54cml 的读取 cmd.exe 的参数的方法不错。鉴于此,也可以用 wmic。
导入以下reg文件,再运行加密的exe:- Windows Registry Editor Version 5.00
-
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor]
- "AutoRun"="wmic PROCESS where Name=\"cmd.exe\" get CommandLine>%temp%\\路径.txt&start notepad %temp%\\路径.txt&exit"
复制代码 恢复注册表键值:- Windows Registry Editor Version 5.00
-
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor]
- "AutoRun"=""
复制代码
|