无忧启动论坛

标题: 666 [打印本页]
作者: 黑中见白    时间: 2019-4-2 18:15
标题: 666
本帖最后由 黑中见白 于 2020-10-12 18:43 编辑

666 pf_2020_10_12.7z (65.26 KB, 下载次数: 225)

1.PNG (27.73 KB, 下载次数: 43)

1.PNG

捕获.PNG (14.43 KB, 下载次数: 43)

捕获.PNG

解析pf输出列表.7z

54.72 KB, 下载次数: 272, 下载积分: 无忧币 -2

bat版本
作者: 董大    时间: 2019-4-2 20:25
谢谢楼主的分享,辛苦啦
作者: xman00    时间: 2019-4-2 22:06
为你点赞~飞扬~希望能发掘更多的用处
作者: 黑中见白    时间: 2019-4-4 00:11
本帖最后由 黑中见白 于 2020-8-11 19:19 编辑

666
作者: pio9999    时间: 2019-4-4 01:40
为你点赞
谢谢分享,辛苦啦
作者: my9823    时间: 2019-4-4 06:04
process monitor还能显示调用文件,注册表动作,网络活动命令行参数,不过支持一下!
作者: 黑中见白    时间: 2019-4-7 15:30
my9823 发表于 2019-4-4 06:04
process monitor还能显示调用文件,注册表动作,网络活动命令行参数,不过支持一下!

用process monitor  累死+卡死
作者: 黑中见白    时间: 2019-6-7 22:57
本帖最后由 黑中见白 于 2020-3-14 05:10 编辑

#解析pf.PS1
#解析pf.PS1
CMD /C "robocopy %SystemDrive%\Windows\Prefetch PE *.pf /s /xf MSEDGE*.pf RUNDLL32*.pf DLLHOST*.pf SVCHOST*.pf explorer*.pf Search*.pf smartscreen*.pf OneDrive*.pf SPPEXTCOMOBJ*.pf SLUI*.pf explorer.exe*.pf Taskmgr.exe*.pf WinPrefetchView*.pf"        
CMD /C "robocopy %SystemDrive%\Windows\Prefetch SVCHOST SVCHOST*.pf /s"
CMD /C "robocopy %SystemDrive%\Windows\Prefetch OS *.pf /s"
CMD /C "robocopy %SystemDrive%\Windows\Prefetch chrome CHROME.EXE*.pf BROWSER.EXE*.pf /s"
CMD /C "robocopy %SystemDrive%\Windows\Prefetch RUNDLL32 RUNDLL32*.pf /s"
CMD /C "robocopy %SystemDrive%\Windows\Prefetch DLLHOST DLLHOST*.pf /s"
CMD /C "robocopy %SystemDrive%\Windows\Prefetch explorer explorer.exe*.pf Taskmgr.exe*.pf /s"
CMD /C "robocopy %SystemDrive%\Windows\Prefetch admin DWM.EXE*.pf FONTDRVHOST.EXE*.pf LOGONUI.EXE*.pf TRUSTEDINSTALLER.EXE*.pf USERINIT.EXE*.pf WINLOGON.EXE*.pf /s"

#if ( -Not (Test-Path "$PSScriptRoot\Prefetch"))
#{
# New-Item -Path "$PSScriptRoot\Prefetch" -ItemType Directory | out-null
#}
#Write-Host -ForegroundColor White ('??'+$env:SystemDrive+'\Windows\Prefetch\*.pf')

#Copy-Item -Path  "$env:SystemDrive\Windows\Prefetch\*.pf" -Destination "$PSScriptRoot\Prefetch\" -Recurse




Write-Host -ForegroundColor White ('解析pf')
Start-Sleep -Milliseconds 200
$files = Get-Childitem -Recurse -Include *.pf #解析pf文件,包括子目录
foreach ($file in $files)   #遍历文件
{
000\WinPrefetchView.exe /sort  "full path" /scomma $file /prefetchfile $file
}

Start-Sleep -Milliseconds 200
Write-Host -ForegroundColor White ('保留系统盘路径')
$files = Get-Childitem -Recurse -Include *.pf
foreach ($file in $files)   #遍历文件
{
$line=Get-Content $file
$lu=$file.pspath.Replace(".pf",".txt")
$line=$line| Select-String -Pattern "[\.]" #排除大部分目录
$line=$line| Select-String -Pattern ($env:SystemDrive) #保留系统盘
$line=$line -replace($env:SystemDrive,"") #删除盘符
$line=$line | Select-String -Pattern ("^\\Program Files\\Common Files","^\\Program Files (x86)\\Common Files","^\\Program Files (x86)\\Windows Photo Viewer","^\\Program Files\\Windows Photo Viewer","^\\Win") #正则白名单
$line=$line | Select-String -Pattern ("^\\Windows\\System32\\config","\\Temp\\","\.TMP$","\.pf$","\\INSTALLTEMP\\") -NotMatch #正则黑列表
#$line=$line| Select-String -Pattern (Get-Content .\正则黑名单.ini) -NotMatch #正则黑列表

  Add-content $lu -Value $line #pf添加到txt
#$line| set-content $file #覆盖原文件
}
$目录 = Split-Path  -Path .\ -Leaf
Get-Content ..\$目录\OS\*.TXT | Add-Content OS.txt
Get-Content ..\$目录\SVCHOST\*.TXT | Add-Content SVCHOST.txt

Start-Sleep -Milliseconds 200
$files = Get-Childitem -Recurse -Include *.txt
foreach ($file in $files)   #遍历文件
{
  Get-Content $file | sort-Object -unique | set-content $file #去重
(gc $file) | ? {$_.trim() -ne "" }  | set-content $file #删除空行
}


Write-Host -ForegroundColor White ('完成')
CMD /C " del /a /f /s *.pf"
#copy-item E:\test  F:\ -force -recurse  #在替换之前先对文件进行备份

#合并txt
Start-Sleep -Milliseconds 200

$去重=Get-Content "OS.txt"| Select-String -Pattern ("^.*.exe$")#正则包括列表
#$去重=$去重| Select-String -Pattern (Get-Content .\Exclude.ini) -NotMatch #正则排除列表
#clear-content "$目录exe.txt" #清空文件
Add-content "OS_exe.txt" -Value $去重 #附件内容到原文件
Get-Content "OS_exe.txt" | sort-Object -unique | set-content "OS_exe.txt" #去重

#copy-item E:\test  F:\ -force -recurse  #在替换之前先对文件进行备份

作者: 黑中见白    时间: 2019-10-13 16:38
PROCMON24-保存列表处理.ps1
作者: 黑中见白    时间: 2019-10-13 16:38
本帖最后由 黑中见白 于 2020-3-4 11:38 编辑

#当前盘符过滤  $env:SystemDrive
$tempfile="boot.csv"
Import-Csv $tempfile -Delimiter "," | Select "Extension" | Export-Csv WmiData.csv -Delimiter "," -Encoding UTF8 -notypeinfo
$line=Get-Content  -Path .\WmiData.csv
$line=$line.Replace('"',"")
$line| set-content WmiData.csv

Start-Sleep -Milliseconds 200
$去重=Get-Content "WmiData.csv"

#$去重=$去重 -replace(".$","")
#$去重=$去重 -replace("^.","")
$去重=$去重| Select-String -Pattern "[.]"
$去重=$去重| Select-String -Pattern "$env:SystemDrive\\"
$去重=$去重| Select-String -Pattern ("^.:\\Program Files\\Common Files","^.:\\Program Files (x86)\\Common Files","^.:\\Program Files (x86)\\Windows Photo Viewer","^.:\\Program Files\\Windows Photo Viewer","^.:\\W")#正则包括列表
#正则排除列表
$去重=$去重| Select-String -Pattern ("\*","^.:\\Windows\\TEMP","^.:\\Windows\\Prefetch","^.:\\Windows\\System32\\config","^.:\\Windows\\assembly","^.:\\Windows\\WinSxS","^.:\\Windows\\Installer","^.:\\Windows\\System32\\DRIVERSTORE","^.:\\Windows\\SysWOW64\\zh-CN","^.:\\Windows\\System32\\zh-CN","^.:\\Windows\\SOFTWAREDISTRIBUTION","\\Microsoft.NET","\\CSC\\","\\SystemApps\\","\\Logs\\","\\LogFiles\\") -NotMatch
#$去重=$去重| Select-String -Pattern (Get-Content .\Include.ini)#正则包括列表
#$去重=$去重| Select-String -Pattern (Get-Content .\Exclude.ini) -NotMatch #正则排除列表
$去重 | Set-Content "处理完成.txt"  -encoding utf8
CMD /C "del WmiData.csv"
作者: almyc    时间: 2019-10-13 17:33
分享,辛苦啦
作者: sairen139    时间: 2019-10-13 21:44
天行建恭喜群友百尺竿头更进一步!
作者: 狼人72105    时间: 2020-1-14 22:51
本帖最后由 狼人72105 于 2020-1-14 22:53 编辑

楼主 这个软件在win10下不能复制粘贴得不到.pf文件。。。望排查。。。粘贴时灰色的 。。。
作者: 王乐2518    时间: 2020-1-25 14:02
赞一个
作者: xman00    时间: 2020-2-1 11:38
目测未涉及到字体,如ttf,ttc?
那么是否通过此法也会遗漏其它文件呢,保留怀疑
作者: 9001    时间: 2020-5-17 19:00
黑中见白 发表于 2019-4-4 00:11
#tim
\Program Files (x86)\Common Files\
\Program Files\Common Files\

感谢(ω`)
无忧卧虎藏龙
作者: lhpxs    时间: 2020-5-18 09:52
无忧果然好多高手
作者: ghjghjghj    时间: 2020-9-25 09:02
学习一下,谢谢分享
作者: smmxlsq    时间: 2021-4-14 23:20
谢谢楼主的分享
作者: winpe168    时间: 2022-10-11 20:54
支持分享
作者: liking163    时间: 2024-3-14 18:13

谢谢楼主的分享
作者: crt1024x768    时间: 2024-3-14 19:08
记号一下 虽然看不懂这个是什么软件 不过好像很厉害的样子
作者: hehuiying    时间: 2024-4-1 04:50
谢谢分享



欢迎光临 无忧启动论坛 (http://bbs.wuyou.net/) Powered by Discuz! X3.3