使用下面的小工具可以读取Ghost镜像文件密码。

优势:可执行文件体积非常小,适合集成到Windows PE。

关联到右键PECMD脚本命令:

REGI HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.gho\=Ghost
REGI HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Ghost\=Ghost image file
REGI HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Ghost\shell\查看Gho镜像文件密码\command\=cmd.exe /c GhostPWD.EXE "%%1"&pause

一般使用场景是跟GhostExp浏览器关联,可以追加下面的命令:

REGI HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Ghost\shell\open\command\=X:\Program Files\GHOST\GHOSTExp.EXE "%%1"

效果图:

 

最后于 2021-04-10 16:07:07 被caocaofff编辑 ,原因:
上传的附件:
  • GhostPWD.zip (上传时间:2021-04-03 21:44:22,大小:1.30K,下载次数:7)
  • GhostPWD64.zip (上传时间:2021-04-03 21:44:22,大小:29.29K,下载次数:7)
收藏
分享
我的博客:cboot.org
最新回复 (12)
  • 士兵 hsieh2h 2021-04-10 01:04:12

    谢谢楼主的分享了

  • 士兵 smss 2021-04-10 15:51:00

    GhostPWD.EXE命名为GhostPWD_86.EXE

    GhostPWD64.EXE命名为GhostPWD_64.EXE

    运行以下脚本

    reg add "HKCR\.gho\shell\查看Gho文件密码" /f /v "Icon" /t REG_SZ /d "SHELL32.dll,104"&reg add "HKCR\.gho\Shell\查看Gho文件密码\command" /f /ve /t REG_SZ /d "cmd.exe /c %~dp0GhostPWD_%PROCESSOR_ARCHITECTURE:~-2%.EXE \"%%1\""

  • 超级版主 caocaofff 2021-04-10 16:07:53   楼主
    smss GhostPWD.EXE命名为GhostPWD_86.EXE GhostPWD64.EXE命名为GhostPWD_64.EXE 运行以下脚本 reg add "HKCR\.gho\sh ...

    感谢指正,已修改。

    我的博客:cboot.org
  • 士兵 铭浩 2021-10-09 19:06:40

    吧ghostpwd放在那个目录呢?

  • 超级版主 caocaofff 2021-10-09 20:19:59   楼主
    铭浩 吧ghostpwd放在那个目录呢?

    注册表有路径

    我的博客:cboot.org
  • 士兵 铭浩 2021-10-09 21:13:59

    可以发一下改正过的64位方法吗?

  • 超级版主 caocaofff 2021-10-09 21:51:07   楼主
    铭浩 可以发一下改正过的64位方法吗?

    可以直接改文件名,也可以用3楼方法

    我的博客:cboot.org
  • 士兵 铭浩 2021-10-09 21:54:58

    3楼整理后是什么样子的?

  • 士兵 铭浩 2021-10-09 21:58:20

    注册表路径?我没看出来呀,要不您直接告诉我三楼的方法中应该放那里吧

  • 超级版主 caocaofff 2021-10-09 22:11:15   楼主
    铭浩 可以发一下改正过的64位方法吗?

    GhostPWD.EXE改成GhostPWD64.EXE

    我的博客:cboot.org
  • 士兵 铭浩 2021-10-09 22:57:20

    您直接告诉我三楼的方法中这个程序应该放那里吧

  • 超级版主 caocaofff 2021-10-10 00:06:34   楼主
    铭浩 您直接告诉我三楼的方法中这个程序应该放那里吧

    system32目录

    我的博客:cboot.org
返回