无忧启动论坛

 找回密码
 注册
搜索
系统gho:最纯净好用系统下载站投放广告、加入VIP会员,请联系 微信:wuyouceo
查看: 6523|回复: 39
打印 上一主题 下一主题

[求助] 骨头版pe攻坚战的最后一关,关于System32文件夹下CatRoot里的签名文件该如何精简?

[复制链接]
跳转到指定楼层
1#
发表于 2020-7-10 14:31:55 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
骨头版pe攻坚战的最后一关,关于System32文件夹下CatRoot里的签名文件该如何精简?

这个CatRoot文件夹精简起来,简直如同老虎吃天无从下手,不知道各位有什么好方法能精简出CatRoot文件夹里的基本的必需的文件来?

评分

参与人数 1无忧币 +5 收起 理由
某些人 + 5 赞一个!

查看全部评分

来自 2#
发表于 2020-7-10 16:46:32 | 只看该作者
sairen139 发表于 2020-7-10 16:07
S大,那是不是我用精简过剩下的drivers里的驱动文件161个和DriverStore里的驱动文件4个,就能直接找到Cat ...

sigcheck64即可。
http://wuyou.net/forum.php?mod=r ... &fromuid=298214
可以批量找出drv对应的外置cat

点评

数字签名外置该如何查找.cat及如何反查: https://m.yht7.com/news/98759 什么是软件“数字签名”首先呢,要了解下什么是PE文件!PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的  详情 回复 发表于 2020-7-11 00:21
请教超级版主这个方法能否在正常系统里离线找出另一个pe系统里dll或者sys所相对应的CatRoot里的签名文件?还是只能找出当前系统或者当前pe的签名文件?  详情 回复 发表于 2020-7-10 18:42
目前测试大家提供的方法,超级版主你的方法是唯一能够批量化操作的,效率最快最好!我测试了一下liuzhaoyzz超级版主提供的方法更便捷效率高出百倍。理由是超级版主提供的方法是批量操作而别的方法都是一个一个来操作  详情 回复 发表于 2020-7-10 18:28
回复

使用道具 举报

3#
发表于 2020-7-10 14:55:13 | 只看该作者
先找出cat在注册表DRIVERS的关系,理清对应什么dll或sys,然后酌情删除。

点评

感谢hook兄的指点。  详情 回复 发表于 2020-7-10 14:56
回复

使用道具 举报

4#
 楼主| 发表于 2020-7-10 14:56:39 | 只看该作者
2010hook 发表于 2020-7-10 14:55
先找出cat在注册表DRIVERS的关系,理清对应什么dll或sys,然后酌情删除。

感谢hook兄的指点。
回复

使用道具 举报

5#
发表于 2020-7-10 15:06:27 | 只看该作者
怎么精简我不知道,但我知道怎么查找某驱动文件对应的 cat 文件(尽可能地筛选出符合条件的 cat 文件)
使用 File String Finder 搜索目标驱动文件的文件名的十六进制码(Unicode)
例如获取 monitor.sys 对应的 cat 文件:
1. 从完整系统安装映像中提取 CatRoot 目标到一个临时位置
2. 使用 File String Finder 搜索 monitor.sys 的十六进制码(Unicode,注意区分大小写)
3. 搜索结果就是 monitor.sys 驱动文件对应的 cat 文件

PS:搜索结果可能出现多个,但只有其中一个才是正确的(如何进一步确定到底是哪一个,请会的网友不吝赐教);
某些 cat 文件可能会一个会对应多个 驱动文件

点评

经测试这种方法比较靠谱,并且便于程序自动处理。  详情 回复 发表于 2020-7-10 17:06
非常感谢你提点了这么个方法。  详情 回复 发表于 2020-7-10 15:20

评分

参与人数 1无忧币 +5 收起 理由
立帮电子 + 5 赞一个!

查看全部评分

回复

使用道具 举报

6#
 楼主| 发表于 2020-7-10 15:20:52 | 只看该作者
Bluebells 发表于 2020-7-10 15:06
怎么精简我不知道,但我知道怎么查找某驱动文件对应的 cat 文件(尽可能地筛选出符合条件的 cat 文件)
使 ...

非常感谢你提点了这么个方法。
回复

使用道具 举报

7#
发表于 2020-7-10 15:59:52 | 只看该作者
微软的strings.exe可以直接搜索。。。
针对dll和sys也可以用专门签名确认工具查询cat,

点评

S大,那是不是我用精简过剩下的drivers里的驱动文件161个和DriverStore里的驱动文件4个,就能直接找到CatRoot里的.cat文件?不知道什么工具可以查询找到.cat?  详情 回复 发表于 2020-7-10 16:07
回复

使用道具 举报

8#
 楼主| 发表于 2020-7-10 16:07:34 | 只看该作者
slore 发表于 2020-7-10 15:59
微软的strings.exe可以直接搜索。。。
针对dll和sys也可以用专门签名确认工具查询cat,

S大,那是不是我用精简过剩下的drivers里的驱动文件161个和DriverStore里的驱动文件4个,就能直接找到CatRoot里的.cat文件?不知道什么工具可以查询找到.cat?

点评

sigcheck64即可。 http://wuyou.net/forum.php?mod=redirect&goto=findpost&ptid=416754&pid=3880316&fromuid=298214 可以批量找出drv对应的外置cat  详情 回复 发表于 2020-7-10 16:46
回复

使用道具 举报

9#
发表于 2020-7-10 17:06:51 | 只看该作者
Bluebells 发表于 2020-7-10 15:06
怎么精简我不知道,但我知道怎么查找某驱动文件对应的 cat 文件(尽可能地筛选出符合条件的 cat 文件)
使 ...

经测试这种方法比较靠谱,并且便于程序自动处理。

点评

我测试了一下liuzhaoyzz超级版主提供的方法更便捷效率高出百倍。理由是超级版主提供的方法是批量操作而别的方法都是一个一个来操作,效率相差太大!liuzhaoyzz超级版主的方法可以在正常系统里一次性拖拉system32或者  详情 回复 发表于 2020-7-10 18:27
回复

使用道具 举报

10#
 楼主| 发表于 2020-7-10 18:27:38 | 只看该作者
立帮电子 发表于 2020-7-10 17:06
经测试这种方法比较靠谱,并且便于程序自动处理。

我测试了一下liuzhaoyzz超级版主提供的方法更便捷效率高出百倍。理由是超级版主提供的方法是批量操作而别的方法都是一个一个来操作,效率相差太大!liuzhaoyzz超级版主的方法可以在正常系统里一次性拖拉system32或者drivers里的dll或者sys文件到find那个批处理上,一次性批量找出对应的CatRoot文件夹里的cat签名文件,我在正常系统里试用了一下非常好。批处理会把找到的cat所有签名文件一次性写入list.txt里,同时批量把这些cat签名文件复制到备用文件夹里。我在系统实验成功,一次性批量化操作效率最高!

点评

手动处理肯定费时间。  发表于 2020-7-10 18:50
liuzhaoyzz超级版主 的方法我没测试,记得好像不支持离线操作 4楼 Bluebells 的方法 利用 驱动文件或dll文件名的十六进制码,再查找 Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}文件夹的CA  详情 回复 发表于 2020-7-10 18:48
回复

使用道具 举报

11#
 楼主| 发表于 2020-7-10 18:28:50 | 只看该作者
liuzhaoyzz 发表于 2020-7-10 16:46
sigcheck64即可。
http://wuyou.net/forum.php?mod=redirect&goto=findpost&ptid=416754&pid=3880316&fr ...

目前测试大家提供的方法,超级版主你的方法是唯一能够批量化操作的,效率最快最好!我测试了一下liuzhaoyzz超级版主提供的方法更便捷效率高出百倍。理由是超级版主提供的方法是批量操作而别的方法都是一个一个来操作,效率相差太大!liuzhaoyzz超级版主的方法可以在正常系统里一次性拖拉system32或者drivers里的dll或者sys文件到find那个批处理上,一次性批量找出对应的CatRoot文件夹里的cat签名文件,我在正常系统里试用了一下非常好。批处理会把找到的cat所有签名文件一次性写入list.txt里,同时批量把这些cat签名文件复制到备用文件夹里。我在系统实验成功,一次性批量化操作效率最高!
回复

使用道具 举报

12#
 楼主| 发表于 2020-7-10 18:42:01 | 只看该作者
liuzhaoyzz 发表于 2020-7-10 16:46
sigcheck64即可。
http://wuyou.net/forum.php?mod=redirect&goto=findpost&ptid=416754&pid=3880316&fr ...

请教超级版主这个方法能否在正常系统里离线找出另一个pe系统里dll或者sys所相对应的CatRoot里的签名文件?还是只能找出当前系统或者当前pe的签名文件?

点评

温馨提示:离现查找cat文件没什么用,仔细看下我那个帖子。 驱动文件对应的cat文件,打个比方来说,\Windows\System32\drivers\tcpipreg.sys在正常的WIN7 WIN10系统里面不同,甚至在WIN10不同版本比如14393,1776  详情 回复 发表于 2020-7-11 07:44
似乎只能查找当前系统的,不支持离线。  详情 回复 发表于 2020-7-10 22:44
回复

使用道具 举报

13#
发表于 2020-7-10 18:48:30 | 只看该作者
sairen139 发表于 2020-7-10 18:27
我测试了一下liuzhaoyzz超级版主提供的方法更便捷效率高出百倍。理由是超级版主提供的方法是批量操作而别 ...

liuzhaoyzz超级版主 的方法我没测试,记得好像不支持离线操作
4楼 Bluebells 的方法
利用 驱动文件或dll文件名的十六进制码,再查找 Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}文件夹的CAT文件是否包含该十六进制码。
这方法理论上比较可靠,程序自动处理应该非常快。
你说的效率高出百倍,4楼 Bluebells 的方法 如果自动处理效率也不会低。我只是简单测试了一下。明天我抽空写个工具自动处理

点评

好的,感谢立帮的留言反馈,期待大神的工具!如果大神的自动处理工具搞出来了烦请搞我一声我前去试用。  详情 回复 发表于 2020-7-10 18:51
回复

使用道具 举报

14#
 楼主| 发表于 2020-7-10 18:51:43 | 只看该作者
立帮电子 发表于 2020-7-10 18:48
liuzhaoyzz超级版主 的方法我没测试,记得好像不支持离线操作
4楼 Bluebells 的方法
利用 驱动文件或d ...

好的,感谢立帮的留言反馈,期待大神的工具!如果大神的自动处理工具搞出来了烦请搞我一声我前去试用。

点评

CatRoot 签名文件筛选 小工具 http://bbs.wuyou.net/forum.php?mod=viewthread&tid=421317&fromuid=570450 (出处: 无忧启动论坛)  详情 回复 发表于 2020-7-11 20:57
回复

使用道具 举报

15#
发表于 2020-7-10 22:44:27 | 只看该作者
sairen139 发表于 2020-7-10 18:42
请教超级版主这个方法能否在正常系统里离线找出另一个pe系统里dll或者sys所相对应的CatRoot里的签名文件 ...

似乎只能查找当前系统的,不支持离线。
回复

使用道具 举报

16#
 楼主| 发表于 2020-7-11 00:21:42 | 只看该作者
liuzhaoyzz 发表于 2020-7-10 16:46
sigcheck64即可。
http://wuyou.net/forum.php?mod=redirect&goto=findpost&ptid=416754&pid=3880316&fr ...


数字签名外置该如何查找.cat及如何反查:

https://m.yht7.com/news/98759



什么是件“数字签名”
首先呢,要了解下什么是PE文件!PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)。
如何知道一个PE文件是否被签名?
对于许多人来说,简单的答案就是打开该PE文件的属性,如果存在“数字签名”选项卡,那么就意味着该文件是被签名的。当你看到“数字签名”标签存在于一个文件属性中时,它实际上是表示该PE文件是被验证签名过的,这也意味着该文件本身会存在一个由证书和签名组成的哈希文件的二进制数据,该验证签名的存储格式被记录在PE验证签名规范文档中。
然而,有一些文件是要求被签名的,另外有的文件(记事本程序)是没有“数字签名”标签的,这是否意味着文件没有签名,但微软实际上是在发布未签名的代码呢?这得看具体情况,虽然记事本程序没有验证签名被植入到本身,但是实际上,它是通过另一种方法进行被签名的---目录签名。
Windows包含一个由许多目录文件组成的目录储蓄,这些目录文件主要是验证签名哈希值的列表。每个目录文件然后去签署证实匹配来源于这些目录文件的签名任何文件的哈希值(这是微软在几乎所有的情况下),所以,浏览器UI并不试图去查找目录签名,但是几乎所有的验证签名工具都会执行目录签名查找,例如PowerShell和Sysinternals Sigcheck。
(说明:这个目录存储文件位于 %windir%System32CatRoot{F750E6C3-38EE-11D1-85E5-00C04FC295EE})
在上面的截图中,我们可以从签名属性中看出notepad.exe程序是目录签名,还有值得注意的是IsOSBinary属性,因为执行是不被记录的,所以他将会显示“true”以表明一个签名已经连接到微软的根证书。有兴趣了解是如何实现的应该逆向CertVerifyCertificateChainPolicy函数。
使用 Sigcheck “-i”这个命令可以执行目录证书验证和显示包含验证哈希值的目录文件路径,“-h”这个命令是计算和显示PE文件的验证哈希的SHA1和SHA256.
我们知道验证哈希是允许你查找目录文件,你也可以双击一个目录文件已查看其条目,我还写了catalogtools PowerShell模块解析目录文件。“hint”的元数据字段给出了notepad.exe相应的条目。
数字签名的二进制格式
现在你已经知道了一个PE文件被签名的方法(验证和目录),知道一些签名的二进制格式是非常有用的,无论是验证签名还是目录签名,这两个签名都是存储为PKCS #7签名数据,这种数据是ASN.1格式的二进制数据。ASN.1是一个标准,它说明了不同数据类型的二进制数据应该如何存储。在观察、解析数字签名的字节之前,你必须首先知道它是如何存储在文件中的。目录文件本身是由PKCS #7数据组成,在线有一个ASN.1解码器,可以解析出ASN.1数据并以直观的方式呈现。例如,尝试加载包含notepad.exe散列到解码器的目录文件,你会得到一个意义上的数据布局。
ASN.1的每一个属性的解码都开始于一个对象标识符(OID),该OID是一个唯一的数字序列。如下图所示:
花时间探索数字签名中包含的所有字段是值得的。然而,目前所有的字段不在这个博客文章的范围之内。额外的加密、签名相关的OID是列在这里。
嵌入到PE中的验证签名检索
验证签名的签名数据是被植入到PE文件的末尾,操作系统也需要更多的信息以便于可以得到精确的便宜,我们可以见一下kernel32.dll在我最喜欢的PE编辑工具的情况吧。(CFF Explorer)
被嵌入的验证签名的便宜和大小都存储在可选标头中的“数据目录”数组内的“安全目录”偏移中,该数据目录包含在PE文件中各种接受的偏移和大小,比如导入表、导出表和重定位等等,数据目录中的所有偏移都是相对虚拟地址偏移(RVA),意思是当加载到内存时,他们是PE中各个部分的偏移量,但是有一个反面的例子,安全目录将其偏移量作为文件偏移量存储。这样做的原因是Windows加载程序实际上不在加载安全目录中的内容到内存。
在安全目录中文件偏移二进制数据是一个win_certificate结构。
PE验证签名结构中总有一个字段wRevision,存在于WIN_CERT_TYPE_PKCS_SIGNED_DATA中,这个字节矩阵和PKCS #7是一样的,ASN.1编码的数据正是你在目录文件中看到的,仅仅不同的是你不会找到1.3.6.1.4.1.311.12.1.1 OID,而是显示存在目录哈希。
数字签名应用到无签名的PE中
现在你已经对数字签名的二进制格式和存储位置有了基本的概念,你可以开始将现有签名应用到未签名的代码中。
应用被植入的验证签名
将一个被植入的验证签名从一个签名文件应用到无签名的文件中是非常简单的,因为这个过程很明显是可以自动化的,接下来我将介绍如何使用hex editor 和CFF Explorer工具来进行操作。
步骤1:获取我们需要的一个验证签名,比如我用kernel32.dll的签名。
步骤2:获取该签证签名在安全目录中WIN_CERTIFICATE结构的偏移量和大小。
【由上图可知,该RVA是0x000A9600,大小是x00003A68】
步骤3:在二进制编辑器中打开kernel32.dll,选择从0x000A9600地址开始x00003A68个字节大小的内容,复制他们。
步骤4:在二进制编辑器中打开这个无签名的文件(如HelloWord.exe文件),调至最后位置,粘贴来自于上一步骤中的内容,注意现在的该内容的偏移量就是这个签名的偏移量(现在是0x00000E00),然后保存文件。
步骤5:用CFFExplorer文件打开HelloWorld.exe文件,然后更新安全目录中的偏移和大小(目前是RVA = 0x00000E00 大小不变)修改完成之后保存文件,忽略不合法的警告,这不会对其有影响的。
现在成功了,签名验证程序将可以解析和显示出该文件的验证签名证书,唯一要注意的是,他将会显示这个签名是不合法的,因为这个被计算出来的验证签名码和被保存在证书里的不匹配。
现在,如果你想知道为什么这个验证签名值是不匹配的,有人在想我们是使用的同一个验证签名,为何会出现不一样呢?
那是因为GetAuthenticodeSignature函数首先会尝试去kernel32.dll中查找目录文件。在这个案件中,他在kernel32.dll中找到了一个目录入口,并且显示了这个目录文件中的签名信息,为了让这个验证签名特征值是完全一样的变得合法,需要临时关闭CryptSvc service,这个服务的职责就是去执行哈希目录查询。现在你看到的则是匹配的,这个说明了目前这个被签名的哈希目录与之前kernel32.dll签名的是不同的。
在PE中应用目录签名
实际上,CryptSvc是一直运行的并且执行目录查询操作。假如你要记住OPSEC和匹配用于签署你的目标二进制文件的验证证书,事实证明,你可以通过交换WIN_CERTIFICATE结构体中的bCertificate内容和更新相应的dwlength的方式去申请一个目录文件到被植入签名的二进制中,同时你要注意,我们的目标是(在这个案件中)申请一个签名验证码到我们没有签名的二进制文件中,这种方式与我们签包含目录文件是一样的,在这个案件中,证书特征值为:
AFDD80C4EBF2F61D3943F18BB566D6AA6F6E5033.
步骤1:获取包含目标二进制验证码哈希的目录文件,在这个案件中是kernel32.dll,如果一个文件是被验证码签署过的,sigcheck实际上不能操获取这个目录文件,但是这个Signtool工具是可以的。
步骤2:使用二进制文件编辑器打开目录文件并且注释其大小:0x000137C7
步骤3:我们将在编辑器中手动地制作WIN_CERTIFICATE结构体,使用我们申请到的字段。
dwLength:这个是结构体的长度,fields = 4(size of DWORD) + 2 (size of WORD) + 2 (size of WORD) + 0x000137C7(bCertificate - the file size of the .cat file) = 0x000137CF.
wRevision:0x0200
wCertificateType:0x0002
bCertificate:目录文件的原始字节。
当在十六进制编辑器制作时,谨记字段存储在小端格式。
步骤4:复制你手工制作的WIN_CERTIFICATE结构体的字节内容,追加到未签名的PE文件中并且更新相应的安全目录中的偏移量和大小。
现在,如果你的计算和操作步骤都正确的话,你应该可以看到一个目录文件的特征配了。
培养“异常”检测的思维
通过以上的解析,希望大家能思考关于二进制数字签名的滥用问题,大家可从以下几点去调查和编写潜在的异常签名的检测:
  • PE时间戳与证书有效期之间是否存在相关性?
  • 攻击者提供代码的PE时间戳是否与前面提到的相关性不符?
  • 你对具有哈希不匹配的“签名”文件的信任程度是什么?
  • 你将会如何去检测一个被植入签名的PE文件?
  • 如果在数字签名之外有附加数据怎么办?
  • 什么样的影响可能停止/禁用安全产品进行局部签名验证cryptsvc服务吗?


点评

驱动签名,我那个帖子也提供了朱玛分享的签名工具。  详情 回复 发表于 2020-7-11 07:45
回复

使用道具 举报

17#
发表于 2020-7-11 07:44:00 | 只看该作者
sairen139 发表于 2020-7-10 18:42
请教超级版主这个方法能否在正常系统里离线找出另一个pe系统里dll或者sys所相对应的CatRoot里的签名文件 ...

温馨提示:离线查找cat文件没什么用,仔细看下我那个帖子。

驱动文件对应的cat文件,打个比方来说,\Windows\System32\drivers\tcpipreg.sys在正常的WIN7 WIN10系统里面不同,甚至在WIN10不同版本比如14393,17763版本都不同,而且同样是17763,win10和win10PE下的cat文件都不同,离线有何意义?

正确的姿势是:用wimbuilder2勾选不精简cat文件,得到一个相对完整的PE,然后在这个PE中sigcheck64运行下,然后把多个drv文件拖放到批处理,批量获取其对应的cat文件。

点评

这么说目前只有4楼 Bluebells 的方法可以达成离线找对应.cat签名? 利用 驱动文件或dll文件名的十六进制码,再查找 Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}文件夹的CAT文件是否包含该十  详情 回复 发表于 2020-7-11 08:41
回复

使用道具 举报

18#
发表于 2020-7-11 07:45:41 | 只看该作者
sairen139 发表于 2020-7-11 00:21
数字签名外置该如何查找.cat及如何反查:

https://m.yht7.com/news/98759

驱动签名,我那个帖子也提供了朱玛分享的签名工具。
回复

使用道具 举报

19#
 楼主| 发表于 2020-7-11 08:41:59 | 只看该作者
liuzhaoyzz 发表于 2020-7-11 07:44
温馨提示:离线查找cat文件没什么用,仔细看下我那个帖子。

驱动文件对应的cat文件,打个比方来说,\W ...

这么说目前只有4楼 Bluebells 的方法可以达成离线找对应.cat签名?
利用 驱动文件或dll文件名的十六进制码,再查找 Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}文件夹的CAT文件是否包含该十六进制码。

点评

基本上不可能离线,你认真看下回复。 比如说17763PE里面的tcpipreg.sys,你准备怎么离线查找?去哪个系统里面离线里面去找?去14393PE里面查找?还是去17763windows里面去查找?对应的cat在14393PE或者17763windo  详情 回复 发表于 2020-7-11 08:53
回复

使用道具 举报

20#
发表于 2020-7-11 08:53:27 | 只看该作者
sairen139 发表于 2020-7-11 08:41
这么说目前只有4楼 Bluebells 的方法可以达成离线找对应.cat签名?
利用 驱动文件或dll文件名的十六进制 ...

基本上不可能离线,你认真看下回复。

比如说17763PE里面的tcpipreg.sys,你准备怎么离线查找?去哪个系统里面离线里面去找?去14393PE里面查找?还是去17763windows里面去查找?对应的cat在14393PE或者17763windows里面根本就没有啊,怎么找?!只有在完整的17763PE里面去查找,完整的17763PE你总要构建出来才行,既然构建出来了,虚拟机启动PE,找cat,不就是启动个PE的事情而已?

点评

没有什么不可能的,检查目录签名才是正确选择,谁告诉你一定要启动PE才能验证目录签名的?就算在LINUX下都有办法能验证文件是否通过目录签名,超级版主呀,不要动不动就不可能,这也不可能那也不可能!~严重影响超级版主的  详情 回复 发表于 2020-12-2 12:46
我换一个问法问,如果知道2004版windows系统某些dll或者sys的十六位进制码,或者有这样一个码表txt,按照4楼的方法是不是可以在另外的win81系统里用4楼所提供的工具来查找临时位置的catroot里的2004版windows的签名  详情 回复 发表于 2020-7-11 09:22
我看4楼的图catroot文件夹是临时位置,所以认为4楼可能是离线查找。1. 从完整系统安装映像中提取 CatRoot 目标到一个临时位置 2. 使用 File String Finder 搜索 monitor.sys 的十六进制码(Unicode,注意区分大小写)  详情 回复 发表于 2020-7-11 09:02
回复

使用道具 举报

21#
 楼主| 发表于 2020-7-11 09:02:20 | 只看该作者
liuzhaoyzz 发表于 2020-7-11 08:53
基本上不可能离线,你认真看下回复。

比如说17763PE里面的tcpipreg.sys,你准备怎么离线查找?去哪个 ...

我看4楼的图catroot文件夹是临时位置,所以认为4楼可能是离线查找。1. 从完整系统安装映像中提取 CatRoot 目标到一个临时位置
2. 使用 File String Finder 搜索 monitor.sys 的十六进制码(Unicode,注意区分大小写)
3. 搜索结果就是 monitor.sys 驱动文件对应的 cat 文件

B71CDA54-D1E5-4533-9ABB-D191D6564A1E.png (213.35 KB, 下载次数: 72)

B71CDA54-D1E5-4533-9ABB-D191D6564A1E.png

点评

此方法有BUG,同名不同版本,哈希值不一样的  发表于 2020-11-30 10:41
回复

使用道具 举报

22#
 楼主| 发表于 2020-7-11 09:22:08 | 只看该作者
liuzhaoyzz 发表于 2020-7-11 08:53
基本上不可能离线,你认真看下回复。

比如说17763PE里面的tcpipreg.sys,你准备怎么离线查找?去哪个 ...

我换一个问法问,如果知道2004版windows系统某些dll或者sys的十六位进制码,或者有这样一个码表txt,按照4楼的方法是不是可以在另外的win81系统里用4楼所提供的工具来查找临时位置的catroot里的2004版windows的签名文件?
回复

使用道具 举报

23#
发表于 2020-7-11 20:57:15 | 只看该作者
sairen139 发表于 2020-7-10 18:51
好的,感谢立帮的留言反馈,期待大神的工具!如果大神的自动处理工具搞出来了烦请搞我一声我前去试用。

CatRoot 签名文件筛选 小工具
http://bbs.wuyou.net/forum.php?m ... &fromuid=570450
(出处: 无忧启动论坛)

点评

非常感谢立帮大神,明天我试试给你反馈  详情 回复 发表于 2020-7-11 21:49
回复

使用道具 举报

24#
 楼主| 发表于 2020-7-11 21:49:28 | 只看该作者
立帮电子 发表于 2020-7-11 20:57
CatRoot 签名文件筛选 小工具
http://bbs.wuyou.net/forum.php?mod=viewthread&tid=421317&fromuid=5704 ...

非常感谢立帮大神,明天我试试给你反馈
回复

使用道具 举报

25#
发表于 2020-7-15 19:03:34 | 只看该作者
我就等成品了,然后搞p2p启动恢复完整文件启动大型pe

点评

江南老淫棍居然也在  详情 回复 发表于 2020-11-30 10:41
回复

使用道具 举报

26#
发表于 2020-11-30 10:41:39 | 只看该作者
江南一根葱 发表于 2020-7-15 19:03
我就等成品了,然后搞p2p启动恢复完整文件启动大型pe

江南老淫棍居然也在
回复

使用道具 举报

27#
发表于 2020-12-2 12:46:01 | 只看该作者
liuzhaoyzz 发表于 2020-7-11 08:53
基本上不可能离线,你认真看下回复。

比如说17763PE里面的tcpipreg.sys,你准备怎么离线查找?去哪个 ...

没有什么不可能的,检查目录签名才是正确选择,谁告诉你一定要启动PE才能验证目录签名的?就算在LINUX下都有办法能验证文件是否通过目录签名,超级版主呀,不要动不动就不可能,这也不可能那也不可能!~严重影响超级版主的形象呀

点评

行吧,你对!!!  详情 回复 发表于 2020-12-2 13:25
回复

使用道具 举报

28#
发表于 2020-12-2 13:25:42 | 只看该作者
本帖最后由 liuzhaoyzz 于 2020-12-2 13:38 编辑
坏坏小生 发表于 2020-12-2 12:46
没有什么不可能的,检查目录签名才是正确选择,谁告诉你一定要启动PE才能验证目录签名的?就算在LINUX下都有 ...

行吧,你对!!!立帮电子已经实现了。之前我只是觉得没什么必要。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2024-11-27 03:06

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表