Batch Encryption DeCoder，针对 BatchEncryption 的批处理解密工具 - 电脑技术研讨 - 批处理之家 BAT,CMD,批处理,PowerShell,VBS,DOS - Powered by Discuz!

批处理之家 » 电脑技术研讨 » Batch Encryption DeCoder，针对 BatchEncryption 的批处理解密工具

[新手上路]批处理新手入门导读	[视频教程]批处理基础视频教程	[视频教程]VBS基础视频教程	[批处理精品]批处理版照片整理器
[批处理精品]纯批处理备份&还原驱动	[批处理精品]CMD命令50条不能说的秘密	[在线下载]第三方命令行工具	[在线帮助]VBScript / JScript 在线参考

123 4 下一页

返回列表发帖

Rank: 1

帖子: 12
积分: 15
技术: 1
捐助: 0
注册时间: 2021-11-26

34楼 跳转到 »

发表于 2023-1-29 17:29 | 只看该作者

回复 33# HOPE2021

感谢楼主的关注。

这个批处理文件，原始文件是exe文件运行后，在系统暂存里提取得到的。

也就是批处理文件A.bat--->转为A.exe---.运行A.exe文件---->在C:\Users\123\AppData\Local\Temp\*.bat。得到临时暂存的一个批处理文件。

很多BatchEncryption加密的批处理，使用者一般会进行二次加密、修改这个批处理文件，否则，论坛里老刘的BatchEncryption解密批处理就够了。加密就是去意义了。

Rank: 4

帖子: 357
积分: 477
技术: 34
捐助: 0
注册时间: 2021-8-8

33楼

发表于 2023-1-29 10:54 | 只看该作者

回复 31# unppnu
请截一下解密过程中“加密标头”“加密标头所使用的环境变量”“加密标头”“源码”和各个“密码表”的图片

Why join the navy, if you can be a pirate? - Steve Jobs

Rank: 4

帖子: 357
积分: 477
技术: 34
捐助: 0
注册时间: 2021-8-8

32楼

发表于 2023-1-29 10:35 | 只看该作者

回复 31# unppnu
我用于测试的样本也没有文件头啊
我的样本以下面一串密码表起始：

@%comspec:~-14,1%%programfiles:~14,1%%comspec:~-13,1%%commonprogramfiles:~23,1%'=^">%commonprogramfiles:~-7,1%u%commonprogramfiles:~-3,1%&@%comspec:~24,1%%comspec:~20,1%h%commonprogramfiles:~-11,1%%programfiles:~-6,1%%commonprogramfiles:~-11,1%ff&@%os:~-4,1%%commonprogramfiles:~-15,1%%comspec:~14,1%%commonprogramfiles:~-19,1%K%pathext:~18,1%=Zh%pathext:~26,1%Yk&@%comspec:~-16,1%%commonprogramfiles:~-2,1%%comspec:~-13,1%%programfiles:~10,1%'=^^^%os:~-1,1%p^^^+^^^|^^^{q^^^<^^^-^^^%os:~-2,1%^^^9^^^>^^^$^^^%pathext:~3,1%%os:~-5,1%^^^%pathext:~35,1%^^^.^^^%pathext:~1,1%^^^%comspec:~-24,1%^^^Y^^^%commonprogramfiles:~24,1%^^^%pathext:~2,1%^^^8%commonprogramfiles:~25,1%%programfiles:~5,1%k^^^%pathext:~27,1%^^^G^^^^%comspec:~26,1%^^^;fz^^^%comspec:~-9,1%%commonprogramfiles:~6,1%^^^%pathext:~36,1%^^^%programfiles:~-13,1%^^^\^^^~^^^%pathext:~7,1%^^^,%comspec:~14,1%^^^%pathext:~12,1%^^^]%os:~2,1%^^^%comspec:~-10,1%hjv^^^?%os:~3,1%^^^K%commonprogramfiles:~7,1%b^^^6%commonprogramfiles:~8,1%^^^%pathext:~18,1%^^^Q^^^&^^^1^^^0^^^@^^^U^^^7^^^L^^^`^^^"^^^:^^^[%comspec:~-6,1%^^^)u^^^_%comspec:~-15,1%%comspec:~-2,1%^^^Z%comspec:~-7,1%^^^I^^^5%programfiles:~15,1%^^^'^^^(^^^*^^^=^^^%pathext:~47,1%^^^}^^^/^^^%programfiles:~-6,1%^^^R^^^4^^^%pathext:~28,1%%commonprogramfiles:~-16,1%^^^#^^^%pathext:~26,1%&@%comspec:~11,1%%programfiles:~-2,1%%comspec:~-13,1%%commonprogramfiles:~10,1%Zq%commonprogramfiles:~-15,1%=%pathext:~18,1%%pathext:~41,1%%programfiles:~6,1%&@%comspec:~-14,1%%comspec:~-3,1%%comspec:~-13,1%%commonprogramfiles:~23,1%%pathext:~8,1%%os:~-8,1%%commonprogramfiles:~3,1%=Rv%pathext:~3,1%%comspec:~-15,1%&@%comspec:~-14,1%%commonprogramfiles:~14,1%%comspec:~14,1%%programfiles:~-6,1%%pathext:~27,1%U%programfiles:~-8,1%G=%pathext:~31,1%b%comspec:~-11,1%f&@%os:~-4,1%%commonprogramfiles:~-15,1%%comspec:~14,1%%programfiles:~10,1%q%os:~-10,1%qZ%commonprogramfiles:~-25,1%=hQ%pathext:~26,1%%commonprogramfiles:~19,1%&@%os:~6,1%%commonprogramfiles:~27,1%%comspec:~14,1%%programfiles:~-6,1%L%os:~-9,1%%comspec:~20,1%=L%pathext:~12,1%%pathext:~47,1%&@%os:~-4,1%%comspec:~15,1%%comspec:~-13,1%%programfiles:~-6,1%Y%commonprogramfiles:~26,1%%commonprogramfiles:~-25,1%=%commonprogramfiles:~15,1%Q%pathext:~1,1%&@%os:~6,1%%commonprogramfiles:~14,1%%comspec:~-13,1%%commonprogramfiles:~-16,1%%programfiles:~-11,1%%comspec:~-7,1%%commonprogramfiles:~8,1%%programfiles:~-3,1%%commonprogramfiles:~-6,1%%comspec:~26,1%%commonprogramfiles:~22,1%%commonprogramfiles:~8,1%b%commonprogramfiles:~26,1%%comspec:~-12,1%%comspec:~22,1%%programfiles:~14,1%%programfiles:~13,1%%commonprogramfiles:~-21,1%%comspec:~12,1%%comspec:~15,1%%comspec:~-5,1%%comspec:~24,1%%comspec:~25,1%p%programfiles:~-8,1%%commonprogramfiles:~-7,1%%comspec:~13,1%%programfiles:~12,1%%programfiles:~5,1%%commonprogramfiles:~22,1%&%comspec:~24,1%%commonprogramfiles:~22,1%%os:~-7,1%%programfiles:~13,1%%comspec:~-7,1%%commonprogramfiles:~-24,1%%commonprogramfiles:~-21,1%%commonprogramfiles:~-3,1%%commonprogramfiles:~23,1%%comspec:~-9,1%>%commonprogramfiles:~22,1%u%programfiles:~13,1%&&@%comspec:~15,1%%comspec:~20,1%h%commonprogramfiles:~5,1%.>%0 &&@%comspec:~-16,1%%programfiles:~-2,1%%comspec:~-13,1%%commonprogramfiles:~-19,1%Kj%pathext:~3,1%=%pathext:~12,1%%commonprogramfiles:~-7,1%%os:~-5,1%pv&@%comspec:~13,1%%comspec:~26,1%%comspec:~14,1%%programfiles:~10,1%%commonprogramfiles:~25,1%%pathext:~18,1%%pathext:~36,1%z=U%comspec:~20,1%R%programfiles:~-5,1%&@%programfiles:~-1,1%%comspec:~-3,1%%comspec:~14,1%%commonprogramfiles:~-6,1%z%comspec:~20,1%vU=%comspec:~14,1%Y&@%commonprogramfiles:~-1,1%hu%comspec:~14,1%%comspec:~22,1%%commonprogramfiles:~5,1%%os:~5,1%%commonprogramfiles:~22,1%%commonprogramfiles:~-6,1%/%commonprogramfiles:~-1,1%%commonprogramfiles:~10,1%/f%commonprogramfiles:~23,1%/%comspec:~14,1%%programfiles:~10,1%0&&@%commonprogramfiles:~-15,1%%comspec:~25,1%%commonprogramfiles:~12,1%%comspec:~14,1%&&@%comspec:~11,1%%comspec:~26,1%%comspec:~-13,1%%programfiles:~10,1%%os:~8,1%%os:~-6,1%Z=%programfiles:~-12,1%q%programfiles:~-8,1%&@%commonprogramfiles:~-2,1%%comspec:~20,1%h%programfiles:~-11,1%%commonprogramfiles:~23,1%"
复制代码

Why join the navy, if you can be a pirate? - Steve Jobs

Rank: 1

帖子: 12
积分: 15
技术: 1
捐助: 0
注册时间: 2021-11-26

31楼

发表于 2023-1-29 10:32 | 只看该作者

回复 29# HOPE2021

未解密的批处理文件，注意！没有文件头。

正确的解密后批处理文件。

Rank: 1

帖子: 12
积分: 15
技术: 1
捐助: 0
注册时间: 2021-11-26

30楼

发表于 2023-1-29 10:22 | 只看该作者

回复 29# HOPE2021

感谢楼主的修正，辛苦。
经用一个无以下标志的批处理文件测试：

?&cls
::BatchEncryption Build 201610 By gwsbhqt@163.com

无文件头批处理文件，解密后提示成功。

解密文件不能运行，用txt文本方式查看，解密后的批处理文件头没变化。

解密后批处理文件中出现很多的乱码，解密貌似失败。

因权限太低无法上传文件，楼主需要测试目标文件见论坛短信。

Rank: 4

帖子: 357
积分: 477
技术: 34
捐助: 0
注册时间: 2021-8-8

29楼

发表于 2023-1-29 08:39 | 只看该作者

回复 28# unppnu
1.4 版

更新内容：
改进了对不规范文件头的处理功能

软件截图：

Why join the navy, if you can be a pirate? - Steve Jobs

Rank: 1

帖子: 12
积分: 15
技术: 1
捐助: 0
注册时间: 2021-11-26

28楼

发表于 2023-1-27 17:12 | 只看该作者

回复 27# HOPE2021

楼主辛苦了，期待您的再次跨越。

Rank: 4

帖子: 357
积分: 477
技术: 34
捐助: 0
注册时间: 2021-8-8

27楼

发表于 2023-1-27 17:05 | 只看该作者

回复 26# unppnu
感谢您的反馈。
在设计中只考虑了文件头的密码表部分，没有对后续的还原表部分进行处理。
不过修正这个 Bug 就涉及到了代码的重构，需要一定的时间才能推出下一个版本。

Why join the navy, if you can be a pirate? - Steve Jobs

Rank: 1

帖子: 12
积分: 15
技术: 1
捐助: 0
注册时间: 2021-11-26

26楼

发表于 2023-1-27 16:41 | 只看该作者

本帖最后由 unppnu 于 2023-1-27 17:04 编辑

回复 25# HOPE2021

感谢您再次的修正、更新。
原始的批处理文件缺少文件头，
缺少：

?&cls
::BatchEncryption Build 201610 By gwsbhqt@163.com

修正文件头，删除“ @shift /0 ”行。

用BEDeCode1.3.36解密，出现文件头错误。

用其他解密工具解密，成功。

测试批处理文件无法上传。

Rank: 4

帖子: 357
积分: 477
技术: 34
捐助: 0
注册时间: 2021-8-8

25楼

发表于 2023-1-27 13:56 | 只看该作者

回复 21# unppnu

快速解密输出速度较快，深度解密输出时间过长

是这样的，在 1.2 版以前就只有“深度解密”功能，1.1 版对深度解密功能进行了大幅优化，但速度仍然过慢。
由于我手上没有 BatchEncryption 的源码，只能根据样本进行分析。
“快速解密”的密码表来自于样本中出现的变量偏移数据，“深度解密”的密码表来自于所有可能出现的变量偏移数据。
“深度解密”的密码表长度是“快速解密”的几百倍，所以速度就慢下来了。
但“快速解密”功能仍有弊端，如果使用了不常见的密码表，就无法完全解密了。

Why join the navy, if you can be a pirate? - Steve Jobs

Rank: 4

帖子: 357
积分: 477
技术: 34
捐助: 0
注册时间: 2021-8-8

24楼

发表于 2023-1-27 13:46 | 只看该作者

回复 21# unppnu
1.3 版新增了处理不规范文件头的功能，欢迎您下载测试。

Why join the navy, if you can be a pirate? - Steve Jobs

Rank: 4

帖子: 357
积分: 477
技术: 34
捐助: 0
注册时间: 2021-8-8

23楼

发表于 2023-1-27 13:44 | 只看该作者

1.3 版

更新内容：
新增对不规范文件头的处理功能

软件截图：

Why join the navy, if you can be a pirate? - Steve Jobs

Rank: 4

帖子: 357
积分: 477
技术: 34
捐助: 0
注册时间: 2021-8-8

22楼

发表于 2023-1-27 12:41 | 只看该作者

回复 21# unppnu
感谢您的反馈。
我会在下一个版本中添加文件头的检测功能。

Why join the navy, if you can be a pirate? - Steve Jobs

Rank: 1

帖子: 12
积分: 15
技术: 1
捐助: 0
注册时间: 2021-11-26

21楼

发表于 2023-1-27 09:38 | 只看该作者

本帖最后由 unppnu 于 2023-1-27 10:12 编辑

回复 19# HOPE2021

感谢您的回复。
1、经测试确认是文件头问题，该批处理文件是exe文件内存提取的。
2、快速解密输出速度较快，深度解密输出时间过长，无意中发现数十秒后弹出“成功”提示界面。
3、某些批处理的文件头没有“gwsbhqt@163.com”标志，但确实BatchEncryption加密。
4、某些批处理的文件加密后全部是乱码 “☠汣൳㨊䈺瑡档湅牣灹楴湯䈠極摬㈠㄰ㄶ‰祂”，进入这个工具才可以看到文件头，是否需要预解密处理。

假如这个工具能自动的修正文件头就最好了，因为批处理文件的来源是多方的。

1 评分人数

HOPE2021: 感谢您的反馈技术 + 1

Rank: 4

帖子: 357
积分: 477
技术: 34
捐助: 0
注册时间: 2021-8-8

20楼

发表于 2023-1-26 14:18 | 只看该作者

回复 16# unppnu

论坛无法上传截图。

请到http://www.bathome.net/thread-60985-1-1.html处看看

Why join the navy, if you can be a pirate? - Steve Jobs

123 4 下一页