SYSREVEAL

SysReveal 更新至 v1.0.0.72

by on Mar.25, 2011, under SysReveal, Version History

SysReveal的最新版本请点击本网站右侧的图标或文字链接下载。

以下是SysReveal的版本更新历史:

v1.0.0.72(2011-03-28)

Fix bugs from kafan

  1. * Fix bug: Process list view refresh problem
  2. * Fix bug: Driver list view will crash when driver’s refreshed in other views
  3. * Fix bug: Driver status view is not correct.

v1.0.0.71(2011-03-25)

  1. +Add process module view
    SysReveal module view
  2. *Fix bug: checking API hook return false results
  3. *Fix bug: Restoring API hook does not work
  4. *Fix bug: Failed to parse autorun entries if they are not standard command line format. (Thanks to 单身熟男)
  5. *Fix bug: Failed to get shadow SSDT in console version
  6. *Other minor bugs fixed.

v1.0.0.70(2011-02-22)

一晃快五个月了,江湖中又崛起了诸多rootkit工具,真是江山代有才人出啊。SysReveal小更新一把。

  1. *修改了启动慢和假死问题
  2. +注册表部分加上了KEY修改时间的显示
  3. +重写了注册表搜索功能
    image
  4. *驱动修改了若干BUG
  5. *修改了若干功能上的BUG

v1.0.0.68(2010-09-28)  其兴也勃,其亡也忽

这是一个BUG修正版,改完这个版本国庆休大假啦。以下是修改日志:

  1. +增加了驱动详细信息的显示。 (驱动页面,list右键菜单->详细信息)
    image
  2. *修正了启动项检测,服务项检测的一些BUG。 (Thanks to bottlebox)
  3. +网络页面增加了PID列。
  4. *修正了删除畸形文件、文件夹失败的BUG。(Thanks to freesoft00, molicn
  5. *修正了WIN7下任务栏图标显示不正确的BUG。

另外,进程实时刷新的问题我改好了,但是因为对进程的检测采用了诸多算法,实时刷新有严重的CPU问题,目前已经屏蔽。

v1.0.0.66 (2010-09-10)

本想出个最终版,但是有些功能迟迟不能完工,先出个改进版本吧。以下是修改日志:

  1. +进程模块窗口的右键菜单增加:“仅显示可疑文件”选项
  2. +进程句柄窗口的右键菜单增加:“仅显示有名字的句柄”选项
  3. +进程窗口增加了一列:“进程启动时间”
  4. +服务窗口增加了创建时间和修改时间
  5. *增强了文件强制复制功能,可通过直接解析文件系统复制文件
  6. *修改了SysReveal不能从只读介质如光盘运行的BUG
  7. *优化了启动速度
  8. *修改了驱动若干会导致BSOD的BUG
  9. *增强了钩子的检查
  10. *释放驱动改成动态命名,通讯进行了简单加密,以防止被病毒利用
  11. *代码整理及其他BUG修改

v1.0.0.65(2010-07-06) 时过于期,否终则泰

SysReveal像个乌龟一样缓慢的前行,终点似乎就在不远的前方,但是又似乎很遥远,喜欢SysReveal的同志们给我加加油吧。这个版本增加了两大功能并修改了若干BUG,以下是修改日志:

  1. + 增加了DISPATCH HOOK的检查(暂不支持恢复,只用于查找rootkit)image
  2. + 增加了ATTACH DEVICE的检查
  3. *修改了NTFS解析不正确的BUG(Thanks to 曲中求
  4. *修改了模块路径解析不正确的BUG(Thanks to liulangzhecgr
  5. *加强了驱动模块检查

以下BUG尚未修改:

  • 文件页面的所有BUG尚未修复,如删除畸形目录(freesoft00),计划在下一版本统一修改。
  • 进程页面的自动刷新(freesoft00),目前尚未实现。

 

v1.0.0.62(2010-06-20)

v1.0.0.62是v1.0.0.61的BUG修正版,修正以下BUG:

  1. *修改了SSDT,SHADOW SSDT显示钩子不正确的问题
  2. *修改了结束进程树显示不正确的问题
  3. *修改了MBR HOOK视图以及文件视图提示信息不正确的问题
  4. *修改了启动项显示的问题

以下BUG尚未修改:

  • 在某些情况下解析NTFS文件系统有问题
  • 在某些情况下解析模块路径有问题

v1.0.0.61(2010-06-18) 见贤思齐,见不贤而思内省

由于众所周知的原因(vuvuzela),SysReveal不能按照我的计划正常发布了,v1.0.0.61是我计划发布版本的精简版。以下是修改历史:

  1. +增加了MBR HOOK检测
  2. +增加了SYSENTER检测和恢复(在Driver Hook页)
  3. +增加了IDT的恢复
  4. +增加了查看指定内核地址的内存(在驱动页)
  5. *修改了结束进程的刷新问题(Thanks to freesoft00)
  6. *修改了多个导致BSOD的驱动BUG
  7. *修改了由于内存越界导致查看启动项异常的BUG

image

 

v1.0.0.57(2010-05-07)

这个版本只修改了新发布的v1.0.0.52的BUG,没有引入新的功能,进程部分的显示优化问题因时间原因暂时没有修改,预计在月底的版本中会统一修改。

  1. *修改了进程模块路径显示不正确的问题 (Thanks to beetea)
  2. *修改了文件窗口无法在线查毒的问题 (Thanks to 小岐)
  3. *修改了注册表窗口几个菜单无响应的问题
  4. *修改了由于权限不足导致无法删除注册表项的问题 (非最终版)
  5. *修改了句柄窗口无法显示进程名的问题

v1.0.0.53 (2010-05-02)

貌似v1.0.0.52有问题,全部重新编译了一下。

v1.0.0.52 (2010-05-02) 已所不欲,勿施于人

主要修改了一直提示升级的BUG。更新日志:

  1. 修改了程序版本不正确导致重复提示需要升级的问题 (Thanks to freesoft00)
  2. 修改了Startup中存在简体中文字符导致繁体下显示乱码的问题(Thanks to NG)
  3. 修改了进程名称显示乱码的问题 (Thanks to freesoft00)

v1.0.0.51 (2010-04-30)  丰碑无语,行胜于言

v1.0.0.51离上个版本的发布有将近两个月的时间,这个版本做了多个重要的改动,并修改若干处BUG。以下是更新日志:

  1. +自定义可信文件(白名单),这是这个版本引入的非常重要的功能,目的是通过交互的方式来进一步排查可疑文件,辅助病毒检测。
  2. *文件系统浏览采用磁盘文件系统解析的方式代替原来的IRP发包方式,目前从检测的强度上来说,SysReveal已经不输于其他同类产品。
  3. 进程显示采纳了freesoft00和云览的建议,改成了wsyscheck的显示方式,并做了增强。
    • 黑色表示微软进程
    • 蓝色表示非微软进程,但是有数字签名,或者被用户设置为可信程序
    • 红色表示非微软进程
    • 粉红色表示虽然进程是微软进程或有数字签名,但模块中有非可信的模块

    image

  4. +在线文件名称搜索。
  5. +在线可疑文件检测,目前使用VIRUSTOTAL的在线服务 image
  6. +内存查看部分增加字符串搜索功能
  7. +增加字符串搜索的相关配置
  8. +启动部分增加修复页面
  9. +增加签名文件显示
  10. +自动保存界面的配置信息(如显示的列,列宽,当前排序列等)
  11. +文件浏览和注册表浏览的下拉列表可定制,定制方法是修改sysreveal.ini中相关的配置项。
  12. +内置启动项和可修复项,用户可按照SysReveal启动项XML文件说明的格式进行扩展。具体使用方法是在SysReveal.exe所在目录下建立startups.xml用于检测SysReveal缺省以外的启动项以及fixreg.xml用于SysReveal缺省以外的可修复项。
  13. 修改了导出到HTML的模板格式。

驱动修改日志

  1. +增加了线程SSDT与原始SSDT的比对
  2. *修改了SSDT函数在VISTA SP1下显示不正确的问题
  3. *修改了WINDOW 7下枚举进程模块可能导致CRASH的问题
  4. *枚举进程模块时过滤非PE文件
  5. +部分移植到64位操作系统

以下BUG因时间原因暂时还没有修改:

  1. SysReveal在只读介质上运行会CRASH (by freesoft00)

v1.0.0.27 (2010-03-08)  美好发现,从来不晚

v1.0.0.27是我向最终版本进发过程中一个非常重要的版本,我对代码做了适当的调整,为即将到来的最终版本打下基础,同时增加了启动项检查以及若干实用的功能。以下是更新日志:

  1. +增加了启动项扫描以及服务扫描,启动项组织严重参考了经典的Autoruns,服务项支持过滤显示以及诸多常用操作。 image image
  2. +在所有窗口增加复制操作,可选中一行或者多行,然后点鼠标右键(或者按Ctrl+C)复制选中行的某列或者所有列的信息到剪贴板。image
  3. +工具条可定制(在按钮上按右键)
  4. +增强了搜索文件的选项(感谢来自SysReveal群的云览)image
  5. *修正了进程树状视图显示的BUG
  6. *修正了注册表直接输入跳转可能失败的BUG
  7. *修正了文件窗口删除目录时视图不刷新的BUG

v1.0.0.21 (2010-02-22)

主要改了几个用户上报的严重BUG,启动项部分会在下个版本加上。顺便说一下关于文件管理里的粉碎功能。 SysReveal的文件粉碎功能是通过调用底层驱动来实现的,如果文件曾经被打开,由于系统缓存的原因,那么很可能文件被粉碎以后,通过notepad或者其他文件查看工具读出来的文件仍然是被粉碎以前的文件,而实际上文件已经被清零了。这时候您可以重启后再看一下,或者用WinHex打开物理磁盘的方式来查看确认。

文件粉碎的主要用途有两个:

  • 对于病毒文件,如果病毒文件被病毒的进程或者驱动占用,无法直接访问或者修改文件时,可以强制使用SysReveal进行粉碎,这样保证重启后病毒无法正常启动以达到清除的目的。
  • 对于用户重要的隐私文件,通过文件粉碎功能来清除文件内容,以防止被恢复而导致泄密。

更新日志:

  1. *修改了批量删除文件只能删除一半文件的BUG。
  2. *修改了注册表在VISTA下打开有问题的BUG。
  3. *修改了WINDOWS 7下粉碎文件有问题的BUG。
  4. *修改了API HOOK/DRIVER HOOK比对会导致CRASH的BUG。

v1.0.0.20 (2010-02-08)

  1. +增加了驱动接口进行进程和线程操作,现在基本不会出现进程打不开的情况了。
  2. +增加了网络连接查看和管理。
  3. +增加了进程窗口查看和管理。
  4. +修改进程视图,缺省为树状视图。
  5. +绝大多数界面支持多选操作。
  6. *文件部分支持多选操作,增加文件粉碎功能。目前仍然采用发IRP方式,强度上略有欠缺,解决方法当然是采用NTFS解析,春节前没有时间和精力做了。
  7. *注册表部分我已经重新设计过了,在实现搜索算法和处理NTREG的UNICODE的问题上花了很多功夫,目前强度上应该没有问题了,当然由于测试不充分,可能还有潜在的BUG。
  8. *修正了v1.0.0.18 alpha导致Windows Server 2003 BSOD的BUG
  9. *修正了v1.0.0.18 alpha网络界面刷新会CRASH的BUG

v1.0.0.13 (2010-01-12)

  1. * Fix bug: Driver hook symbol is not correct. (Thanks to linxer)
  2. * Fix bug: memory view could not goto certain address
  3. * Fix bug: Display windows hook dialog will cause sysreveal crash under windows 2003

v1.0.0.12 (2010-01-11)

  1. + Add IAT hook detection.
    Driver hook result comparision between SysReveal and XueTr
  2. * Fix bug: terminate process does not refresh the process dialog
  3. * Fix driver bugs for VISTA SP2 (6200)

v1.0.0.11 (2010-01-08)

  1. +Support loading symbol files for disassemble
    Note: SysReveal needs dbghelp.dll (A Microsoft dynamic link library) to enable this feature, if SysReveal could not startup, please download dbghelp here and extract to your SysReveal directory.
  2. +Support asm code modification
    Unlock memory first, then press spacebar to modify the asm code. Note: it is dangerous to write to memory directly via SysReveal, it might cause process crash, even BSOD, please be careful when proceeding.
  3. *Optimize the startup speed
  4. *Minor bugs fix of memory view dialog

v1.0.0.10 (2010-01-04)

  1. +Real time memory editing, both ring 3 memory and ring 0 memory(Beta!). Note: it is dangerous to write to memory directly via SysReveal, it might cause process crash, even BSOD, please be careful when proceeding.
  2. *Fix bug: disassmble not correct. (Thanks to 71190838 from PEDIY)

v1.0.0.9 (2009-12-29)

  1. +Use VAD to detect hidden module
  2. +Add disasm entry code to most of the view
  3. +Add keyboard hook view
  4. *Fix some process view bugs in Windows 7
  5. *Fix driver bugs in VISTA SP1

v1.0.0.8 (2009-12-24)

  1. +在大部分窗口增加了数据导出的功能
  2. +ListCtrl增加了搜索功能(Ctrl+F)
  3. +驱动页面增加了查看完整内核内存的功能
  4. +驱动页面增加了指定区域转储的功能
  5. +内存查看窗口二进制视图增加了右键菜单
  6. +文件页面增加了被占用文件强制复制的功能
  7. +文件页面增加了简单快捷键(回车键和退格键)。
  8. +注册表页面增加了查看注册表引用功能
  9. +驱动增加了文件强制读取的功能
  10. +增加了英语支持
  11. *修正了几个可能导致驱动CRASH的问题
  12. *修正了ListCtrl显示不正确的问题
  13. *修正了内存查看窗口搜索结果不正确的问题
  14. *修正了驱动页面刷新导致死循环的问题
  15. *修正了文件页面右键查看时可能会CRASH的问题
  16. *修正了状态栏显示不正确的问题
  17. *修正了驱动文件厂商可能无法显示的问题

v1.0.0.7 (2009-10-16)

  1. +增加了文件句柄查询和文件搜索功能
  2. *修改了广受诟病的文件管理部分
  3. *修正了枚举文件导致CRASH的问题
  4. *修改了ListCtrl刷新的问题
  5. +增加了ListCtrl结果导出到HTML文件的功能

v1.0.0.6 (2009-09-29)

1. 增加了DPC timer,System thread, Flt minifilter, registry callback的枚举。
2. Fix bug: crash when running driver hook detection.

v1.0.0.3 (2009-09-25)

第一个公开发布的版本,尚不稳定,发布于看雪论坛

1. 增加了Ring 0内存的查看,反汇编和转储。
2. 增加了Windows钩子的查看,可自动区分全局钩子和局部钩子。
3. 内核部分修改了部分数据在Windows 7下显示不正常的问题。

开始开发(2009-06-05)

Niucool建立SysReveal工程,开始代码开发。

:,

60 Comments for this entry

  • xyz
    March 3rd, 2010 on 16:13

    1.此工具是否可以侦测EXE 注入进程的木马.
    目前的工具好像都只能侦测dll 注入,
    对于EXE 直接注入的却没办法.
    希望版主观注这问题.

    2.工具打开后,第二次就无法打开了
    出现 Unable to load driver file!

    os:winxp sp3 cht

    niucool Reply:
    March 4th, 2010 at 11:40

    1. 您所说EXE直接注入具体是什么含义呢?如果是注入远程线程的话,通过进程窗口的查看线程,能够找到远程线程。如果是指EXE直接覆盖进程的代码,则没有直接方法能够看到,需要查看进程的内存空间以及反汇编才可以,总之是比较麻烦的。我也不太清楚有什么方便的检测办法,如有请告知。
    2. 在sysreveal进程被强制结束的时候偶尔会出现无法打开,再次重试就好了,如果你那出现这种情况很频繁,那么很可能是我卸载驱动的时候有问题,请进一步告知我详细信息。

  • xyz
    March 8th, 2010 on 18:37

    给您一个样本分析.
    http://www.box.net/shared/7sjnhbaag8
    password:virus

    1.请问如何在未知此木马的注入启动方式,
    来手动查找此注入的木马进程?
    如何得知已经被注入.
    2.sysreveal进程在正常关闭下,之后就无法打开了.
    出现 Unable to load driver file!

    我的系统是繁体win xp pro sp3 补丁全上
    3.可以考虑在启动项目检查部份.验证签名.隐藏通过的微软签名.

    niucool Reply:
    March 10th, 2010 at 16:11

    我简单看了下这个病毒,似乎是在IE里面远程注入了N多线程,如果通过sysreveal仔细观察此进程可以看到:
    1.IE的主线程被暂停,且有N多其他线程 ;2.没有窗口

    2. 这个问题我会再查下
    3. 已经有此功能了,下个版本会进一步加强

    xyz Reply:
    March 10th, 2010 at 21:06

    问题是要如何知道N 多个进程是哪个文件 ?
    因为这样也顶多知道被注入..却不知道哪个病毒文件注入的.
    不知道版主有什么方法可以查

    niucool Reply:
    March 10th, 2010 at 21:48

    对于目前不加监控版本的sysreveal只能发现被注入,如果启用HIPS或者类似的监控软件应该能够在注入时发现病毒进程。
    这个病毒运行后,sysreveal中能清楚的看到多个病毒启动项,稍有经验就能很轻易的清除。
    另外由于你的信箱有问题,被我的插件自动判定成垃圾留言了,请改下。如方便可将正确信箱发邮件到我的信箱:epocsoft@gmail.com,我想请你帮忙查下第二次无法启动的问题。

  • www.yumi51.com
    March 27th, 2010 on 01:36

    希望制作支持windows 2008 R2的版本,r2只有64位的,目前基本没找到支持他的。

  • niucool
    March 27th, 2010 on 13:09

    现在貌似没有64位版本的rootkit吧,不过SysReveal确实有64位的版本,只是内部测试的console版本,会在32位版稳定以后的适当的时候发布。

  • qingshi163
    April 6th, 2010 on 12:09

    不错,顶!不过好像Sysinternals包里都有吧?
    而且Sysinternals中的软件打开360防护不会叫,运行你的这个软件必须要先关掉360才行

    niucool Reply:
    April 6th, 2010 at 12:31

    不知道你所说的sysinternals包里面都有是指什么?
    360有个所谓的“云”,我的驱动没有证书且不在它的白名单里面,而Sysinternals的工具都在它的白名单里面而已。
    SysReveal的驱动没有hook任何系统函数,竟然被报成病毒,真是没有天理。我试了试微点就不会报。

  • qingshi163
    April 6th, 2010 on 21:02

    http://technet.microsoft.com/en-us/sysinternals/default.aspx
    一堆系统级的工具,被microsoft收购了。像什么系统进程、线程信息,进程树,句柄,启动项,服务,驱动什么的都有

    niucool Reply:
    April 6th, 2010 at 22:40

    sysinternals的工具堪称经典,Mark Russinovich根本不是我等小辈能望其项背的,国内能达到他那种境界的估计是没有,当然也可能是我孤陋寡闻。
    但是sysreveal有自己的优势,sysreveal是要做成强大而且有特色的anti-rootkit工具,sysreveal在隐藏进程,隐藏驱动,隐藏文件和注册表的检测方面下了很大的精力,个人感觉功能还是蛮强大的。 具体您可以参考下第三方的测试结果: http://www.sysreveal.com/ntinternals-sysreveal-test/
    sysreveal即将发布的新的版本还会继续加强对rootkit检测的功能。希望您到时候再给我多提提意见。

  • qingshi163
    April 6th, 2010 on 21:06

    360报驱动加载和修改驱动/服务,还报了个木马 Trojan.win32.fcm.rgrk
    都是kmnife.sys这个文件出的

    niucool Reply:
    April 6th, 2010 at 22:49

    360的脑壳子进水了,它的病毒判断算法有问题,看看virustotal的查毒结果吧:
    http://www.virustotal.com/zh-cn/analisis/cd4dbad55c41029e91e43cc4285e8eca830595a89ecbe7018298fd61642a60c8-1270564915
    39家引擎只有symantec报个不知所云的Suspicious.Insight。如果你用过其他ark工具如xuetr,你会清楚360也会报其驱动有问题,只是后来被加到白名单而已。

  • qingshi163
    April 7th, 2010 on 12:10

    其他的驱动360会给出一个警告,告诉你有驱动要加载,可以选择允许或禁止。但是你的程序一运行360马上就给杀掉了,应该是误认为病毒了。

  • qingshi163
    April 7th, 2010 on 12:15

    最近对底层比较感兴趣,学习中~~
    膜拜LZ,不知SysReveal开不开放源码?

  • qingshi163
    April 7th, 2010 on 12:23

    哦,没有看到你的Q&A,支持LZ
    请问下HIVE regfile怎么导入会注册表?

    niucool Reply:
    April 7th, 2010 at 21:40

    没太理解你的意思, 是关于注册表的HIVE解析吗?网上有很多这方面的资料, 你可以搜索下,等我这个工具写的差不多了,我会花点时间把内部原理性的东西写点文章出来,现在实在是太忙了,开发进度已经是落后了,没时间做文字工作了。

    qingshi163 Reply:
    April 8th, 2010 at 08:11

    把得到的HIVE注册表文件导入回注册表,当然可以自己写先解析再导入回去,不是想找个现成的工具嘛。。。

    niucool Reply:
    April 8th, 2010 at 09:05

    调用RegLoadKey/RegRestoreKey好像就可以吧

  • qingshi163
    April 8th, 2010 on 09:38

    好的,谢谢

  • why
    April 9th, 2010 on 11:31

    C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\index.dat,0x13E0000,0x6AC000,
    C:\Documents and Settings\Administrator\Cookies\index.dat,0x1A90000,0×14000,
    C:\Documents and Settings\Administrator\Local Settings\History\History.IE5\index.dat,0x1AB0000,0×90000,
    C:\Documents and Settings\Administrator\IETldCache\index.dat,0x1DA0000,0x3C000,
    这些是什么意思?

    niucool Reply:
    April 9th, 2010 at 18:27

    是在模块列表里面显示出来的吗?貌似ie的临时文件相关的东东,这个信息是从内核读取的,你比对下process explorer的结果看看,如果不一致请告诉我。

    why Reply:
    April 12th, 2010 at 08:17

    我个人非常喜欢sysreveal,但希望sysreveal不会像qq等一样耍流氓,那就太可惜了

    niucool Reply:
    April 13th, 2010 at 21:26

    可能你误会我的意思了,所有sysreveal显示的信息是从内核里面读出来的,请相信sysreveal现在不是将来也绝不会是流氓软件。
    感谢你的夸奖,新版本的sysreveal仍在测试中,顺利的话本月会发布,新的功能绝对不会让大家失望。

  • why
    April 12th, 2010 on 08:15

    process explorer我没试过,但XueTr就没加载这些东西,其他进程(qq,迅雷除外)也没加载,请问sysreal加载这个有什么用呢?

    niucool Reply:
    April 13th, 2010 at 21:27

    Sysreveal加载那些文件和我调用了WININET API有关,在SysReveal启动时会检查新版本,这个操作我是调用WinInet的API实现的,那些与网络有关的文件应该是检查时被自动导入的.

  • john
    April 27th, 2010 on 10:46

    好啊,下一版本什么时候出来呢,支持sysreveal

    niucool Reply:
    April 27th, 2010 at 22:55

    呵呵,快了。改动实在是很多,测试和修改花了很多时间,还有一堆问题在改,争取月底之前发布。
    希望新的版本会让你觉得等待是值得的。

  • john
    April 29th, 2010 on 18:53

    谢谢你了,无偿开放这么好的工具。问个问题:大哥这个软件以后计划开源么?呵呵,好奇!

  • -NG-
    May 1st, 2010 on 10:06

    支持新版本 , 比以前改進了很多 , 剛剛看了一下 , 發現了兩個問題 .

    1.startups ->startups分頁下 all section 下一行 , 那一行看到的是亂碼 , (我用的是繁體字系統)
    2.File -> 某一分區文件不能顯示 , 我其中一個硬碟有6個分區 , 其中一個分區文件完全不能顯示

    OS = vista ultiamte 32bit trad-chinese

    niucool Reply:
    May 1st, 2010 at 23:29

    1. startup是因为我缺省的XML文件里面不小心带上了中文字符,因此在繁体下是乱码,下个版本会改正。
    2. 应该是文件系统解析不完全所致,文件系统解析是全新加入的功能,可能存在一些错误。请您使用以下文件进行测试,并将输出结果发送到我的信箱,谢谢:
    http://www.sysreveal.com/uploads/fslibtest.zip
    使用方法是: fslibtest.exe x:\,其中X为您不能显示分区的盘符,您也可以使用fslibtest.exe

    来测试任意目录的文件显示。

  • -NG-
    May 1st, 2010 on 10:11

    還有一個問題 , 就是 Process 下 , 我的機子安裝了 MD , 但process name 只能顯示 MalwareDefender.e , 哈哈 , 其實之前幾個版本已經出現這個問題 , 只是我忘記了告訴你

  • niucool
    May 1st, 2010 on 23:32

    这是正常的,因内核中此字段只保存18个字节。

  • beston
    May 2nd, 2010 on 15:35

    模块路径错误,在Windows7下,所有的进程模块路径都显示为在系统所在分区下,但只有盘符错误,子路径是正确的,导致无法使用“定位文件”、“在线扫毒”等功能。

    niucool Reply:
    May 2nd, 2010 at 16:08

    没完全搞清楚,能否抓个图我看下?

    beston Reply:
    May 2nd, 2010 at 16:54

    比如APMServer我装在C:\APMServ5.2.6下,系统盘是F盘
    这里显示F:\APMServ5.2.6

    beston Reply:
    May 2nd, 2010 at 16:55

    如图 http://i42.tinypic.com/2yo4yu9.jpg

    niucool Reply:
    May 2nd, 2010 at 23:26

    哦,确实是我的问题。请试用这个临时更新的版本:
    http://www.sysreveal.com/download/SysReveal-alpha.zip

  • beetea
    May 3rd, 2010 on 07:50

    1.0.0.54版运行到正在初始化引擎的时候蓝屏,试了5次都蓝屏,换回1.0.0.53版没问题

    问题签名:
    问题事件名称: BlueScreen
    OS 版本: 6.1.7600.2.0.0.256.1
    区域设置 ID: 2052

    有关该问题的其他信息:
    BCCode: 1000007f
    BCP1: 00000008
    BCP2: 801E4000
    BCP3: 00000000
    BCP4: 00000000
    OS Version: 6_1_7600
    Service Pack: 0_0
    Product: 256_1

    有助于描述该问题的文件:
    F:\Windows\Minidump50310-30685-01.dmp
    F:\Users\beston\AppData\Local\Temp\WER-48875-0.sysdata.xml

    WER-48875-0.sysdata.xml是这个驱动信息文件

    Windows 7 Ultimate Professional
    6.1.7600 0.0
    2052
    0
    1

    IDE 通道
    1002-4380
    atapi
    atapi.sys


    另外SYSTEM-OSNAME为什么显示Windows 7 Ultimate Professional?明明是Ultimate啊

    niucool Reply:
    May 4th, 2010 at 14:44

    我改好了,在我这测试了一下是可以的,请试用:
    http://www.sysreveal.com/download/SysReveal-alpha.zip

  • niucool
    May 3rd, 2010 on 14:18

    不好意思,确实是我新改出来的问题,晚上给你更新个新版本,那个alpha版本你就先不要用了。

    beetea Reply:
    May 4th, 2010 at 22:17

    感谢,试用了一下,第一次蓝屏,重启后在运行几次都没蓝屏

  • john
    May 7th, 2010 on 09:32

    你好,我发现个问题啊,用任务管理器看进程数为37,二用sysreveal显示进程数为30。

    niucool Reply:
    May 8th, 2010 at 10:44

    请问你使用的是什么操作系统,请再帮我检查下是sysreveal计算总数错误还是确实有进程被遗漏?

  • john
    May 8th, 2010 on 22:29

    windows xp sp3 ,用xt的正常,但sysreveal就有问题

    niucool Reply:
    May 11th, 2010 at 20:31

    好的,这个问题我会查下。

  • zhcn00
    June 1st, 2010 on 16:20

    希望把网络一栏里面解析的ip地址。 新增加个右键菜单项->转换成对应的地理位置 例如:122.85.139.218 就对应 浙江省 铁通

  • zhcn00
    June 1st, 2010 on 16:26

    我的意思是 直接将ip地址直接转换成 对应的地址。。 直接替换掉ip地址 或 在ip地址后面增加。。。 而不是在线查询。 那样不能同时查询多条

    niucool Reply:
    June 1st, 2010 at 18:32

    实现当然是可以啦,一种是带本地地址映射文件,一种是在线查询,没有人提过类似的需求,如有时间我会考虑加上。

  • zhcn00
    June 2nd, 2010 on 20:48

    希望作者考虑在驱动一栏中新增加一项显示驱动模块的加载顺序的项。。。。 最好在能增加一项显示 是那个用户进程释放或安装了那个驱动模块。。。 例如 作者的这个sysReaveal.exe的用户进程安装了kmnife.sys的内核模块. SysinternalsSuite 中的procexp.exe 的用户进程安装了procexp114.sys 的内核模块。。

    忘作者予以考虑

    niucool Reply:
    June 3rd, 2010 at 10:56

    1.加载顺序可以加上,在6月份的版本中我尽量安排加上
    2.关于哪个进程安装驱动,只有监控才能实现此功能,仅仅通过扫描没法实现此功能。

  • hh
    June 18th, 2010 on 13:04

    支持作者

  • john213
    June 19th, 2010 on 07:35

    博主,你好.我试用了最新版本1.0.0.61依然存在进程数目问题,我截图了,系统为xp sp3

    niucool Reply:
    June 19th, 2010 at 08:22

    哪里有图?上次你说这个问题我简单查了下没发现问题后来就没仔细查。

  • haha
    June 19th, 2010 on 23:43

    版本1.0.0.61
    Preferences–>Digtal Signed–>右下方三個按鈕都是????

    niucool Reply:
    June 20th, 2010 at 13:10

    哦,是的,英文版有问题,已经修正,请耐心等待下个版本

  • haha
    June 20th, 2010 on 18:23

    1.另外也發現System->SSDT及Shadow SSDT在Show hooks only致能下無法顯示(在狀態列下services been hooked有數量)
    2.在SSDT中有兩個Function name->NTConnectPort及NTResumeThread的模塊都是Unknown driver, 但在XueTr都可正常顯示模塊名,如
    NtConnectPort的Current address是0x8298EA40,但他會轉跳0xF26AB0F0 (0x8298EA40->0xF26AB0F0),然後就可對應真正的模塊C:\WINDOWS\system32\Drivers\SYMEVENT.SYS, 但SysReveal的Current address是0x8298EA40,模塊名是Unknown driver,所以應可再加強模塊判斷
    3.建議在Startups,Services,Fixables內,增加顯示Created Time及Modified Time, 就像Wsyscheck在Services一樣

  • niucool
    June 20th, 2010 on 18:56

    1. 在v1.0.0.62中已经修改
    2. 请把钩子函数的入口处的反汇编抓图给我看一下
    3. 可以,计划在最近的某个版本加入

  • haha
    June 21st, 2010 on 10:37

    我已上載,網址如下:
    http://www.xun6.com/file/074589c24/ssdt.rar.html

    niucool Reply:
    June 21st, 2010 at 13:53

    我看了你提供的包,里面的抓图对我没有用处,请给我病毒样本或者sysreveal反汇编被HOOK的NTConnectPort时的抓图。谢谢

  • kerihac
    June 21st, 2010 on 18:32

    Appinit_Dlls显示不正常
    附上xuetr和sysreveal的截图
    http://g.zhubajie.com/urllink.php?id=9331085dszj8k2g6yecym1r
    http://g.zhubajie.com/urllink.php?id=9331084gr4eydnpsgrnaa0x

    niucool Reply:
    June 21st, 2010 at 23:23

    感谢你提的问题,我查了下,确实是我的问题,原因是囫囵吞枣的用了CodeProject的CTokenEx类导致的,下个版本我会修复此BUG。

  • haha
    June 22nd, 2010 on 16:09

    1.NtConnectPort.jpg就是sysreveal反汇编被HOOK的NTConnectPort时的抓图。
    2.不知如何抓樣本, 他是防毒軟件, 名稱: Symantec Endpoint Protection, 版本: 11

    niucool Reply:
    June 22nd, 2010 at 16:44

    我又重新下载了您提供的链接ssdt.rar,里面并没有NtConnectPort.jpg

  • haha
    June 23rd, 2010 on 08:45

    Sorry, 傳錯了文件了, 已重傳, 請再重新下載:-<

    niucool Reply:
    June 23rd, 2010 at 09:14

    原来那个链接已经下载不了了,请发我信箱:
    epocsoft (at) gmail.com

  • haha
    June 23rd, 2010 on 12:25

    已e-mail了, 感謝!

    niucool Reply:
    June 23rd, 2010 at 13:09

    收到了,多谢。

  • samui
    July 6th, 2010 on 10:12

    在注册表权限方面还需要要加强,最好达到可以无视ACL的目的。望作者再接再厉!

    niucool Reply:
    July 7th, 2010 at 15:18

    注册表的读取通过底层文件解析不存在权限问题,修改和删除其实也已经做了处理,绝大多数权限问题应该可以正常处理,不过是RING3的,确实可以进一步加强。

  • Mjkorr008
    July 8th, 2010 on 17:13

    安全辅助工具也 需要加壳?
    怕;蓝屏 还是等 无壳的

    niucool Reply:
    July 8th, 2010 at 22:30

    晕倒,按照你的意思加壳=蓝屏?
    加壳的作用主要是压缩和防破解,这点概念都不清楚的话,你很多软件都不要用了。

  • hdlcpqs
    July 9th, 2010 on 23:38

    点刷新会造成CPU 100%
    1.0.0.65
    XP sp3

    niucool Reply:
    July 15th, 2010 at 09:14

    下个版本会改进,预计这月底或下月初发布。

  • hu_ai_zai
    July 15th, 2010 on 12:26

    360杀毒进程360rp.exe和360sd.exe的
    模块路径(有畸形) 基址 大小 文件厂商
    %C:\WINDOWS%\System32\ 0x7FF75000 0×1000
    %C:\WINDOWS%\System32\ 0x7FF76000 0×1000
    %C:\WINDOWS%\System32\ 0x7FF77000 0×1000
    %C:\WINDOWS%\System32\
    请查看!

    niucool Reply:
    July 15th, 2010 at 21:53

    好的,我会查下,如有其它问题欢迎留言。


  • July 23rd, 2010 on 09:23

    SysReveal有自我保护吗?

    niucool Reply:
    July 23rd, 2010 at 12:38

    为了稳定性,没有修改任何系统代码,没有挂系统钩子,所以也就没有自我保护,

  • wwek
    September 19th, 2010 on 17:32

    http://www.sysreveal.com 怎么被墙了。啊··
    ╮(╯▽╰)╭ ip段受什么影响了

    niucool Reply:
    September 20th, 2010 at 09:36

    应该没被墙吧,我这访问正常,倒是有人说访问速度很慢。

  • bottlebox
    September 20th, 2010 on 01:46

    很好用的工具,想请教两个问题,
    一、我用SysReveal查了好几个系统,包括XP,win2003,Win7,发现在自启动项中,都有这两个可疑项。
    1、DllDirectory,文件不存在,F:\WINDOWS\system32,,%SystemRoot%\system32,HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls
    2、ProviderOrder,文件不存在,RDPNP,LanmanWorkstation,WebClient,,RDPNP,LanmanWorkstation,WebClient,HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order
    我导出注册表比较了一下,应该和默认值是一致的,不知道是您软件的问题,还是我遇到了比较厉害的木马?
    二、在服务选项中,有不少类似如下的项目:
    dmadmin,Logical Disk Manager Administrative Service,Win32ShareProcess,Running,DemandStart,F:\WINDOWS\System32\Drivers\dmadmin.sys,,
    该服务文件dmadmin.sys显示是被删除了的,我在硬盘和注册表中都没找到这个dmadmin.sys文件,请问您的软件是从什么地方读出的这个文件名。这是正常的项目,还是可疑的项目。

    niucool Reply:
    September 20th, 2010 at 09:35

    感谢你使用SysReveal。
    关于第一个问题,不是你机器中病毒,而应该算是我程序的问题,因这些内容取出来以后没有处理。下个版本会处理一下。

    第二个问题,我是通过底层的注册表解析,从注册表读取的。你通过右键点击选择切换到注册表可以在我的注册表管理里面看到这项,具体是否可疑,你可同时打开系统的注册表,如果系统注册表里面看不到,就表示被隐藏,很可能是病毒。

    bottlebox Reply:
    September 20th, 2010 at 10:43

    多谢答复,
    对于第二个问题,我切换到sysreveal的注册中查看,也不能发现dmadmin.sys文件,
    它显示的ImagePath为%SystemRoot%\System32\dmadmin.exe /com
    类似的还有如
    Eventlog,Event Log,Win32ShareProcess,Running,AutoStart,G:\WINDOWS\System32\Drivers\Eventlog.sys,,
    注册表中显示ImagePaht为%SystemRoot%\system32\services.exe
    这是否会是软件的一个BUG

    niucool Reply:
    September 20th, 2010 at 12:58

    请看下注册表那个service下的Parameters->ServiceDll是否是SysReveal显示的值?

  • bottlebox
    September 20th, 2010 on 15:56

    dmadmin service下的Parameters下没有ServiceDll项。
    且还有的服务(显示.sys文件被删除但仍Running)连Service下的Parametersa项也没有。
    您的系统没有这些项吗?我的系统重装了几次(没重分区),查看了二台机子都有这些项。

    niucool Reply:
    September 21st, 2010 at 10:50

    我是WIN7的系统,没有这项,XP的我没试过。你那项也可能是你装了什么软件所致,我会在放假期间再检查一下我的代码。不排除可能是我代码的bug.

  • bottlebox
    September 22nd, 2010 on 00:17

    我在我的Win7里看了下。还是有几项运行的服务,在注册表中找不到.sys文件。可疑的有三项eventlog,ProtectedStorage,SamSs。
    形式如下:
    eventlog,@%SystemRoot%\system32\wevtsvc.dll,-200,Win32ShareProcess,Running,AutoStart,H:\Windows\System32\Drivers\eventlog.sys,,
    我猜软件bug的可能性要更大些,否则就是我遇上了一个引导时换内核的木马。

    niucool Reply:
    September 24th, 2010 at 20:45

    已经确认是我的BUG,原因是我对注册表服务项的解析不完善,下个版本会统一修改。

  • wwek
    October 6th, 2010 on 02:44

    2003 rc2 不知道怎么一运行 就cpu100%

    niucool Reply:
    October 7th, 2010 at 20:24

    启动时计算的东西比较多,会有CPU 100%的问题,应该过一会儿就好了。如果一直是100%,应该是我程序有问题。

  • E
    October 29th, 2010 on 15:29

    我在启动sysreveal时经常容易死机,鼠标不能动,只能强制重启。
    查看内存无法转到某个地址么???

    niucool Reply:
    October 29th, 2010 at 16:09

    启动时需要等待一会儿,目前性能方面确实存在些问题,后面的版本会继续改进。你可在配置里面将自动检查更新和自动检查数字签名给去了。
    查看内存转地址有两个方法:
    1. 在查看内存窗口右上角的输入框直接输入地址。
    2. 切换到反汇编视图然后双击反汇编指令里面的地址。

  • E
    October 31st, 2010 on 16:28

    不是卡,是死机了啊,鼠标不能移动,干嘛都没用了。
    进程实时刷新还是卡。
    输入地址点转到 点了没用啊。。

  • bottlebox
    November 15th, 2010 on 15:34

    我估计CPU占用过大是GDI+调用的问题。
    另外查了一下,现在有12个杀软在报sysreveal可疑了。我机子上的AVG老爱删除sysreveal,每次用都需要重解压,很麻烦。我想杀软的怀疑跟软件启动时联网查更新有很大关系,能否把更新更成手动的。

    niucool Reply:
    November 23rd, 2010 at 16:12

    选项里面有开关,可关闭联网检查升级。

  • zhz3721
    December 11th, 2010 on 21:48

    我一解压,我的杀毒软件就杀掉了,我的杀毒软件是Mcafee8.7a

    niucool Reply:
    December 17th, 2010 at 15:45

    Mcafee是误报,只能先把它给禁了。

Newer Comments »

Looking for something?

Use the form below to search the site:

Still not finding what you're looking for? Drop a comment on a post or contact us so we can take care of it!

Blogroll

A few highly recommended websites...

Archives

All entries, chronologically...