[新手上路]批处理新手入门导读[视频教程]批处理基础视频教程[视频教程]VBS基础视频教程[批处理精品]批处理版照片整理器
[批处理精品]纯批处理备份&还原驱动[批处理精品]CMD命令50条不能说的秘密[在线下载]第三方命令行工具[在线帮助]VBScript / JScript 在线参考
返回列表 发帖
回复 33# HOPE2021

感谢楼主的关注。

这个批处理文件,原始文件是exe文件运行后,在系统暂存里提取得到的。

也就是批处理文件A.bat--->转为A.exe---.运行A.exe文件---->在C:\Users\123\AppData\Local\Temp\*.bat。得到临时暂存的一个批处理文件。

很多BatchEncryption加密的批处理,使用者一般会进行二次加密、修改这个批处理文件,否则,论坛里老刘的BatchEncryption解密批处理就够了。加密就是去意义了。

TOP

回复 31# unppnu
请截一下解密过程中“加密标头”“加密标头所使用的环境变量”“加密标头”“源码”和各个“密码表”的图片
Why join the navy, if you can be a pirate? - Steve Jobs

TOP

回复 31# unppnu
我用于测试的样本也没有文件头啊
我的样本以下面一串密码表起始:
  1. @%comspec:~-14,1%%programfiles:~14,1%%comspec:~-13,1%%commonprogramfiles:~23,1%'=^">%commonprogramfiles:~-7,1%u%commonprogramfiles:~-3,1%&@%comspec:~24,1%%comspec:~20,1%h%commonprogramfiles:~-11,1%%programfiles:~-6,1%%commonprogramfiles:~-11,1%ff&@%os:~-4,1%%commonprogramfiles:~-15,1%%comspec:~14,1%%commonprogramfiles:~-19,1%K%pathext:~18,1%=Zh%pathext:~26,1%Yk&@%comspec:~-16,1%%commonprogramfiles:~-2,1%%comspec:~-13,1%%programfiles:~10,1%'=^^^%os:~-1,1%p^^^+^^^|^^^{q^^^<^^^-^^^%os:~-2,1%^^^9^^^>^^^$^^^%pathext:~3,1%%os:~-5,1%^^^%pathext:~35,1%^^^.^^^%pathext:~1,1%^^^%comspec:~-24,1%^^^Y^^^%commonprogramfiles:~24,1%^^^%pathext:~2,1%^^^8%commonprogramfiles:~25,1%%programfiles:~5,1%k^^^%pathext:~27,1%^^^G^^^^%comspec:~26,1%^^^;fz^^^%comspec:~-9,1%%commonprogramfiles:~6,1%^^^%pathext:~36,1%^^^%programfiles:~-13,1%^^^\^^^~^^^%pathext:~7,1%^^^,%comspec:~14,1%^^^%pathext:~12,1%^^^]%os:~2,1%^^^%comspec:~-10,1%hjv^^^?%os:~3,1%^^^K%commonprogramfiles:~7,1%b^^^6%commonprogramfiles:~8,1%^^^%pathext:~18,1%^^^Q^^^&^^^1^^^0^^^@^^^U^^^7^^^L^^^`^^^"^^^:^^^[%comspec:~-6,1%^^^)u^^^_%comspec:~-15,1%%comspec:~-2,1%^^^Z%comspec:~-7,1%^^^I^^^5%programfiles:~15,1%^^^'^^^(^^^*^^^=^^^%pathext:~47,1%^^^}^^^/^^^%programfiles:~-6,1%^^^R^^^4^^^%pathext:~28,1%%commonprogramfiles:~-16,1%^^^#^^^%pathext:~26,1%&@%comspec:~11,1%%programfiles:~-2,1%%comspec:~-13,1%%commonprogramfiles:~10,1%Zq%commonprogramfiles:~-15,1%=%pathext:~18,1%%pathext:~41,1%%programfiles:~6,1%&@%comspec:~-14,1%%comspec:~-3,1%%comspec:~-13,1%%commonprogramfiles:~23,1%%pathext:~8,1%%os:~-8,1%%commonprogramfiles:~3,1%=Rv%pathext:~3,1%%comspec:~-15,1%&@%comspec:~-14,1%%commonprogramfiles:~14,1%%comspec:~14,1%%programfiles:~-6,1%%pathext:~27,1%U%programfiles:~-8,1%G=%pathext:~31,1%b%comspec:~-11,1%f&@%os:~-4,1%%commonprogramfiles:~-15,1%%comspec:~14,1%%programfiles:~10,1%q%os:~-10,1%qZ%commonprogramfiles:~-25,1%=hQ%pathext:~26,1%%commonprogramfiles:~19,1%&@%os:~6,1%%commonprogramfiles:~27,1%%comspec:~14,1%%programfiles:~-6,1%L%os:~-9,1%%comspec:~20,1%=L%pathext:~12,1%%pathext:~47,1%&@%os:~-4,1%%comspec:~15,1%%comspec:~-13,1%%programfiles:~-6,1%Y%commonprogramfiles:~26,1%%commonprogramfiles:~-25,1%=%commonprogramfiles:~15,1%Q%pathext:~1,1%&@%os:~6,1%%commonprogramfiles:~14,1%%comspec:~-13,1%%commonprogramfiles:~-16,1%%programfiles:~-11,1%%comspec:~-7,1%%commonprogramfiles:~8,1%%programfiles:~-3,1%%commonprogramfiles:~-6,1%%comspec:~26,1%%commonprogramfiles:~22,1%%commonprogramfiles:~8,1%b%commonprogramfiles:~26,1%%comspec:~-12,1%%comspec:~22,1%%programfiles:~14,1%%programfiles:~13,1%%commonprogramfiles:~-21,1%%comspec:~12,1%%comspec:~15,1%%comspec:~-5,1%%comspec:~24,1%%comspec:~25,1%p%programfiles:~-8,1%%commonprogramfiles:~-7,1%%comspec:~13,1%%programfiles:~12,1%%programfiles:~5,1%%commonprogramfiles:~22,1%&%comspec:~24,1%%commonprogramfiles:~22,1%%os:~-7,1%%programfiles:~13,1%%comspec:~-7,1%%commonprogramfiles:~-24,1%%commonprogramfiles:~-21,1%%commonprogramfiles:~-3,1%%commonprogramfiles:~23,1%%comspec:~-9,1%>%commonprogramfiles:~22,1%u%programfiles:~13,1%&&@%comspec:~15,1%%comspec:~20,1%h%commonprogramfiles:~5,1%.>%0 &&@%comspec:~-16,1%%programfiles:~-2,1%%comspec:~-13,1%%commonprogramfiles:~-19,1%Kj%pathext:~3,1%=%pathext:~12,1%%commonprogramfiles:~-7,1%%os:~-5,1%pv&@%comspec:~13,1%%comspec:~26,1%%comspec:~14,1%%programfiles:~10,1%%commonprogramfiles:~25,1%%pathext:~18,1%%pathext:~36,1%z=U%comspec:~20,1%R%programfiles:~-5,1%&@%programfiles:~-1,1%%comspec:~-3,1%%comspec:~14,1%%commonprogramfiles:~-6,1%z%comspec:~20,1%vU=%comspec:~14,1%Y&@%commonprogramfiles:~-1,1%hu%comspec:~14,1%%comspec:~22,1%%commonprogramfiles:~5,1%%os:~5,1%%commonprogramfiles:~22,1%%commonprogramfiles:~-6,1%/%commonprogramfiles:~-1,1%%commonprogramfiles:~10,1%/f%commonprogramfiles:~23,1%/%comspec:~14,1%%programfiles:~10,1%0&&@%commonprogramfiles:~-15,1%%comspec:~25,1%%commonprogramfiles:~12,1%%comspec:~14,1%&&@%comspec:~11,1%%comspec:~26,1%%comspec:~-13,1%%programfiles:~10,1%%os:~8,1%%os:~-6,1%Z=%programfiles:~-12,1%q%programfiles:~-8,1%&@%commonprogramfiles:~-2,1%%comspec:~20,1%h%programfiles:~-11,1%%commonprogramfiles:~23,1%"
复制代码
Why join the navy, if you can be a pirate? - Steve Jobs

TOP

回复 29# HOPE2021

未解密的批处理文件,注意!没有文件头。



正确的解密后批处理文件。

TOP

回复 29# HOPE2021

感谢楼主的修正,辛苦。
经用一个无以下标志的批处理文件测试:

?&cls
::BatchEncryption Build 201610 By gwsbhqt@163.com



无文件头批处理文件,解密后提示成功。


解密文件不能运行,用txt文本方式查看,解密后的批处理文件头没变化。


解密后批处理文件中出现很多的乱码,解密貌似失败。


因权限太低无法上传文件,楼主需要测试目标文件见论坛短信。

TOP

回复 28# unppnu
1.4 版

更新内容:
改进了对不规范文件头的处理功能

软件截图:


Why join the navy, if you can be a pirate? - Steve Jobs

TOP

回复 27# HOPE2021

楼主辛苦了,期待您的再次跨越。

TOP

回复 26# unppnu
感谢您的反馈。
在设计中只考虑了文件头的密码表部分,没有对后续的还原表部分进行处理。
不过修正这个 Bug 就涉及到了代码的重构,需要一定的时间才能推出下一个版本。
Why join the navy, if you can be a pirate? - Steve Jobs

TOP

本帖最后由 unppnu 于 2023-1-27 17:04 编辑

回复 25# HOPE2021

感谢您再次的修正、更新。
原始的批处理文件缺少文件头,
缺少:

?&cls
::BatchEncryption Build 201610 By gwsbhqt@163.com




修正文件头,删除“ @shift /0 ”行。


BEDeCode1.3.36解密,出现文件头错误。


用其他解密工具解密,成功。


测试批处理文件无法上传。

TOP

回复 21# unppnu
快速解密输出速度较快,深度解密输出时间过长

是这样的,在 1.2 版以前就只有“深度解密”功能,1.1 版对深度解密功能进行了大幅优化,但速度仍然过慢。
由于我手上没有 BatchEncryption 的源码,只能根据样本进行分析。
“快速解密”的密码表来自于样本中出现的变量偏移数据,“深度解密”的密码表来自于所有可能出现的变量偏移数据。
“深度解密”的密码表长度是“快速解密”的几百倍,所以速度就慢下来了。
但“快速解密”功能仍有弊端,如果使用了不常见的密码表,就无法完全解密了。
Why join the navy, if you can be a pirate? - Steve Jobs

TOP

回复 21# unppnu
1.3 版新增了处理不规范文件头的功能,欢迎您下载测试。
Why join the navy, if you can be a pirate? - Steve Jobs

TOP

1.3 版

更新内容:
新增对不规范文件头的处理功能

软件截图:


Why join the navy, if you can be a pirate? - Steve Jobs

TOP

回复 21# unppnu
感谢您的反馈。
我会在下一个版本中添加文件头的检测功能。
Why join the navy, if you can be a pirate? - Steve Jobs

TOP

本帖最后由 unppnu 于 2023-1-27 10:12 编辑

回复 19# HOPE2021

感谢您的回复。
1、经测试确认是文件头问题,该批处理文件是exe文件内存提取的。
2、快速解密输出速度较快,深度解密输出时间过长,无意中发现数十秒后弹出“成功”提示界面。
3、某些批处理的文件头没有“gwsbhqt@163.com”标志,但确实BatchEncryption加密。
4、某些批处理的文件加密后全部是乱码 “☠汣൳㨊䈺瑡档湅牣灹楴湯䈠極摬㈠㄰ㄶ‰祂”,进入这个工具才可以看到文件头,是否需要预解密处理。

假如这个工具能自动的修正文件头就最好了,因为批处理文件的来源是多方的。





1

评分人数

TOP

回复 16# unppnu
论坛无法上传截图。

请到http://www.bathome.net/thread-60985-1-1.html处看看
Why join the navy, if you can be a pirate? - Steve Jobs

TOP

返回列表