666

黑中见白

666 pf_2020_10_12.7z (65.26 KB, 下载次数: 225)

2020-10-12 18:43 上传

点击文件名下载附件
ps版本
下载积分: 无忧币 -2

董大

谢谢楼主的分享，辛苦啦

xman00

为你点赞~飞扬~希望能发掘更多的用处

黑中见白

666

pio9999

为你点赞
谢谢分享，辛苦啦

my9823

process monitor还能显示调用文件，注册表动作，网络活动命令行参数，不过支持一下！

黑中见白

my9823 发表于 2019-4-4 06:04
process monitor还能显示调用文件，注册表动作，网络活动命令行参数，不过支持一下！

用process monitor  累死+卡死

黑中见白

#解析pf.PS1
#解析pf.PS1
CMD /C "robocopy %SystemDrive%\Windows\Prefetch PE *.pf /s /xf MSEDGE*.pf RUNDLL32*.pf DLLHOST*.pf SVCHOST*.pf explorer*.pf Search*.pf smartscreen*.pf OneDrive*.pf SPPEXTCOMOBJ*.pf SLUI*.pf explorer.exe*.pf Taskmgr.exe*.pf WinPrefetchView*.pf"        
CMD /C "robocopy %SystemDrive%\Windows\Prefetch SVCHOST SVCHOST*.pf /s"
CMD /C "robocopy %SystemDrive%\Windows\Prefetch OS *.pf /s"
CMD /C "robocopy %SystemDrive%\Windows\Prefetch chrome CHROME.EXE*.pf BROWSER.EXE*.pf /s"
CMD /C "robocopy %SystemDrive%\Windows\Prefetch RUNDLL32 RUNDLL32*.pf /s"
CMD /C "robocopy %SystemDrive%\Windows\Prefetch DLLHOST DLLHOST*.pf /s"
CMD /C "robocopy %SystemDrive%\Windows\Prefetch explorer explorer.exe*.pf Taskmgr.exe*.pf /s"
CMD /C "robocopy %SystemDrive%\Windows\Prefetch admin DWM.EXE*.pf FONTDRVHOST.EXE*.pf LOGONUI.EXE*.pf TRUSTEDINSTALLER.EXE*.pf USERINIT.EXE*.pf WINLOGON.EXE*.pf /s"

#if ( -Not (Test-Path "$PSScriptRoot\Prefetch"))
#{
# New-Item -Path "$PSScriptRoot\Prefetch" -ItemType Directory | out-null
#}
#Write-Host -ForegroundColor White ('??'+$env:SystemDrive+'\Windows\Prefetch\*.pf')

#Copy-Item -Path  "$env:SystemDrive\Windows\Prefetch\*.pf" -Destination "$PSScriptRoot\Prefetch\" -Recurse




Write-Host -ForegroundColor White ('解析pf')
Start-Sleep -Milliseconds 200
$files = Get-Childitem -Recurse -Include *.pf #解析pf文件，包括子目录
foreach ($file in $files)   #遍历文件
{
000\WinPrefetchView.exe /sort  "full path" /scomma $file /prefetchfile $file
}

Start-Sleep -Milliseconds 200
Write-Host -ForegroundColor White ('保留系统盘路径')
$files = Get-Childitem -Recurse -Include *.pf
foreach ($file in $files)   #遍历文件
{
$line=Get-Content $file
$lu=$file.pspath.Replace(".pf",".txt")
$line=$line| Select-String -Pattern "[\.]" #排除大部分目录
$line=$line| Select-String -Pattern ($env:SystemDrive) #保留系统盘
$line=$line -replace($env:SystemDrive,"") #删除盘符
$line=$line | Select-String -Pattern ("^\\Program Files\\Common Files","^\\Program Files (x86)\\Common Files","^\\Program Files (x86)\\Windows Photo Viewer","^\\Program Files\\Windows Photo Viewer","^\\Win") #正则白名单
$line=$line | Select-String -Pattern ("^\\Windows\\System32\\config","\\Temp\\","\.TMP$","\.pf$","\\INSTALLTEMP\\") -NotMatch #正则黑列表
#$line=$line| Select-String -Pattern (Get-Content .\正则黑名单.ini) -NotMatch #正则黑列表

  Add-content $lu -Value $line #pf添加到txt
#$line| set-content $file #覆盖原文件
}
$目录 = Split-Path  -Path .\ -Leaf
Get-Content ..\$目录\OS\*.TXT | Add-Content OS.txt
Get-Content ..\$目录\SVCHOST\*.TXT | Add-Content SVCHOST.txt

Start-Sleep -Milliseconds 200
$files = Get-Childitem -Recurse -Include *.txt
foreach ($file in $files)   #遍历文件
{
  Get-Content $file | sort-Object -unique | set-content $file #去重
(gc $file) | ? {$_.trim() -ne "" }  | set-content $file #删除空行
}


Write-Host -ForegroundColor White ('完成')
CMD /C " del /a /f /s *.pf"
#copy-item E:\test  F:\ -force -recurse  #在替换之前先对文件进行备份

#合并txt
Start-Sleep -Milliseconds 200

$去重=Get-Content "OS.txt"| Select-String -Pattern ("^.*.exe$")#正则包括列表
#$去重=$去重| Select-String -Pattern (Get-Content .\Exclude.ini) -NotMatch #正则排除列表
#clear-content "$目录exe.txt" #清空文件
Add-content "OS_exe.txt" -Value $去重 #附件内容到原文件
Get-Content "OS_exe.txt" | sort-Object -unique | set-content "OS_exe.txt" #去重

#copy-item E:\test  F:\ -force -recurse  #在替换之前先对文件进行备份

黑中见白

PROCMON24-保存列表处理.ps1

黑中见白

#当前盘符过滤  $env:SystemDrive
$tempfile="boot.csv"
Import-Csv $tempfile -Delimiter "," | Select "Extension" | Export-Csv WmiData.csv -Delimiter "," -Encoding UTF8 -notypeinfo
$line=Get-Content  -Path .\WmiData.csv
$line=$line.Replace('"',"")
$line| set-content WmiData.csv

Start-Sleep -Milliseconds 200
$去重=Get-Content "WmiData.csv"

#$去重=$去重 -replace(".$","")
#$去重=$去重 -replace("^.","")
$去重=$去重| Select-String -Pattern "[.]"
$去重=$去重| Select-String -Pattern "$env:SystemDrive\\"
$去重=$去重| Select-String -Pattern ("^.:\\Program Files\\Common Files","^.:\\Program Files (x86)\\Common Files","^.:\\Program Files (x86)\\Windows Photo Viewer","^.:\\Program Files\\Windows Photo Viewer","^.:\\W")#正则包括列表
#正则排除列表
$去重=$去重| Select-String -Pattern ("\*","^.:\\Windows\\TEMP","^.:\\Windows\\Prefetch","^.:\\Windows\\System32\\config","^.:\\Windows\\assembly","^.:\\Windows\\WinSxS","^.:\\Windows\\Installer","^.:\\Windows\\System32\\DRIVERSTORE","^.:\\Windows\\SysWOW64\\zh-CN","^.:\\Windows\\System32\\zh-CN","^.:\\Windows\\SOFTWAREDISTRIBUTION","\\Microsoft.NET","\\CSC\\","\\SystemApps\\","\\Logs\\","\\LogFiles\\") -NotMatch
#$去重=$去重| Select-String -Pattern (Get-Content .\Include.ini)#正则包括列表
#$去重=$去重| Select-String -Pattern (Get-Content .\Exclude.ini) -NotMatch #正则排除列表
$去重 | Set-Content "处理完成.txt"  -encoding utf8
CMD /C "del WmiData.csv"

almyc

分享，辛苦啦

sairen139

天行建恭喜群友百尺竿头更进一步！

狼人72105

楼主 这个软件在win10下不能复制粘贴得不到.pf文件。。。望排查。。。粘贴时灰色的 。。。

王乐2518

赞一个

xman00

目测未涉及到字体，如ttf，ttc？
那么是否通过此法也会遗漏其它文件呢，保留怀疑

9001

黑中见白 发表于 2019-4-4 00:11
#tim
\Program Files (x86)\Common Files\
\Program Files\Common Files\

感谢(ω`)
无忧卧虎藏龙

lhpxs

无忧果然好多高手

ghjghjghj

学习一下，谢谢分享

smmxlsq

谢谢楼主的分享

winpe168

支持分享

liking163

谢谢楼主的分享

crt1024x768

记号一下 虽然看不懂这个是什么软件 不过好像很厉害的样子

hehuiying

谢谢分享