SYSREVEAL

SysReveal的最新版本请点击本网站右侧的图标或文字链接下载。

以下是SysReveal的版本更新历史：

v1.0.0.72(2011-03-28)

Fix bugs from kafan

1. * Fix bug: Process list view refresh problem
2. * Fix bug: Driver list view will crash when driver’s refreshed in other views
3. * Fix bug: Driver status view is not correct.

v1.0.0.71(2011-03-25)

1. +Add process module view
   
2. *Fix bug: checking API hook return false results
3. *Fix bug: Restoring API hook does not work
4. *Fix bug: Failed to parse autorun entries if they are not standard command line format. (Thanks to 单身熟男)
5. *Fix bug: Failed to get shadow SSDT in console version
6. *Other minor bugs fixed.

v1.0.0.70(2011-02-22)

一晃快五个月了，江湖中又崛起了诸多rootkit工具，真是江山代有才人出啊。SysReveal小更新一把。

1. *修改了启动慢和假死问题
2. +注册表部分加上了KEY修改时间的显示
3. +重写了注册表搜索功能
   
4. *驱动修改了若干BUG
5. *修改了若干功能上的BUG

v1.0.0.68(2010-09-28)  其兴也勃，其亡也忽

这是一个BUG修正版，改完这个版本国庆休大假啦。以下是修改日志：

1. +增加了驱动详细信息的显示。 （驱动页面，list右键菜单->详细信息）
   
2. *修正了启动项检测，服务项检测的一些BUG。 (Thanks to bottlebox)
3. +网络页面增加了PID列。
4. *修正了删除畸形文件、文件夹失败的BUG。（Thanks to freesoft00, molicn）
5. *修正了WIN7下任务栏图标显示不正确的BUG。

另外，进程实时刷新的问题我改好了，但是因为对进程的检测采用了诸多算法，实时刷新有严重的CPU问题，目前已经屏蔽。

v1.0.0.66 (2010-09-10)

本想出个最终版，但是有些功能迟迟不能完工，先出个改进版本吧。以下是修改日志：

1. +进程模块窗口的右键菜单增加：“仅显示可疑文件”选项
2. +进程句柄窗口的右键菜单增加：“仅显示有名字的句柄”选项
3. +进程窗口增加了一列：“进程启动时间”
4. +服务窗口增加了创建时间和修改时间
5. *增强了文件强制复制功能，可通过直接解析文件系统复制文件
6. *修改了SysReveal不能从只读介质如光盘运行的BUG
7. *优化了启动速度
8. *修改了驱动若干会导致BSOD的BUG
9. *增强了钩子的检查
10. *释放驱动改成动态命名，通讯进行了简单加密，以防止被病毒利用
11. *代码整理及其他BUG修改

v1.0.0.65(2010-07-06) 时过于期，否终则泰

SysReveal像个乌龟一样缓慢的前行，终点似乎就在不远的前方，但是又似乎很遥远，喜欢SysReveal的同志们给我加加油吧。这个版本增加了两大功能并修改了若干BUG，以下是修改日志：

1. + 增加了DISPATCH HOOK的检查（暂不支持恢复，只用于查找rootkit）
2. + 增加了ATTACH DEVICE的检查
3. *修改了NTFS解析不正确的BUG（Thanks to 曲中求）
4. *修改了模块路径解析不正确的BUG（Thanks to liulangzhecgr）
5. *加强了驱动模块检查

以下BUG尚未修改：

• 文件页面的所有BUG尚未修复，如删除畸形目录（freesoft00），计划在下一版本统一修改。
• 进程页面的自动刷新(freesoft00)，目前尚未实现。

 

v1.0.0.62(2010-06-20)

v1.0.0.62是v1.0.0.61的BUG修正版，修正以下BUG：

1. *修改了SSDT,SHADOW SSDT显示钩子不正确的问题
2. *修改了结束进程树显示不正确的问题
3. *修改了MBR HOOK视图以及文件视图提示信息不正确的问题
4. *修改了启动项显示的问题

以下BUG尚未修改：

• 在某些情况下解析NTFS文件系统有问题
• 在某些情况下解析模块路径有问题

v1.0.0.61(2010-06-18) 见贤思齐，见不贤而思内省

由于众所周知的原因（vuvuzela），SysReveal不能按照我的计划正常发布了，v1.0.0.61是我计划发布版本的精简版。以下是修改历史：

1. +增加了MBR HOOK检测
2. +增加了SYSENTER检测和恢复（在Driver Hook页）
3. +增加了IDT的恢复
4. +增加了查看指定内核地址的内存（在驱动页）
5. *修改了结束进程的刷新问题（Thanks to freesoft00）
6. *修改了多个导致BSOD的驱动BUG
7. *修改了由于内存越界导致查看启动项异常的BUG

 

v1.0.0.57(2010-05-07)

这个版本只修改了新发布的v1.0.0.52的BUG，没有引入新的功能，进程部分的显示优化问题因时间原因暂时没有修改，预计在月底的版本中会统一修改。

1. *修改了进程模块路径显示不正确的问题 (Thanks to beetea)
2. *修改了文件窗口无法在线查毒的问题 (Thanks to 小岐)
3. *修改了注册表窗口几个菜单无响应的问题
4. *修改了由于权限不足导致无法删除注册表项的问题 (非最终版)
5. *修改了句柄窗口无法显示进程名的问题

v1.0.0.53 (2010-05-02)

貌似v1.0.0.52有问题，全部重新编译了一下。

v1.0.0.52 (2010-05-02) 已所不欲，勿施于人

主要修改了一直提示升级的BUG。更新日志：

1. 修改了程序版本不正确导致重复提示需要升级的问题 （Thanks to freesoft00）
2. 修改了Startup中存在简体中文字符导致繁体下显示乱码的问题（Thanks to NG）
3. 修改了进程名称显示乱码的问题 （Thanks to freesoft00）

v1.0.0.51 (2010-04-30)  丰碑无语，行胜于言

v1.0.0.51离上个版本的发布有将近两个月的时间，这个版本做了多个重要的改动，并修改若干处BUG。以下是更新日志：

1. +自定义可信文件（白名单），这是这个版本引入的非常重要的功能，目的是通过交互的方式来进一步排查可疑文件，辅助病毒检测。
2. *文件系统浏览采用磁盘文件系统解析的方式代替原来的IRP发包方式，目前从检测的强度上来说，SysReveal已经不输于其他同类产品。
3. 进程显示采纳了freesoft00和云览的建议，改成了wsyscheck的显示方式，并做了增强。
   • 黑色表示微软进程
   • 蓝色表示非微软进程，但是有数字签名，或者被用户设置为可信程序
   • 红色表示非微软进程
   • 粉红色表示虽然进程是微软进程或有数字签名，但模块中有非可信的模块

   

4. +在线文件名称搜索。
5. +在线可疑文件检测，目前使用VIRUSTOTAL的在线服务
6. +内存查看部分增加字符串搜索功能
7. +增加字符串搜索的相关配置
8. +启动部分增加修复页面
9. +增加签名文件显示
10. +自动保存界面的配置信息（如显示的列，列宽，当前排序列等）
11. +文件浏览和注册表浏览的下拉列表可定制，定制方法是修改sysreveal.ini中相关的配置项。
12. +内置启动项和可修复项，用户可按照SysReveal启动项XML文件说明的格式进行扩展。具体使用方法是在SysReveal.exe所在目录下建立startups.xml用于检测SysReveal缺省以外的启动项以及fixreg.xml用于SysReveal缺省以外的可修复项。
13. 修改了导出到HTML的模板格式。

驱动修改日志

1. +增加了线程SSDT与原始SSDT的比对
2. *修改了SSDT函数在VISTA SP1下显示不正确的问题
3. *修改了WINDOW 7下枚举进程模块可能导致CRASH的问题
4. *枚举进程模块时过滤非PE文件
5. +部分移植到64位操作系统

以下BUG因时间原因暂时还没有修改：

1. SysReveal在只读介质上运行会CRASH （by freesoft00）
2. …

v1.0.0.27 (2010-03-08)  美好发现，从来不晚

v1.0.0.27是我向最终版本进发过程中一个非常重要的版本，我对代码做了适当的调整，为即将到来的最终版本打下基础，同时增加了启动项检查以及若干实用的功能。以下是更新日志：

1. +增加了启动项扫描以及服务扫描，启动项组织严重参考了经典的Autoruns，服务项支持过滤显示以及诸多常用操作。
2. +在所有窗口增加复制操作，可选中一行或者多行，然后点鼠标右键（或者按Ctrl+C）复制选中行的某列或者所有列的信息到剪贴板。
3. +工具条可定制（在按钮上按右键）
4. +增强了搜索文件的选项（感谢来自SysReveal群的云览）
5. *修正了进程树状视图显示的BUG
6. *修正了注册表直接输入跳转可能失败的BUG
7. *修正了文件窗口删除目录时视图不刷新的BUG

v1.0.0.21 (2010-02-22)

主要改了几个用户上报的严重BUG，启动项部分会在下个版本加上。顺便说一下关于文件管理里的粉碎功能。 SysReveal的文件粉碎功能是通过调用底层驱动来实现的，如果文件曾经被打开，由于系统缓存的原因，那么很可能文件被粉碎以后，通过notepad或者其他文件查看工具读出来的文件仍然是被粉碎以前的文件，而实际上文件已经被清零了。这时候您可以重启后再看一下，或者用WinHex打开物理磁盘的方式来查看确认。

文件粉碎的主要用途有两个：

• 对于病毒文件，如果病毒文件被病毒的进程或者驱动占用，无法直接访问或者修改文件时，可以强制使用SysReveal进行粉碎，这样保证重启后病毒无法正常启动以达到清除的目的。
• 对于用户重要的隐私文件，通过文件粉碎功能来清除文件内容，以防止被恢复而导致泄密。

更新日志：

1. *修改了批量删除文件只能删除一半文件的BUG。
2. *修改了注册表在VISTA下打开有问题的BUG。
3. *修改了WINDOWS 7下粉碎文件有问题的BUG。
4. *修改了API HOOK/DRIVER HOOK比对会导致CRASH的BUG。

v1.0.0.20 (2010-02-08)

1. +增加了驱动接口进行进程和线程操作，现在基本不会出现进程打不开的情况了。
2. +增加了网络连接查看和管理。
3. +增加了进程窗口查看和管理。
4. +修改进程视图，缺省为树状视图。
5. +绝大多数界面支持多选操作。
6. *文件部分支持多选操作，增加文件粉碎功能。目前仍然采用发IRP方式，强度上略有欠缺，解决方法当然是采用NTFS解析，春节前没有时间和精力做了。
7. *注册表部分我已经重新设计过了，在实现搜索算法和处理NTREG的UNICODE的问题上花了很多功夫，目前强度上应该没有问题了，当然由于测试不充分，可能还有潜在的BUG。
8. *修正了v1.0.0.18 alpha导致Windows Server 2003 BSOD的BUG
9. *修正了v1.0.0.18 alpha网络界面刷新会CRASH的BUG

v1.0.0.13 (2010-01-12)

1. * Fix bug: Driver hook symbol is not correct. (Thanks to linxer)
2. * Fix bug: memory view could not goto certain address
3. * Fix bug: Display windows hook dialog will cause sysreveal crash under windows 2003

v1.0.0.12 (2010-01-11)

1. + Add IAT hook detection.
   Driver hook result comparision between SysReveal and XueTr
2. * Fix bug: terminate process does not refresh the process dialog
3. * Fix driver bugs for VISTA SP2 (6200)

v1.0.0.11 (2010-01-08)

1. +Support loading symbol files for disassemble
   Note: SysReveal needs dbghelp.dll (A Microsoft dynamic link library) to enable this feature, if SysReveal could not startup, please download dbghelp here and extract to your SysReveal directory.
2. +Support asm code modification
   Unlock memory first, then press spacebar to modify the asm code. Note: it is dangerous to write to memory directly via SysReveal, it might cause process crash, even BSOD, please be careful when proceeding.
3. *Optimize the startup speed
4. *Minor bugs fix of memory view dialog

v1.0.0.10 (2010-01-04)

1. +Real time memory editing, both ring 3 memory and ring 0 memory(Beta!). Note: it is dangerous to write to memory directly via SysReveal, it might cause process crash, even BSOD, please be careful when proceeding.
2. *Fix bug: disassmble not correct. (Thanks to 71190838 from PEDIY)

v1.0.0.9 (2009-12-29)

1. +Use VAD to detect hidden module
2. +Add disasm entry code to most of the view
3. +Add keyboard hook view
4. *Fix some process view bugs in Windows 7
5. *Fix driver bugs in VISTA SP1

v1.0.0.8 (2009-12-24)

1. +在大部分窗口增加了数据导出的功能
2. +ListCtrl增加了搜索功能(Ctrl+F)
3. +驱动页面增加了查看完整内核内存的功能
4. +驱动页面增加了指定区域转储的功能
5. +内存查看窗口二进制视图增加了右键菜单
6. +文件页面增加了被占用文件强制复制的功能
7. +文件页面增加了简单快捷键（回车键和退格键）。
8. +注册表页面增加了查看注册表引用功能
9. +驱动增加了文件强制读取的功能
10. +增加了英语支持
11. *修正了几个可能导致驱动CRASH的问题
12. *修正了ListCtrl显示不正确的问题
13. *修正了内存查看窗口搜索结果不正确的问题
14. *修正了驱动页面刷新导致死循环的问题
15. *修正了文件页面右键查看时可能会CRASH的问题
16. *修正了状态栏显示不正确的问题
17. *修正了驱动文件厂商可能无法显示的问题

v1.0.0.7 (2009-10-16)

1. +增加了文件句柄查询和文件搜索功能
2. *修改了广受诟病的文件管理部分
3. *修正了枚举文件导致CRASH的问题
4. *修改了ListCtrl刷新的问题
5. +增加了ListCtrl结果导出到HTML文件的功能

v1.0.0.6 (2009-09-29)

1. 增加了DPC timer,System thread, Flt minifilter, registry callback的枚举。
2. Fix bug: crash when running driver hook detection.

v1.0.0.3 (2009-09-25)

第一个公开发布的版本，尚不稳定，发布于看雪论坛。

1. 增加了Ring 0内存的查看，反汇编和转储。
2. 增加了Windows钩子的查看，可自动区分全局钩子和局部钩子。
3. 内核部分修改了部分数据在Windows 7下显示不正常的问题。

开始开发(2009-06-05)

Niucool建立SysReveal工程，开始代码开发。