无忧启动论坛

 找回密码
 注册
搜索
系统gho:最纯净好用系统下载站广告联系 微信:wuyouceo QQ:184822951
查看: 45296|回复: 246

[原创] CatRoot 签名文件筛选 小工具【2020/7/12 更新】

    [复制链接]
发表于 2020-7-11 20:56:15 | 显示全部楼层 |阅读模式
本帖最后由 立帮电子 于 2020-7-13 07:58 编辑

详见 sairen139 发布的 骨头版pe攻坚战的最后一关,关于System32文件夹下CatRoot里的签名文件该如何精简?
参考4楼 Bluebells 的方案写了个小工具
如果出错,就每个文件夹选项单独执行
Windows\System32文件如果超过一定数量,可能出错
逐个筛选不会出错,耗费时间比较大,单drivers文件夹就要 将近3分钟
一次性筛选效率高,文件超过一定数量可能出错。
2020年7月12日 更新 =========================================================
1. 修改 筛选方案:
      初版 :为一次性筛选, 不论选中的文件夹内数量多少,一次性比对 每个cat文件
      例:选中 System32、drivers 文件夹。所选文件夹内包含1100个文件,假设 cat 文件有 100 个
      原方案是拿这 1100 个文件的数据,一次性比对 每个cat文件 ,比对 100次校验完成。
      优点:效率高,缺点:容易卡死出错,甚至无法获得数据 (已放弃该方案)
      改进:如上例,把1100个文件 按 500 个分割,每次比对 500 个文件,分3次比对,需要比对 300 次
      虽然表面上比对次数比原方案多 200 次,实际速度并不比原方案慢,(基本上不卡了,也不会出错)
2. 新增快速校验选项
    不勾选该选项,采用逐个文件比对。
    如上例,1100个文件, cat 文件有 100 个 。比对次数为 1100*100 。 需要比对 110000(十一万) 次
    勾选该选项,只需要比对 300 次。
3. 增加排除重复选项
    已匹配到签名文件。就不再和下个 cat 文件比对匹配,避免重复
    因为 1个cat 文件可能会包含多个文件的数字签名,同样1个文件的数字签名可能会指向不同的 cat 文件
    已经找到了对应的签名文件,后面就不再查找了,避免重复占用空间。
    排除重复选项,还有一个好处就是比对校验越来越快(越往后比对的文件越少)
    注意:对于更新补丁的系统不建议勾选此项。
4.  修复cat文件超过一定数量,输出文本框显示不全卡死
     主要是文本框默认限定不超过3万字,改进每100行清屏一次(其实都是没多大用途的信息)
5.  改进选择 Windows 文件夹自动选择 Windows\System32\CatRoot
     仍然可选择其它位置 CatRoot  文件夹
只适用同版本的文件筛选。
=========================================================
a.jpg

bf3.gif

2.jpg
附件下载:
游客,如果您要查看本帖隐藏内容请回复



评分

参与人数 8无忧币 +36 收起 理由
enuser2k + 1 <font style="vertical-align: inh
2011wyy + 5 很给力!
Worry + 5 很给力!
nf17b + 5
freesoft00 + 5
2010hook + 5
sairen139 + 5 лCatRootЧ
zhczf + 5 很给力!

查看全部评分

发表于 2020-7-11 21:02:13 | 显示全部楼层
沙发
回复

使用道具 举报

发表于 2020-7-11 21:20:49 | 显示全部楼层
这个很方便
回复

使用道具 举报

发表于 2020-7-11 21:29:23 | 显示全部楼层
方便使用。
回复

使用道具 举报

发表于 2020-7-11 21:38:28 | 显示全部楼层
试了下,感觉容易卡死不动了是怎么回事?
回复

使用道具 举报

发表于 2020-7-11 21:42:19 | 显示全部楼层
有点高大上啊,感谢分享!
回复

使用道具 举报

发表于 2020-7-11 21:42:26 | 显示全部楼层
非常感谢楼主的分享!支持...
回复

使用道具 举报

发表于 2020-7-11 21:45:01 | 显示全部楼层
感谢立帮!
回复

使用道具 举报

发表于 2020-7-11 22:04:45 | 显示全部楼层
这个很方便
回复

使用道具 举报

 楼主| 发表于 2020-7-11 22:10:55 | 显示全部楼层
liuzhaoyzz 发表于 2020-7-11 21:38
试了下,感觉容易卡死不动了是怎么回事?

确实有点,文件夹内数量多了有点卡。抽空改进一下
回复

使用道具 举报

发表于 2020-7-11 22:29:02 | 显示全部楼层
catbttt
回复

使用道具 举报

发表于 2020-7-12 02:42:35 | 显示全部楼层
看看呢
回复

使用道具 举报

发表于 2020-7-12 06:56:58 | 显示全部楼层
hehe
回复

使用道具 举报

发表于 2020-7-12 08:05:34 | 显示全部楼层
谢谢,看看!!
回复

使用道具 举报

发表于 2020-7-12 08:22:57 | 显示全部楼层
感谢分享!
回复

使用道具 举报

发表于 2020-7-12 09:55:20 | 显示全部楼层
谢谢立邦
回复

使用道具 举报

发表于 2020-7-12 10:06:35 | 显示全部楼层
折腾下精简,感谢分享
回复

使用道具 举报

发表于 2020-7-12 10:40:42 | 显示全部楼层
sha fa
回复

使用道具 举报

发表于 2020-7-12 10:44:14 | 显示全部楼层
一直卡在这里不动

一直卡在这里不动

一直卡在这里不动
回复

使用道具 举报

发表于 2020-7-12 10:50:05 | 显示全部楼层
支持一下
回复

使用道具 举报

发表于 2020-7-12 11:14:50 | 显示全部楼层
这个很实用,特别是在打完补丁之后
回复

使用道具 举报

发表于 2020-7-12 11:32:50 | 显示全部楼层
本帖最后由 sairen139 于 2020-7-12 13:18 编辑

今日测试结果,在我精简的70mb的pe里能顺利找出【系统PE文件】所一一对应的catroot文件夹里.cat签名文件,感谢立帮大神搞得的这个非常便利的工具!
另外反馈在正常系统里使用该Cert文件筛选工具有时候会卡顿!
6927F61D-D621-4F65-81DF-98331129179E.jpeg
AD142087-D5C2-41A4-A5EC-55FC1B10F017.jpeg
回复

使用道具 举报

发表于 2020-7-12 12:31:38 | 显示全部楼层
我也试试看,一般没去精简这些。
回复

使用道具 举报

发表于 2020-7-12 12:34:09 | 显示全部楼层
好久不见立帮了,支持一下
回复

使用道具 举报

发表于 2020-7-12 13:07:55 | 显示全部楼层
看看学习下!
回复

使用道具 举报

发表于 2020-7-12 13:22:22 | 显示全部楼层

没对应的能否显示出来?
回复

使用道具 举报

发表于 2020-7-12 13:23:01 | 显示全部楼层
支持一波
回复

使用道具 举报

发表于 2020-7-12 13:27:47 | 显示全部楼层
本帖最后由 2010hook 于 2020-7-12 13:29 编辑

我觉得指定了Windows文件夹,就应该自动找出子目录catroot,不必手工再选中。

孤立的cat或dll/sys应该列举出来,以便决定删除或补充文件。

日志最后一行是:“ 正在检测:Microsoft-Windo”,不完整。
回复

使用道具 举报

发表于 2020-7-12 13:28:23 | 显示全部楼层
2010hook 发表于 2020-7-12 13:22
没对应的能否显示出来?

立帮的会生成两个txt,一个似乎是查找的所有.cat的log文件。另一个txt就如我上图所示找出的对应关系的txt。没对应的不会显示,估计要自己找。

昨天我试用liuzhaoyzz超级版主的工具时,在运行的cmd窗口里可以看到没对应的文件。你可以试试liuzhaoyzz超级版主的工具看看是否符合你的需求,见我的求助帖

评分

参与人数 1无忧币 +2 收起 理由
2010hook + 2 谢谢解惑

查看全部评分

回复

使用道具 举报

 楼主| 发表于 2020-7-12 13:38:41 | 显示全部楼层
本帖最后由 立帮电子 于 2020-7-12 13:40 编辑
2010hook 发表于 2020-7-12 13:22
没对应的能否显示出来?

没对应的 cat 文件显示出来简单,勾选清理会把没对应的 cat 文件移动到程序所在目录 CatRoot_BAK 备份文件夹

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2024-3-29 22:35

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表