论坛 › PE讨论区 › CatRoot 签名文件筛选 小工具【2020/7/12 更新】

立帮电子 发表于 2020-7-11 20:56:15

CatRoot 签名文件筛选 小工具【2020/7/12 更新】

本帖最后由 立帮电子 于 2020-7-13 07:58 编辑

详见 sairen139 发布的 骨头版pe攻坚战的最后一关，关于System32文件夹下CatRoot里的签名文件该如何精简？
参考4楼 Bluebells 的方案写了个小工具
如果出错，就每个文件夹选项单独执行
Windows\System32文件如果超过一定数量，可能出错
逐个筛选不会出错，耗费时间比较大，单drivers文件夹就要 将近3分钟
一次性筛选效率高，文件超过一定数量可能出错。
2020年7月12日 更新 =========================================================
1. 修改 筛选方案：
      初版 ：为一次性筛选， 不论选中的文件夹内数量多少，一次性比对 每个cat文件
      例：选中 System32、drivers 文件夹。所选文件夹内包含1100个文件，假设 cat 文件有 100 个
      原方案是拿这 1100 个文件的数据，一次性比对 每个cat文件 ，比对 100次校验完成。
      优点：效率高，缺点：容易卡死出错，甚至无法获得数据 （已放弃该方案）
      改进：如上例，把1100个文件 按 500 个分割，每次比对 500 个文件，分3次比对，需要比对 300 次
      虽然表面上比对次数比原方案多 200 次，实际速度并不比原方案慢，（基本上不卡了，也不会出错）
2. 新增快速校验选项
    不勾选该选项，采用逐个文件比对。
    如上例，1100个文件， cat 文件有 100 个 。比对次数为 1100*100 。 需要比对 110000（十一万） 次
    勾选该选项，只需要比对 300 次。
3. 增加排除重复选项
    已匹配到签名文件。就不再和下个 cat 文件比对匹配,避免重复
    因为 1个cat 文件可能会包含多个文件的数字签名，同样1个文件的数字签名可能会指向不同的 cat 文件
    已经找到了对应的签名文件，后面就不再查找了,避免重复占用空间。
    排除重复选项，还有一个好处就是比对校验越来越快（越往后比对的文件越少）
    注意：对于更新补丁的系统不建议勾选此项。
4.修复cat文件超过一定数量，输出文本框显示不全卡死
   主要是文本框默认限定不超过3万字，改进每100行清屏一次（其实都是没多大用途的信息）
5.改进选择 Windows 文件夹自动选择 Windows\System32\CatRoot
   仍然可选择其它位置 CatRoot文件夹
只适用同版本的文件筛选。
=========================================================





附件下载：
**** Hidden Message *****

fanwen2099 发表于 2020-7-11 21:02:13

沙发

我是小青蛙 发表于 2020-7-11 21:20:49

这个很方便

红毛樱木 发表于 2020-7-11 21:29:23

方便使用。

liuzhaoyzz 发表于 2020-7-11 21:38:28

试了下，感觉容易卡死不动了是怎么回事？

Anson4 发表于 2020-7-11 21:42:19

有点高大上啊，感谢分享！

2012mlss 发表于 2020-7-11 21:42:26

非常感谢楼主的分享!支持...

sairen139 发表于 2020-7-11 21:45:01

感谢立帮！

girlff 发表于 2020-7-11 22:04:45

这个很方便

立帮电子 发表于 2020-7-11 22:10:55

liuzhaoyzz 发表于 2020-7-11 21:38
试了下，感觉容易卡死不动了是怎么回事？

确实有点，文件夹内数量多了有点卡。抽空改进一下

nishijiji1 发表于 2020-7-11 22:29:02

catbttt

xlshn 发表于 2020-7-12 02:42:35

看看呢

foxfirefox 发表于 2020-7-12 06:56:58

hehe

zhoubin 发表于 2020-7-12 08:05:34

谢谢，看看！！

foolst 发表于 2020-7-12 08:22:57

感谢分享！

咿呀咿呀呦 发表于 2020-7-12 09:55:20

谢谢立邦

金辰影视 发表于 2020-7-12 10:06:35

折腾下精简，感谢分享

aimengyu 发表于 2020-7-12 10:40:42

sha fa

aimengyu 发表于 2020-7-12 10:44:14

一直卡在这里不动

zhshao1211 发表于 2020-7-12 10:50:05

支持一下

2012maaybe 发表于 2020-7-12 11:14:50

这个很实用，特别是在打完补丁之后

sairen139 发表于 2020-7-12 11:32:50

本帖最后由 sairen139 于 2020-7-12 13:18 编辑

sairen139 发表于 2020-7-11 21:45
感谢立帮！
今日测试结果，在我精简的70mb的pe里能顺利找出【系统PE文件】所一一对应的catroot文件夹里.cat签名文件，感谢立帮大神搞得的这个非常便利的工具！
另外反馈在正常系统里使用该Cert文件筛选工具有时候会卡顿！

2012cdm999 发表于 2020-7-12 12:31:38

我也试试看，一般没去精简这些。

sunshineboy 发表于 2020-7-12 12:34:09

好久不见立帮了，支持一下

boy6585948 发表于 2020-7-12 13:07:55

看看学习下！

2010hook 发表于 2020-7-12 13:22:22

sairen139 发表于 2020-7-12 11:32...
没对应的能否显示出来？

xman00 发表于 2020-7-12 13:23:01

支持一波

2010hook 发表于 2020-7-12 13:27:47

本帖最后由 2010hook 于 2020-7-12 13:29 编辑

我觉得指定了Windows文件夹，就应该自动找出子目录catroot，不必手工再选中。

孤立的cat或dll/sys应该列举出来，以便决定删除或补充文件。

日志最后一行是：“ 正在检测：Microsoft-Windo”，不完整。

sairen139 发表于 2020-7-12 13:28:23

2010hook 发表于 2020-7-12 13:22
没对应的能否显示出来？

立帮的会生成两个txt，一个似乎是查找的所有.cat的log文件。另一个txt就如我上图所示找出的对应关系的txt。没对应的不会显示，估计要自己找。

昨天我试用liuzhaoyzz超级版主的工具时，在运行的cmd窗口里可以看到没对应的文件。你可以试试liuzhaoyzz超级版主的工具看看是否符合你的需求，见我的求助帖

立帮电子 发表于 2020-7-12 13:38:41

本帖最后由 立帮电子 于 2020-7-12 13:40 编辑

2010hook 发表于 2020-7-12 13:22
没对应的能否显示出来？
没对应的 cat 文件显示出来简单，勾选清理会把没对应的 cat 文件移动到程序所在目录 CatRoot_BAK 备份文件夹

查看完整版本: CatRoot 签名文件筛选 小工具【2020/7/12 更新】