SysReveal更新至v1.0.0.72【2011-03-28】

niucool

首先非常感谢stats帮我在卡饭上发布SysReveal的更新信息，把SysReveal介绍给大家，原帖在这里：
[软件分享] 一个新的ARK工具SysReveal 更新至v1.0.0.27
同时也感谢诸位同学提供的宝贵意见，特别是freesoft00进行的详细测试和提出诸多建议，所以这些都是我继续把软件开发下去的动力，很惭愧的是其中仍有很多问题没有来得及改。
为了更及时的获取大家的反馈，以及发布新版本信息，我决定重新开个帖子来发布SysReveal的新版本信息，欢迎大家继续拍砖。

v1.0.0.72 BUG修正版，感谢卡饭的朋友们
1. * Fix bug: Process list view refresh problem
2. * Fix bug: Driver list view will crash when driver's refreshed in other views
3. * Fix bug: Driver status view is not correct.

v1.0.0.71(2011-03-25)

• +Add process module view      
  
• *Fix bug: checking API hook return false results
• *Fix bug: Restoring API hook does not work
• *Fix bug: Failed to parse autorun entries if they are not standard command line format. (Thanks to 单身熟男)
• *Fix bug: Failed to get shadow SSDT in console version
• *Other minor bugs fixed.
  

v1.0.0.70(2011-02-22)
一晃快五个月了，江湖中又崛起了诸多rootkit工具，真是江山代有才人出啊。SysReveal小更新一把。

• *修改了启动慢和假死问题
• +注册表部分加上了KEY修改时间的显示
• +重写了注册表搜索功能     
  
• *驱动修改了若干BUG
• *修改了若干功能上的BUG
  

v.1.0.0.68(2010-09-28)  其兴也勃，其亡也忽
这是一个BUG修正版，改完这个版本国庆休大假啦。以下是修改日志：
   1. +增加了驱动详细信息的显示。
      
   2. *修正了启动项检测，服务项检测的一些BUG。 (Thanks to bottlebox)
   3. +网络页面增加了PID列。
   4. *修正了删除畸形文件、文件夹失败的BUG。（Thanks to freesoft00, molicn）
   5. *修正了WIN7下任务栏图标显示不正确的BUG。

另外，进程实时刷新的问题我改好了，但是因为对进程的检测采用了诸多算法，实时刷新有严重的CPU问题，目前已经屏蔽。

v1.0.0.66 (2010-09-10)
本想出个最终版，但是有些功能迟迟不能完工，先出个改进版本吧。以下是修改日志：

• +进程模块窗口的右键菜单增加：“仅显示可疑文件”选项
• +进程句柄窗口的右键菜单增加：“仅显示有名字的句柄”选项
• +进程窗口增加了一列：“进程启动时间”
• +服务窗口增加了创建时间和修改时间
• *增强了文件强制复制功能，可通过直接解析文件系统复制文件
• *修改了SysReveal不能从只读介质如光盘运行的BUG
• *优化了启动速度
• *修改了驱动若干会导致BSOD的BUG
• *增强了钩子的检查
• *释放驱动改成动态命名，通讯进行了简单加密，以防止被病毒利用
• *代码整理及其他BUG修改
  

v1.0.0.65(2010-07-06) 时过于期，否终则泰
   1. + 增加了DISPATCH HOOK的检查（暂不支持恢复，只用于查找rootkit）
   2. + 增加了ATTACH DEVICE的检查
   3. *修改了NTFS解析不正确的BUG（Thanks to 曲中求）
   4. *修改了模块路径解析不正确的BUG（Thanks to liulangzhecgr）
   5. *加强了驱动模块检查

v1.0.0.62是v1.0.0.61的BUG修正版，修正以下BUG：

   1. *修改了SSDT,SHADOW SSDT显示钩子不正确的问题
   2. *修改了结束进程树显示不正确的问题
   3. *修改了MBR HOOK视图以及文件视图提示信息不正确的问题
   4. *修改了启动项显示的问题

以下BUG尚未修改：

    * 在某些情况下解析NTFS文件系统有问题
    * 在某些情况下解析模块路径有问题

v1.0.0.61(2010-06-18) 见贤思齐，见不贤而思内省
由于众所周知的原因（vuvuzela），SysReveal不能按照我的计划正常发布了，v1.0.0.61是我计划发布版本的精简版。以下是修改历史：

• +增加了MBR HOOK检测
• +增加了SYSENTER检测和恢复（在Driver Hook页）
• +增加了IDT的恢复
• +增加了查看指定内核地址的内存（在驱动页）
• *修改了结束进程的刷新问题（Thanks to freesoft00）
• *修改了多个导致BSOD的驱动BUG
• *修改了由于内存越界导致查看启动项异常的BUG
  

v1.0.0.57(2010-05-06)
这个版本只修改了新发布的v1.0.0.52的BUG，没有引入新的功能，进程部分的显示优化问题因时间原因暂时没有修改，预计在月底的版本中会统一修改。

• *修改了进程模块路径显示不正确的问题
• *修改了文件窗口无法在线查毒的问题
• *修改了注册表窗口几个菜单无响应的问题
• *修改了由于权限不足导致无法删除注册表项的问题
• *修改了句柄窗口无法显示进程名的问题
  

v1.0.0.53 (2010-05-02)
貌似v1.0.0.52有问题，全部重新编译了一下。

v1.0.0.52 (2010-05-02) 已所不欲，勿施于人
小更新，主要修改了一直提示升级的BUG。更新日志：

• 修改了程序版本不正确导致重复提示需要升级的问题 （Thanks to freesoft00）

• 修改了Startup中存在简体中文字符导致繁体下显示乱码的问题（Thanks to NG）

• 修改了进程名称显示乱码的问题 （Thanks to freesoft00）

  
  

v1.0.0.51 (2010-04-30)  丰碑无语，行胜于言
v1.0.0.51离上个版本的发布有将近两个月的时间，这个版本做了多个重要的改动，并修改若干处BUG。以下是更新日志：

• +自定义可信文件（白名单），这是这个版本引入的非常重要的功能，目的是通过交互的方式来进一步排查可疑文件，辅助病毒检测。
• *文件系统浏览采用磁盘文件系统解析的方式代替原来的IRP发包方式，目前从检测的强度上来说，SysReveal已经不输于其他同类产品。
• 进程显示采纳了freesoft00和云览的建议，改成了wsyscheck的显示方式，并做了增强。
  
  • 黑色表示微软进程
  • 蓝色表示非微软进程，但是有数字签名，或者被用户设置为可信程序
  • 红色表示非微软进程
  • 粉红色表示虽然进程是微软进程或有数字签名，但模块中有非可信的模块
    
  
  
• +在线文件名称搜索。
• +在线可疑文件检测，目前使用VIRUSTOTAL的在线服务

  

• +内存查看部分增加字符串搜索功能
• +增加字符串搜索的相关配置
• +启动部分增加修复页面
• +增加签名文件显示
• +自动保存界面的配置信息（如显示的列，列宽，当前排序列等）
• +文件浏览和注册表浏览的下拉列表可定制，定制方法是修改sysreveal.ini中相关的配置项。
• +内置启动项和可修复项，用户可按照SysReveal启动项XML文件说明的格式进行扩展。具体使用方法是在SysReveal.exe所在目录下建立startups.xml用于检测SysReveal缺省以外的启动项以及fixreg.xml用于SysReveal缺省以外的可修复项。
  

驱动修改日志

• +增加了线程SSDT与原始SSDT的比对
• *修改了SSDT函数在VISTA SP1下显示不正确的问题
• *修改了WINDOW 7下枚举进程模块可能导致CRASH的问题
• *枚举进程模块时过滤非PE文件
• +部分移植到64位操作系统
  

主页：
http://www.sysreveal.com/
下载链接：
http://www.sysreveal.com/download/SysReveal.zip

gxrsprite

啊，作者亲自来发布了啊

这个沙发抢的好啊

lvseqiji

哇，作者来了！更新去。。。。

zxjzwy

更新了，很不错，但似乎还有问题，我运行了一下后，提示内存不能为读。

107

支持

Lyphard

不错  支持楼主

asdfslw

虽然不懂。不过还是要支持的~~~

小松鼠

下载速度好慢好慢!!

freesoft00

真的，下载速度好慢好慢，用迅雷下，一开是老版本，用ie下，5分钟过去了，还是20%不动就，谁下载完了传上来一份

100972

见识了~