SysReveal更新至v1.0.0.72【2011-03-28】

niucool

首先非常感谢stats帮我在卡饭上发布SysReveal的更新信息，把SysReveal介绍给大家，原帖在这里：
[软件分享] 一个新的ARK工具SysReveal 更新至v1.0.0.27
同时也感谢诸位同学提供的宝贵意见，特别是freesoft00进行的详细测试和提出诸多建议，所以这些都是我继续把软件开发下去的动力，很惭愧的是其中仍有很多问题没有来得及改。
为了更及时的获取大家的反馈，以及发布新版本信息，我决定重新开个帖子来发布SysReveal的新版本信息，欢迎大家继续拍砖。

v1.0.0.72 BUG修正版，感谢卡饭的朋友们
1. * Fix bug: Process list view refresh problem
2. * Fix bug: Driver list view will crash when driver's refreshed in other views
3. * Fix bug: Driver status view is not correct.

v1.0.0.71(2011-03-25)

• +Add process module view      
  
• *Fix bug: checking API hook return false results
• *Fix bug: Restoring API hook does not work
• *Fix bug: Failed to parse autorun entries if they are not standard command line format. (Thanks to 单身熟男)
• *Fix bug: Failed to get shadow SSDT in console version
• *Other minor bugs fixed.
  

v1.0.0.70(2011-02-22)
一晃快五个月了，江湖中又崛起了诸多rootkit工具，真是江山代有才人出啊。SysReveal小更新一把。

• *修改了启动慢和假死问题
• +注册表部分加上了KEY修改时间的显示
• +重写了注册表搜索功能     
  
• *驱动修改了若干BUG
• *修改了若干功能上的BUG
  

v.1.0.0.68(2010-09-28)  其兴也勃，其亡也忽
这是一个BUG修正版，改完这个版本国庆休大假啦。以下是修改日志：
   1. +增加了驱动详细信息的显示。
      
   2. *修正了启动项检测，服务项检测的一些BUG。 (Thanks to bottlebox)
   3. +网络页面增加了PID列。
   4. *修正了删除畸形文件、文件夹失败的BUG。（Thanks to freesoft00, molicn）
   5. *修正了WIN7下任务栏图标显示不正确的BUG。

另外，进程实时刷新的问题我改好了，但是因为对进程的检测采用了诸多算法，实时刷新有严重的CPU问题，目前已经屏蔽。

v1.0.0.66 (2010-09-10)
本想出个最终版，但是有些功能迟迟不能完工，先出个改进版本吧。以下是修改日志：

• +进程模块窗口的右键菜单增加：“仅显示可疑文件”选项
• +进程句柄窗口的右键菜单增加：“仅显示有名字的句柄”选项
• +进程窗口增加了一列：“进程启动时间”
• +服务窗口增加了创建时间和修改时间
• *增强了文件强制复制功能，可通过直接解析文件系统复制文件
• *修改了SysReveal不能从只读介质如光盘运行的BUG
• *优化了启动速度
• *修改了驱动若干会导致BSOD的BUG
• *增强了钩子的检查
• *释放驱动改成动态命名，通讯进行了简单加密，以防止被病毒利用
• *代码整理及其他BUG修改
  

v1.0.0.65(2010-07-06) 时过于期，否终则泰
   1. + 增加了DISPATCH HOOK的检查（暂不支持恢复，只用于查找rootkit）
   2. + 增加了ATTACH DEVICE的检查
   3. *修改了NTFS解析不正确的BUG（Thanks to 曲中求）
   4. *修改了模块路径解析不正确的BUG（Thanks to liulangzhecgr）
   5. *加强了驱动模块检查

v1.0.0.62是v1.0.0.61的BUG修正版，修正以下BUG：

   1. *修改了SSDT,SHADOW SSDT显示钩子不正确的问题
   2. *修改了结束进程树显示不正确的问题
   3. *修改了MBR HOOK视图以及文件视图提示信息不正确的问题
   4. *修改了启动项显示的问题

以下BUG尚未修改：

    * 在某些情况下解析NTFS文件系统有问题
    * 在某些情况下解析模块路径有问题

v1.0.0.61(2010-06-18) 见贤思齐，见不贤而思内省
由于众所周知的原因（vuvuzela），SysReveal不能按照我的计划正常发布了，v1.0.0.61是我计划发布版本的精简版。以下是修改历史：

• +增加了MBR HOOK检测
• +增加了SYSENTER检测和恢复（在Driver Hook页）
• +增加了IDT的恢复
• +增加了查看指定内核地址的内存（在驱动页）
• *修改了结束进程的刷新问题（Thanks to freesoft00）
• *修改了多个导致BSOD的驱动BUG
• *修改了由于内存越界导致查看启动项异常的BUG
  

v1.0.0.57(2010-05-06)
这个版本只修改了新发布的v1.0.0.52的BUG，没有引入新的功能，进程部分的显示优化问题因时间原因暂时没有修改，预计在月底的版本中会统一修改。

• *修改了进程模块路径显示不正确的问题
• *修改了文件窗口无法在线查毒的问题
• *修改了注册表窗口几个菜单无响应的问题
• *修改了由于权限不足导致无法删除注册表项的问题
• *修改了句柄窗口无法显示进程名的问题
  

v1.0.0.53 (2010-05-02)
貌似v1.0.0.52有问题，全部重新编译了一下。

v1.0.0.52 (2010-05-02) 已所不欲，勿施于人
小更新，主要修改了一直提示升级的BUG。更新日志：

• 修改了程序版本不正确导致重复提示需要升级的问题 （Thanks to freesoft00）

• 修改了Startup中存在简体中文字符导致繁体下显示乱码的问题（Thanks to NG）

• 修改了进程名称显示乱码的问题 （Thanks to freesoft00）

  
  

v1.0.0.51 (2010-04-30)  丰碑无语，行胜于言
v1.0.0.51离上个版本的发布有将近两个月的时间，这个版本做了多个重要的改动，并修改若干处BUG。以下是更新日志：

• +自定义可信文件（白名单），这是这个版本引入的非常重要的功能，目的是通过交互的方式来进一步排查可疑文件，辅助病毒检测。
• *文件系统浏览采用磁盘文件系统解析的方式代替原来的IRP发包方式，目前从检测的强度上来说，SysReveal已经不输于其他同类产品。
• 进程显示采纳了freesoft00和云览的建议，改成了wsyscheck的显示方式，并做了增强。
  
  • 黑色表示微软进程
  • 蓝色表示非微软进程，但是有数字签名，或者被用户设置为可信程序
  • 红色表示非微软进程
  • 粉红色表示虽然进程是微软进程或有数字签名，但模块中有非可信的模块
    
  
  
• +在线文件名称搜索。
• +在线可疑文件检测，目前使用VIRUSTOTAL的在线服务

  

• +内存查看部分增加字符串搜索功能
• +增加字符串搜索的相关配置
• +启动部分增加修复页面
• +增加签名文件显示
• +自动保存界面的配置信息（如显示的列，列宽，当前排序列等）
• +文件浏览和注册表浏览的下拉列表可定制，定制方法是修改sysreveal.ini中相关的配置项。
• +内置启动项和可修复项，用户可按照SysReveal启动项XML文件说明的格式进行扩展。具体使用方法是在SysReveal.exe所在目录下建立startups.xml用于检测SysReveal缺省以外的启动项以及fixreg.xml用于SysReveal缺省以外的可修复项。
  

驱动修改日志

• +增加了线程SSDT与原始SSDT的比对
• *修改了SSDT函数在VISTA SP1下显示不正确的问题
• *修改了WINDOW 7下枚举进程模块可能导致CRASH的问题
• *枚举进程模块时过滤非PE文件
• +部分移植到64位操作系统
  

主页：
http://www.sysreveal.com/
下载链接：
http://www.sysreveal.com/download/SysReveal.zip

gxrsprite

啊，作者亲自来发布了啊

这个沙发抢的好啊

lvseqiji

哇，作者来了！更新去。。。。

zxjzwy

更新了，很不错，但似乎还有问题，我运行了一下后，提示内存不能为读。

107

支持

Lyphard

不错  支持楼主

asdfslw

虽然不懂。不过还是要支持的~~~

小松鼠

下载速度好慢好慢!!

freesoft00

真的，下载速度好慢好慢，用迅雷下，一开是老版本，用ie下，5分钟过去了，还是20%不动就，谁下载完了传上来一份

100972

见识了~

645201

见附件
SysReveal.part1.rar (400 KB, 下载次数: 700)

2010-5-1 13:00 上传

点击文件名下载附件 SysReveal.part2.rar (400 KB, 下载次数: 685)

2010-5-1 13:01 上传

点击文件名下载附件 SysReveal.part3.rar (312.42 KB, 下载次数: 689)

2010-5-1 13:01 上传

点击文件名下载附件

backway

WIN7,进程模块下，绿的MS应该是表示通过验证的微软的，绿的表示通过验证的非微软的，黄的表示未通过验证的吧，但是对于有的迅雷模块（其他的不确定），检测的不对，但实际上是通过验证的，并且定位他们时会提示找不到文件：


和XT检测的对比（检测是通过验证的，并且是正确的且能定位到文件）：





感觉注册表里的操作强度很弱，对于设置权限的项都搞不定......
文件操作里里刷新很不灵敏，有时在资源管理器里建个文件，在文件操作页面里刷半天都刷不出来。删除也是。另外就是在树状那侧，对某个a..\这种畸形文件夹点鼠标右键，程序就被折腾死了。另外是不是可以选择关闭磁盘解析，免得不小心手贱把磁盘元文件删了.........
还有，那个模块（内核，服务等）里的颜色，建议能根据颜色排序......
还有，不够暴力...还有，启动太慢。
期待楼主的精品~

爱吃蔬菜

下载更新了，感谢作者的好作品了

fkrs10

支持一下，能力有限，不能对此软件进行评测。
只是从界面及功能上来看，感觉很好。期望此软件能成为象X T一样的必备工具。

谢谢作者。

tawny2008

出了下远门，手机登录，无法加亮，但还是要支持楼主^_^

Beauking.

卡饭似乎比较热心 XueTr ，不知道SysReveal是否有人气呢？

niucool

WIN7,进程模块下，绿的MS应该是表示通过验证的微软的，绿的表示通过验证的非微软的，黄的表示未通过验证的吧 ...
backway 发表于 2010-5-1 13:11

感谢你的使用，关于你提的几个问题，我来逐个回答一下：
1. SysReveal的数字签名认证是在后台自动运行的，（除非在配置里面把此选项关掉），因为数字签名认证需要较长时间，所以一旦认证完成，相关的信息会存在sysreveal的数据库文件里面，下次启动的时候就能够立刻获得数字签名的信息了。我感觉这样的方式比手工点数字签名认证要方便很多。对于你说的情况我觉得是因为你是第一次运行sysreveal，迅雷的那几个程序还在后台排队等待认证呢，因此需要一段时间才能获取签名信息并刷新界面。但我不太清楚为什么会定位不到文件，我会检查下这部分的代码。
注册表部分的读取是采用HIVE解析，因此对于病毒检测没有问题，但写入是调用RING3的函数，因此会有权限问题，后面的某个版本会以HIVE方式来写。
文件部分采用了文件系统解析的方式，强度上没有问题，我的网站有介绍，但是这部分是新写的，可能存在一些BUG以及性能问题，我会在随后的版本加以改进。
关闭磁盘解析很容易做到，下个版本统一修改。
颜色排序当然是可以啦，不过没想好排序列放哪里。
不够暴力。。。，呃，除了上面您列出的，还有什么地方需要暴力呢？
启动慢，第一次启动会比较慢，主要因为前面说的要检测大量文件的数字签名的原因，以后速度就会快很多，当然不排除程序BUG导致慢。

1.0.0.51最大的工作量其实来源于文件系统解析，下个版本会把所有上报的问题总结下，集中处理BUG和小功能，然后再搞点新东西。

freesoft00

sysreveal下载的新的版本，打开后还是提示发现新版本，要升级，之后打开官方网页看还是1.0.0.51的
版本。
新版本程序的属性中版本并没有更改，还是1.0.0.28

进程列表中，结束进程有卡滞的现象，打开sysreveal首先试着结束TXPlatform.exe和qq.exe，得沙漏一
段时间才结束，结束进程的时候看到机箱上磁盘灯闪烁的厉害，其它的ark工具没有发现这个现象。

新打开的程序，进程不会出现在进程界面中，手动刷新也不行，只有选择某一个进程结束掉它才会刷新显
示出来。

程序的进程界面结束进程后会自动刷新，而且会显示顶头的进程，而wsyscheck或者其它ark工具则不会这
样，比如我结束的进程在进程界面最下面，结束掉以后，上面的进程自动下移，还是在最下面，不会刷新
跑到了最上面。

程序对中文支持不太好。有些进程中文的会显示乱码。wsyscheck显示是正常的，被水印挡住了。




进程结束的强度不够，用程序结束小红伞的进程无法结束掉

我猜想是不是刷新有问题，那个提示“无法打开进程，请刷新”的提示还有，也是，这个时候再次结束其
它的进程程序界面自动刷新一下就没有那些不在的进程了


驱动界面中签名的速度不是太快，我点击驱动标签后看到所有微软的驱动都显示着，以为无法隐藏可信任
程序，之后等了会儿才隐藏完成。

启动——服务 中没有 厂商信息 无法判读服务属于哪个厂商的 ，也没有服务创建时间、修改时间

freesoft00

进程界面切换到树状窗口后无法再切换回来。

程序的内存占用不小，比wsyscheck多很多。如图：


同样的，打开 文件标签 也是有一段延迟的时间，看到硬盘等在闪烁，之后就打开了 文件 界面。

带点目录可以打开，打开后里面的文件右键定位文件 提示 文件不存在或者目录无效。

文件删除的话，删除一个文件出一个对话框提示确认，这个挺烦的，建议去掉。

文件 标签 的工具栏 中有 文件属性  而右键菜单中 没有，只有在扩展菜单中 才有属性。
对带点目录中的文件，右键没有扩展菜单，无法实现 剪切、复制其中文件的操作。
不知道对其它畸形目录的支持是否好。

freesoft00

注册表中 在键值的右键菜单中 只有 修改、删除、更名，没有导出 的菜单，只在注册表项的右键菜单有。

网络 标签 刷新 不是很流畅，有卡滞现象。