的杀软，对于加了个壳的软件都喜欢报病毒，斗不过杀软的，就是用upx，一样会报病毒的，没用的。要想不报病毒，除非利用c语言或者汇编写一个出来。@plusv

plusv

liuzhaoyzz 发表于 2020-5-7 14:54
那些弱智的杀软，对于加了个壳的软件都喜欢报病毒，斗不过杀软的，就是用upx，一样会报病毒的，没 ...

这也不一定,
我遇过 ASM/C/Delphi 没壳也会报毒,
而 AutoIT/易语言/PECMD 则一定报毒.

有趣的是
加壳 -> 报毒
加壳 -> 混淆 -> 不报毒

有趣的是
壳 A -> 报毒
脱壳 A -> 换壳 B -> 不报毒

[分享] HashGenerator文件指纹v3.6中文绿色版(批量获取文件MD5、SHA1、文件大小、修改时间... [复制链接]
http://bbs.wuyou.net/forum.php?mod=viewthread&tid=420124
Microsoft Visual C++ ver 5.0/6.0 -> 报毒

DiskGenius 加肥壳 VMP -> 不报毒

liuzhaoyzz

plusv 发表于 2020-5-7 23:42
这也不一定,
我遇过 ASM/C/Delphi 没壳也会报毒,
而 AutoIT/易语言/PECMD 则一定报毒.

        为了测试ChkMbrPbr_x86.exe会不会被360报毒，我亲自下载了360安全卫士，目的就是为了测试。我从来不用任何杀软。
我不怕病毒，我怕的是发给别人这个程序被杀掉，结果试了下，真的被360认为是病毒，360真的是程序员的噩梦！运行360我好怕怕，我怕我电脑里面的文件被他咔嚓了，我的C盘是RAMOS，重启就恢复，360安装在C盘，重启就恢复了，方便测试。哈哈！
bootice也被认为是病毒，bootice是vc写的啊，为啥也报病毒，upx压缩了吧。

plusv

liuzhaoyzz 发表于 2020-5-9 16:27
为了测试ChkMbrPbr_x86.exe会不会被360报毒，我亲自下载了360安全卫士，目的就是为了测试。我从 ...

UPX 壳,通常不会报毒,
我 PC 中的 Symantec EndPoint Protection 对 BootICE 没报毒.

另外对 ChkMbrPbr_x86.exe 做了处理,你试看看
ChkMbrPbr.exe 原版 MPress 壳
ChkMbrPbr_UnPack.exe 脱壳
ChkMbrPbr_ASPack.exe 换 ASPack 壳

窄口牛

bootice不会被报，除非是那种二合一，然后判断不是用的批处理，而是打包成exe的批处理，才会被报毒。

plusv

527104427 发表于 2020-5-9 19:20
要换壳，还是建议用pecmd重新编译。
脱壳之后应该要修正一下资源才好重新加壳吧，也不知道这样折腾来折 ...

PECMD 没在使用,所以没研究.

截图有 3 种运行结果,应该没问题.

plusv

窄口牛 发表于 2020-5-9 19:35
bootice不会被报，除非是那种二合一，然后判断不是用的批处理，而是打包成exe的批处理，才会被报毒。

我通常使用 VirusTotal.

台湾通常使用老外防毒软件,
大陆有没有类似 VirusTotal 网站,
但是是大陆常用或知名的防毒软件扫瞄.

nttwqz

liuzhaoyzz 发表于 2020-5-9 16:27
为了测试ChkMbrPbr_x86.exe会不会被360报毒，我亲自下载了360安全卫士，目的就是为了测试。我从 ...

360让我的技术水平提高到了新的层次：

我已经会用纯批处理写木马好多年 ^_^

liuzhaoyzz

plusv 发表于 2020-5-9 18:41
UPX 壳,通常不会报毒,
我 PC 中的 Symantec EndPoint Protection 对 BootICE 没报毒.

       明天抽空试试，现在手机上的。我估计没啥用，斗不过弱智杀软的吧，即使换壳啥的。我想起来了，我有次帮同事做系统，发给他的bootice就被360咔嚓掉了。我觉得5大说的对，换壳可能会搞坏数据吧。

liuzhaoyzz

窄口牛 发表于 2020-5-9 19:35
bootice不会被报，除非是那种二合一，然后判断不是用的批处理，而是打包成exe的批处理，才会被报毒。

        bootice真的会被报毒的啊，就是p大原版1.3.4x86。不是什么cmd转exe那种。 不相信的话，你用360安全卫士扫描bootice那个目录看看。

liuzhaoyzz

nttwqz 发表于 2020-5-9 20:57
360让我的技术水平提高到了新的层次：

我已经会用纯批处理写木马好多年 ^_^

       知道360的厉害了吧？毁天灭地！腾讯电脑管家比360安全卫士更加过分！

有些程序运行的时候释放出cmd文件，极容易被360报毒。

liuzhaoyzz

plusv 发表于 2020-5-9 18:41
UPX 壳,通常不会报毒,
我 PC 中的 Symantec EndPoint Protection 对 BootICE 没报毒.

试了下，你修改的几个文件全部被360报毒。如果发给别人，早就被咔嚓掉了。事实证明，跟弱智的杀软斗，是不可能斗得过的。

发现在64位系统中，360对于32位的程序，只要是加了壳的，就容易报病毒。好弱智。360真的是智商鉴定师。

plusv

liuzhaoyzz 发表于 2020-5-10 10:43
试了下，你修改的几个文件全部被360报毒。如果发给别人，早就被咔嚓掉了。事实证明，跟弱智的杀软斗，是 ...

Symantec EndPoint Protection 换成 ASPack 壳就不报毒,
而脱壳文件却也报毒.

符合我前面所说的

有趣的是
壳 A -> 报毒
脱壳 A -> 换壳 B -> 不报毒
       
不过我觉的追根究底,
源头还是 AutoIT/易语言/PECMD 则一定报毒.

窄口牛

我的为啥不报？
多引擎也有数字啊

liuzhaoyzz

窄口牛 发表于 2020-5-11 18:03
我的为啥不报？
多引擎也有数字啊

       我说的是360安全卫士啊，不是在线扫描，在线扫描可靠度还可以。

窄口牛

360木马查杀扫描日志
开始时间: 2020-5-12 09:23:15
扫描用时: 00:00:40
扫描类型: 自定义扫描
扫描引擎:360云查杀引擎（本地木马库）  360启发式引擎  QEX脚本查杀引擎
扫描文件数: 2
系统关键位置文件: 0
系统内存运行模块: 0
压缩包文件: 0
安全的文件数: 2
发现安全威胁: 0
已处理安全威胁: 0


扫描选项
扫描后自动关机: 否
扫描模式: 速度最快
管理员：是


扫描内容
C:\Users\Administrator\Desktop\BOOTICEx64.exe
C:\Users\Administrator\Desktop\BOOTICEx86.exe


白名单设置


扫描结果
未发现安全威胁

liuzhaoyzz

窄口牛 发表于 2020-5-12 09:25
360木马查杀扫描日志
开始时间: 2020-5-12 09:23:15
扫描用时: 00:00:40

你用的是360杀毒扫描的吗？我说的是360安全卫士啊。

窄口牛

安全卫士，刚下载安装的，热乎的

liuzhaoyzz

窄口牛 发表于 2020-5-12 09:38
安全卫士，刚下载安装的，热乎的

我想了又想，只有一个原因可以解释这个现象：答主人品较好！

窄口牛

有可能是我没让它联网所致，只有云病毒库才会报。

microlaf

plusv 发表于 2020-5-7 23:42
这也不一定,
我遇过 ASM/C/Delphi 没壳也会报毒,
而 AutoIT/易语言/PECMD 则一定报毒.

DiskGenius 加肥壳 VMP -> 不报毒

想来diskgenius是交了数字税的

tjxachina

感谢5大分享！pecmd的确很强大，博大精深，学起来太难了，脚本说明太复杂，一般人哪里搞得懂啊。

江南一根葱

我是网上抄的，再加自己的主观臆断 delphi代码

1. //nt5nt6判断函数
   
2. function GetOSVersion:String;
   
3. var OSVersion:TOSVersionInfo;
   
4. begin
   
5. OSVersion.dwOSVersionInfoSize:=SizeOf(OSVersion);
   
6. GetVersionEx(OSVersion);
   
7. case OSVersion.dwPlatformId of
   
8. VER_PLATFORM_WIN32_WINDOWS: Result:='WIN';
   
9. VER_PLATFORM_WIN32_NT:      Result:='NT';
   
10. else                        Result:='WIN32';
    
11. end;
    
12. Result:=Result+IntToStr(OSVersion.dwMajorVersion)+'.'+IntToStr(OSVersion.dwMinorVersion);
    
13. end;

复制代码

1. //调用函数--（此处省略了一些判断uefi的函数声明和过程)

复制代码

GetFirmwareEnvironmentVariableA('','{00000000-0000-0000-0000-000000000000}', nil,0);
if (GetLastError = ERROR_INVALID_FUNCTION) and (ntver <> ('NT5.0')) and (ntver <> ('NT5.1')) then
begin
xx.Lines.Add('当前启动环境:LEGACY BIOS 6.X') ;
legacybios.checked :=true;
rbuefi.checked :=false;
rbnt5.checked :=false;
end
else
if (ntver = ('NT5.0')) or (ntver = ('NT5.1')) then
begin
xx.Lines.Add('当前启动环境:LEGACY BIOS 5.X');
rbnt5.checked :=true;
legacybios.checked :=false;
rbuefi.checked :=false;
end