[更新376#2825]PECMD2012.1.80.13_Win32_64.多窗口多线程.裸机系统2.3.3.1+18M酷M...

527104427 · 发表于 2013-5-1 23:03:27

如何才能清除HKCR\BeyondCompare.Snapshot这一项（包括里面的子项）？
试了下面的命令都不成功：

REGI HKCR\BeyondCompare.Snapshot\!
REGI HKCR\BeyondCompare.Snapshot!
REGI HKCR\BeyondCompare.Snapshot=
REGI **0 $HKCR\BeyondCompare.Snapshot!

下面这句只能将值清空，并不能删除子项
REGI **0 $HKCR\BeyondCompare.Snapshot\!

mdyblog · 发表于 2013-5-2 00:13:41

527104427 发表于 2013-5-1 23:03
如何才能清除HKCR\BeyondCompare.Snapshot这一项（包括里面的子项）？
试了下面的命令都不成功：

REGI **0 HKCR\BeyondCompare.Snapshot\!

mdyblog · 发表于 2013-5-2 00:20:47

本帖最后由 mdyblog 于 2013-5-2 00:56 编辑

527104427 发表于 2013-5-1 22:02
请教老大，如何判断系统是32位还是64位？
另外，系统工作目录是哪个变量呢？%WINDIR%?

CALL $?  **ret:&&addr kernel32.dll,Wow64EnableWow64FsRedirection,
FIND $%&addr%=, MESS 32! MESS  64

///////////// PECMD2012.1.77.1-130410-16.多窗口线程孵化版_win32_64.sfx 添加 &::bX64 变量 1为X64。
FIND $1=%&::bX64%, MESS  64!  MESS 32

//MESS  %&addr%
系统工作目录 %SystemRoot%
（c:\windows)

527104427 · 发表于 2013-5-2 00:22:38

子项被删除了，HKCR\BeyondCompare.Snapshot的值被清空，但是还在那里。
可以像reg delete一样吗？把HKCR\BeyondCompare.Snapshot这一项全都干掉

mdyblog · 发表于 2013-5-2 00:26:44

糊涂发表于 2013-5-1 21:27
PE中更新PECMD不知道具体操作方法！
我是新手，只YY过各位老师PE，但对此PECMD更新是个新课题！
老师有 ...

如果都是 PECMD2012 那就简单。直接替换其中的 PECMD.EXE
如果是 PECMD4.0 到 PECMD2012 ，也是直接替换。有些复杂的 PE 可能有些小问题，需要些调整。

IMG的PE，那就挂载（VDM），替换。
WIM的PE，那就挂载（ImageX），替换。
ISO的PE， UISO 直接替换。
ISO-》WIM 的PE：UISO 提出 WIM（boot.wim) ，挂载，替换，UISO 放回 WIM。

527104427 · 发表于 2013-5-2 00:37:34

本帖最后由 527104427 于 2013-5-2 00:40 编辑

mdyblog 发表于 2013-5-2 00:20
CALL $? **ret:&&addr kernel32.dll,Wow64EnableWow64FsRedirection,
FIND $%&addr%=, MESS 32! MESS ...

CALL $? **ret:&&addr kernel32.dll,Wow64EnableWow64FsRedirection,
FIND $%&addr%=, MESS 32! MESS 64

我是WIN7的32位系统，用这条命令显示的是64？

REGI **0 HKCR\BeyondCompare.Snapshot\!

这条命令可以清空所有子项和值了，但HKCR\BeyondCompare.Snapshot这一项还在那里，能不能把它也删除？

mdyblog · 发表于 2013-5-2 01:00:07

527104427 发表于 2013-5-2 00:22
子项被删除了，HKCR\BeyondCompare.Snapshot的值被清空，但是还在那里。
可以像reg delete一样吗？把HKCR\ ...

绕了一圈！！！你要这个啊。
那直接：

REGI HKCR\BeyondCompare.Snapshot\!

mdyblog · 发表于 2013-5-2 01:02:41

本帖最后由 mdyblog 于 2013-5-2 11:31 编辑

527104427 发表于 2013-5-2 00:37
我是WIN7的32位系统，用这条命令显示的是64？

MESS 【$%&addr%】
显示多少？

是不是你的系统被人改过，伪造成X64。

CALL $?  **ret:&&addr kernel32.dll,Wow64RevertWow64FsRedirection,
FIND $%&addr%=, MESS 32  【%&addr%】  bX64=[%&::bX64%] ! MESS  64  【%&addr%】  bX64=[%&::bX64%]

///////////// PECMD2012.1.77.1-130410-16.多窗口线程孵化版_win32_64.sfx 添加 &::bX64 变量 3=PECMD64+WIN64 1=PECMD32+WIN64  0=PECMD32+Win32。
FIND $0=%&::bX64%, MESS  32  bX64=[%&::bX64%] !  MESS 64  bX64=[%&::bX64%]

再不，用注册表判断。

// HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node

exec*N V=!reg query HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node /ve
FIND $0=%&ERROR%, MESS 64 [%V%]! MESS 32  [%V%]

------
REGI .HKLM\SOFTWARE\Wow6432Node\,&&V,&&T
FIND $ERROR=%&T%, MESS 32  [%&V%] : [%&T%]! MESS 64 [%&V%] : [%&T%]

糊涂 · 发表于 2013-5-2 07:21:03

本帖最后由糊涂于 2013-5-2 07:53 编辑

mdyblog 发表于 2013-5-2 00:26
如果都是 PECMD2012 那就简单。直接替换其中的 PECMD.EXE
如果是 PECMD4.0 到 PECMD2012 ，也是直接 ...

我试试看能不能按老师说的步骤完成！
谢谢老师指点！
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

可能替换方法不对，从4.0直接替换到2012
进PE桌面提示错误，运行与PECMD相关的ONEKEY类程序也提示错误

其实我也搞不明白，4.0与2012的本质区别是什么？
PECMD又N多版本
我是通过可写挂载替换的，工具为

不清楚要替换哪些文件？我只替换了PECMD主程序

mdyblog · 发表于 2013-5-2 09:03:11

本帖最后由 mdyblog 于 2013-5-2 09:08 编辑

糊涂发表于 2013-5-2 07:21
我试试看能不能按老师说的步骤完成！
谢谢老师指点！
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝ ...

可能替换方法不对，从4.0直接替换到2012
进PE桌面提示错误，运行与PECMD相关的ONEKEY类程序也提示错误

1: 老九自己说，修改PE，最好用 ImageX.EXE挂载。不是WImTool问题，可能是DLL（兼容）问题。
测试方法：其中一个文件，如PECMD.EXE 移出来，在拷回去，加和小文件，启动后是否正常。正常就可排除这个问题。
2： PECMD2012 其实一个版本，总是用最后版本。
3： 2012 与  4.0基本兼容。参数要求严点。这样腾笼换鸟，可以扩展功能。
4：如果刚替换PECMD出问题。先用示例\最精简PECMD.INI\PECMD.INI 试试（包内有）。再慢慢恢复。
5：可以在脚本（如PECMD.INI）开始加  LOGS *D:\PE.LOG
   这样，即使死机，也能看到记录文件D:\PE.LOG。最后记录的命令就是最后成一条成功的命令；如果死了，那么是下面一条命令死的。
死机的话，进正常系统，看记录文件D:\PE.LOG。
  你发现那儿不兼容，望告诉一声，我看看，是否能改成一致。尤其不要出现上图的内存错误。

糊涂 · 发表于 2013-5-2 09:19:58

本帖最后由糊涂于 2013-5-2 09:21 编辑

mdyblog 发表于 2013-5-2 09:03
可能替换方法不对，从4.0直接替换到2012
进PE桌面提示错误，运行与PECMD相关的ONEKEY类程序也提示错 ...

PE.rar (1.97 KB, 下载次数: 5)

PE.log

能进PE桌面，只是显示错误信息，
问题肯定出在我不会使用上，这个能确定

只是不知道正确更新PECMD的流程

527104427 · 发表于 2013-5-2 10:16:20

本帖最后由 527104427 于 2013-5-2 10:20 编辑

mdyblog 发表于 2013-5-2 01:02
MESS 【$%&addr%】
显示多少？

=========================================================

===========================================================================

这个，应该不是系统的问题吧？我怕出错，又在虚拟机里面装了一个WIN7_x86，这是原版系统来的

是否是我的使用有问题？我是直接将配置文件拖到PECMD图标上面的，用的是：
PECMD2012.1.77.1-130410-16.多窗口线程孵化版_win32_64.sfx

删除注册表还是没能成功：
====================================================================

==============================================================================

判断系统类型也没成功：
=======================================================================

=========================================================================

=======================================================================

==================================================================

=====================================================================

========================================================================

mdyblog · 发表于 2013-5-2 11:25:43

糊涂发表于 2013-5-2 09:19
PE.log

能进PE桌面，只是显示错误信息，

更新 PECMD 没什么复杂的流程。就是替换 PECMD.EXE 而已。

只是脚本有些小许的不兼容。需要调整一下。

简单的方法。用包内的简单 PECMD.INI, 替换。
正常后，在慢慢恢复。加一行出错，那就改这一行。
应该是个很小的问题。大概也就一处。 2012 基本兼容4.0

mdyblog · 发表于 2013-5-2 11:41:04

本帖最后由 mdyblog 于 2013-5-2 11:48 编辑

527104427 发表于 2013-5-2 10:16
=========================================================

===================================== ...

1：不好意思，写错了多了个$符号，所以显示不全，应该为：
CALL $?  **ret:&&addr kernel32.dll,Wow64RevertWow64FsRedirection,
FIND $%&addr%=, MESS 32  【%&addr%】  bX64=[%&::bX64%] ! MESS  64  【%&addr%】  bX64=[%&::bX64%]

2：怎么看，你这个系统就是X64。你怎么判断是X86啊？

你试试包内X64\PECMD.EXE  能否在这个系统运行。
如果能运行，那就是 X64 而不是 X86了，此时bX86=3。

晚上回去找个 WIN7X86试试。
你那个WIN7 在虚拟机内安装快吗？能上传到百度盘，最好GHOST版。给有我一个其它下载链接也可。
我也是在VMWARE 内测试。
哦有个： http://www.xitongzhijia.net/win7/201107/432.html

3：删除注册表的问题，可能和这个有关。 X86版的PECMD2012 内部也要判断 X64、X86。

527104427 · 发表于 2013-5-2 11:52:46

mdyblog 发表于 2013-5-2 11:41
1：不好意思，写错了多了个$符号，所以显示不全，应该为：
CALL $? **ret:&&addr kernel32.dll,Wow ...

X64的不能运行

我用的系统是“无约而来”整合的，只是单纯的添加OEM包，没有作其它修改：
http://pan.baidu.com/share/link?shareid=196576&uk=3944978029

无约而来的介绍：
http://zxkh19501.blog.163.com/blog/static/123785179201211147299738/

mdyblog · 发表于 2013-5-2 12:15:41

本帖最后由 mdyblog 于 2013-5-2 12:37 编辑

527104427 发表于 2013-5-2 11:52
X64的不能运行

试试：
ENVI$ &&info=*100 0
CALL $**qd kernel32.dll,GetNativeSystemInfo,*info
ENVI?short  &info=&V1  //ProcessorArchitecture
GETF -g=16 -bin  &info,0#*,&V

IFEX $0=%&V1%,  MESS  32位体系 %&V1% \n%&V%!  MESS  64位体系 %&V1% \n%&V%

527104427 · 发表于 2013-5-2 12:40:00

mdyblog 发表于 2013-5-2 12:15
试试：
ENVI$ &&info=*100 0
CALL $**qd kernel32.dll,GetNativeSystemInfo,*info

糊涂 · 发表于 2013-5-2 12:41:09

mdyblog 发表于 2013-5-2 11:25
更新 PECMD 没什么复杂的流程。就是替换 PECMD.EXE 而已。

只是脚本有些小许的不兼容。需要调 ...

问题已经解决！谢谢老师

原来更新这么简单！

是我想复杂了

mdyblog · 发表于 2013-5-2 13:38:42

本帖最后由 mdyblog 于 2013-5-2 13:47 编辑

527104427 发表于 2013-5-2 12:40

还真是X86。
看来这样可以了。回去改改PECMD。

mdyblog · 发表于 2013-5-2 13:47:46

本帖最后由 mdyblog 于 2013-5-2 14:45 编辑

clonecd 发表于 2013-5-2 13:13
表格里，选中的条目希望跟以前一样，该条目的文字反白，否则在一些WINDOWS/PE（通常为WIN03/03PE）风格中会 ...

回去试试。

527104427 · 发表于 2013-5-2 15:05:22

mdyblog 发表于 2013-5-2 13:47
回去试试。

请教老大，PECMD有没有注册和反注册DLL的命令？
类似于CMD的regsvr32

527104427 · 发表于 2013-5-2 15:28:41

mdyblog 发表于 2013-5-2 13:47
回去试试。

另外，能不能将脚本嵌入PECMD.EXE内部，双击PECMD.EXE直接执行脚本，而不是显示帮助？

mdyblog · 发表于 2013-5-2 17:07:28

527104427 发表于 2013-5-2 15:05
请教老大，PECMD有没有注册和反注册DLL的命令？
类似于CMD的regsvr32

注册DLL：
CALL $DLL文件名

反注册DLL：
CALL $DLL文件名,DllUnregisterServer

mdyblog · 发表于 2013-5-2 17:18:30

527104427 发表于 2013-5-2 15:28
另外，能不能将脚本嵌入PECMD.EXE内部，双击PECMD.EXE直接执行脚本，而不是显示帮助？

可以：
参见： HELP\PECMD内置脚本等.doc
示例\可以调用内部命令的内部脚本示例.wcs
示例\可以调用内部命令的内部脚本示例2.wcs
可以先用CMPS 命令压缩，或压缩并加密。

加密后只能运行，不能查看、修改源代码。

527104427 · 发表于 2013-5-2 20:09:34

mdyblog 发表于 2013-5-2 17:07
注册DLL：
CALL $DLL文件名

CALL $DLL %Systemroot%\system32\COPYFN.dll
CALL $DLL %Systemroot%\system32\COPYFN.dll,DllUnregisterServer

CALL $DLL "%Systemroot%\system32\COPYFN.dll"
CALL $DLL "%Systemroot%\system32\COPYFN.dll",DllUnregisterServer

CALL $DLL%Systemroot%\system32\COPYFN.dll
CALL $DLL%Systemroot%\system32\COPYFN.dll,DllUnregisterServer

CALL $DLL"%Systemroot%\system32\COPYFN.dll"
CALL $DLL"%Systemroot%\system32\COPYFN.dll",DllUnregisterServer

以上命令均不成功

527104427 · 发表于 2013-5-2 20:43:23

clonecd 发表于 2013-5-2 20:38
楼主说的是以下的意思：
CALL $%Systemroot%\system32\COPYFN.dll
在PE的system32目录的，直接如下即 ...

Oh,Yeah！！

成功了！非常感谢！

mdyblog · 发表于 2013-5-2 22:14:07

clonecd 发表于 2013-5-2 13:13
表格里，选中的条目希望跟以前一样，该条目的文字反白，否则在一些WINDOWS/PE（通常为WIN03/03PE）风格中会 ...

已更新
PECMD2012.1.77.1-130410-17.多窗口线程孵化版_win32_64.sfx.zip

mdyblog · 发表于 2013-5-3 06:58:28

clonecd 发表于 2013-5-3 00:36
测了一下，选中之后，条目的字不是白色，而是土**。
XP中测试。

反白：不一定是白色。随背景随而变的。
如果背景是接近白色，就不能用白色。

527104427 · 发表于 2013-5-3 20:25:06

mdyblog 发表于 2013-5-3 06:58
反白：不一定是白色。随背景随而变的。
如果背景是接近白色，就不能用白色。

关注一下老大的进展

mdyblog · 发表于 2013-5-3 22:42:41

clonecd 发表于 2013-5-3 08:07
明白了。

反白色优化了一下。默认采用系统配色方案。

		自动登录	找回密码
密码			注册

[更新376#2825]PECMD2012.1.80.13_Win32_64.多窗口多线程.裸机系统2.3.3.1+18M酷M...

评分

浏览过的版块