gera_serg
  - Стаж: 9 лет
- Сообщений: 1421
- Репутация:9[+] [-]
|
что-то не могу разобраться с командой DISK
сейчас в начале pecmd.ini есть
DISK ,,,3,U
(т.е. все флешки получают свои буквы начиная с U:)
если воткунута только одна загрузочная, она получает U, и я могу набрасывать ярлыки на рабочий стол из её програмного пакета
но если воткнуто 2 флешки, букву U может получить не загрузочная, и ярлыки не корретны
Пытаюсь привязать команду к конкретной метке (файлу) на загрузочной флешке
DISK \W8PE\w8164.wim,,,3,U
почему-то не срабатывает. Вторая флешка все равно садится на букву U
Как однозначно присвоить командой DISK присвоить именно загрузочной флешке букву U, а все остальные флешки/разделы флешек только потом?
UPD
методом тыка вроде сработала привязка к папке с ядрами на закрузочной флешке
...
DISK \W8PE,,,3,U
...
будем наблюдать
UPD UPD
так и не сработало...
|
![[Цитировать]](./styles/templates/default/images/lang/ru/icon_quote.gif "Ответить с цитатой")
 Отправлено: 25-Июл-2020 13:54
(спустя 1 месяц 3 дня)
vovan1982
  - Стаж: 10 лет
- Сообщений: 1149
- Репутация:79[+] [-]
- Откуда: Ростов-на-Дону
|
conty9, это к Adler. Он их отлично расшифровывал.
|
Adler
 - Стаж: 9 лет 8 месяцев
- Сообщений: 1205
- Репутация:65[+] [-]
- Откуда: Луганск
|
 Только это было давно. Не уверен, что найду нужный инструментарий. Я им делился тут, может осталось...
На сколько я помню там далеко не все расшифровывается и не любой версией pecmd.
|
Отправлено: 26-Июл-2020 14:10
(спустя 1 час 11 минут)
|
|
Adler, тот инструмент уже давно не работает.
|
Adler
- Стаж: 9 лет 8 месяцев
- Сообщений: 1205
- Репутация:65[+] [-]
- Откуда: Луганск
|
79396Adler, тот инструмент уже давно не работает.
Посмотрю, может что-то получится сломать.
|
|
|
Adler, pecmd.exe в архиве вместе со скриптами. А вот ветка обсуждения "декриптора" (China).
Если в двух словах: им можно расшифровать то, что начинается на CMPS, а вот то, что на CMPa - нет.
|
Отправлено: 27-Июл-2020 20:19
(спустя 1 день 5 часов)
Adler
- Стаж: 9 лет 8 месяцев
- Сообщений: 1205
- Репутация:65[+] [-]
- Откуда: Луганск
|
79357Никто не хочет попробовать расшифровать?
Самого места, где происходит дешифрование вообще не нашел. Еще интересный момент, что один и тот же исходник при каждом шифровании выдает разный результирующий файл.
Промелькивают местами только цифры из исходника и некоторые отдельные фрагменты из команд.
К примеру, из скрипта:CALL @Windows1
_SUB Windows1,W800H220,Выбор операционной системы,,
ENVI @this.Font=40:Tahoma
LABE Text1,L10T20W770H50,Какой Windows необходимо установить?,,0x000088,36
LABE Text2,L350T95W90H50,или,,,40
ITEM Win7,L40T90W290H70,Windows 7,EXEC =!win7_setup.cmd,,
ITEM Win8,L460T90W290H70,Windows 8,EXEC =!win8_setup.cmd,,
_END  ).
Через MultiByteToWideChar, служившей ранее местом "отлова" исходного кода сейчас какой-то мусор гоняется, а другой зацепки я не нашел. 
|
AZJIO
 - Стаж: 7 лет 4 месяца
- Сообщений: 1322
- Репутация:127[+] [-]
|
Adler, если код меняется значит ключ шифрования зависит от времени или рандомный. Я пытался логически понять можно ли зашифровать файл с возможностью его расшифровки. Ключ должен присоединяться к файлу в конце или в начале или по смещению. Если ключ неизменяемый, то он содержится в распаковщике-интерпретаторе, если ключ изменяемый, то у него должна быть позиция внутри файла (конец, начало или смещение). Возможно в памяти он в расшифрованном виде, иначе как он будет работать, хотя он же не компилируется, в любом случае он не сможет обрабатываться построчно, если он зашифрован. Надо память процесса сохранить.
|
Adler
- Стаж: 9 лет 8 месяцев
- Сообщений: 1205
- Репутация:65[+] [-]
- Откуда: Луганск
|
AZJIO, конечные дампы (когда скрипт запустился) с зашифрованным или обычным скриптом почти одинаковы (в некоторых местах одиночные байты отличаются). Т.е. в итоге это все приводится к одинаковому виду. Различия значит должны быть где то в промежуточном этапе выполнения.
У меня вчера идея появилась записать трасировку выполнения обычного и зашифрованного скрипта и потом их сравнить, найдя в каком месте начинает меняться сценарий выполнения. Но с этим еще нужно поработать. Первый эксперимент не дал результата, т.к. в отклонений очень много, включая внутри системных библиотек. А как записать трасировку, что бы она не затрагивала системные библиотеки пока не разобрался. В общем надо еще покопаться с этим ..
|
Отправлено: 28-Июл-2020 09:16
(спустя 1 час 44 минуты)
AZJIO
- Стаж: 7 лет 4 месяца
- Сообщений: 1322
- Репутация:127[+] [-]
|
79445конечные дампы (когда скрипт запустился) с зашифрованным или обычным скриптом почти одинаковы
|
Отправлено: 28-Июл-2020 10:31
(спустя 1 час 15 минут)
Adler
- Стаж: 9 лет 8 месяцев
- Сообщений: 1205
- Репутация:65[+] [-]
- Откуда: Луганск
|
79451А если посмотреть дамп минимального скрипта с одной строкой и большого скрипта?
|
|
|
Наконец-то у меня дошли руки закачать с китайского сайта ветку форума, посвящённую PeCMD.
Пришлось писать несколько скриптов (для получения ссылок закачки 1533 страниц, переименования и проверки).
Конечно, не самый удобный получился вариант, но всё, что есть - в архиве, 1533 странички на китайском (только html).Зачем это нужно?Всё просто: именно на страничках форума автор детально разжёвывал новшества и дал кучу примеров использования, которые не указаны в обычной справке.
В общем, метода поиска такова: распаковать папку, в FAR или TC забиваем в поиске "Содержащий текст" и там уже ищем примеры. Результатом будут странички, где упоминается искомое (в FAR их можно отправить все скопом на временную панель). Так что критерии поиска нужно хорошо обдумать. Например, меня интересовало преобразование времени в DATE, конкретно *gmt. Описание и примеры обнаружились на 458-й страничке.
|
Страница 21 из 28
Текущее время: 01-Июл 19:43
Часовой пояс: UTC + 3
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы можете скачивать файлы
|
|
Вход
Регистрация
