SYSREVEAL

SysReveal使用说明(草稿)

by on Jun.22, 2010, under SysReveal, Tutorials

此使用说明基于SysReveal v1.0.0.63,后续版本还会陆续进行更新。

SysReveal概述

功能简介

SysReveal是一个适合高级用户使用的系统扫描和病毒检测工具。SysReveal提供诸多强有力的功能来检查系统中可能存在的威胁,辅助用户进行病毒检测和系统修复。SysReveal的主要功能包括系统进程管理,系统驱动管理,内核信息管理,网络连接管理,系统启动管理,文件管理,注册表管理。所有这些功能都是通过系统的底层接口实现,从而有效的防止病毒以及ROOTKIT通过各种方式进行隐藏和保护。

运行环境

SysReveal可在以下32位操作系统环境下正常运行:

  • Windows XP
  • Windows Server 2003
  • Vista
  • Windows 7
  • Windows Server 2008

SysReveal不支持以下操作系统:

  • Windows 95/98/ME
  • Windows 2000
  • 所有64位操作系统


SysReveal的使用

软件安装

SysReveal的最新版本下载地址是:

http://www.sysreveal.com/download/SysReveal.zip

请将下载的压缩包解压到任意目录即可。SysReveal为绿色软件,无需安装即可使用。

 

软件使用方法

注意:由于SysReveal采用底层技术进行病毒检测和系统管理,因此运行时需要您以管理员的身份运行。

界面布局

image

各个操作界面的功能有所不同,但是大体可以分为这样几个区域:

  1. 工具条
  2. 快捷按钮
  3. 功能显示区
  4. 状态栏

工具条显示SysReveal主要的功能按钮,目前包括如下功能:

  • 进程。 进程及其内存,模块,句柄,线程,窗口等的显示和管理。
  • 驱动。 当前系统驱动程序的显示和管理。
  • 内核。 各种内核信息的显示和管理。包括MBR HOOK, SSDT HOOK, SHADOW SSDT HOOK, IDT HOOK, DRIVER HOOK, FSD HOOK, KEYBOARD HOOK, REGISTRY HOOK等。
  • 网络。 当前网络连接状态显示和管理。
  • 启动。 系统启动项,服务项以及关键注册表项的显示和管理。
  • 文件。 文件系统的显示和管理。
  • 注册表。 注册表的显示和管理。
  • 选项。 SysReveal的配置项。
  • 关于。 SysReveal的版本信息。

快捷按钮提供常用的功能操作。

功能显示区随界面不同而有所不同,在所有的功能显示区都可以按鼠标右键显示上下文菜单,然后进行操作。

状态栏显示功能显示区的相关信息和当前运行状态信息。

列表显示框操作说明

列表显示框(List Control)是SysReveal的核心组件,上面进程显示界面中进程显示和模块显示都是采用列表显示框显示。所有的列表显示框都具有如下功能:

  1. 列排序功能。左键点击标题栏即可排序,点第一次为升序排列,再点第二次为降序排列,以此类推。
  2. 显示列可定制。在标题栏点鼠标右键可自由选择需要显示的列。
  3. 配置信息保存。SysReveal自动保存您操作的列表框的列信息(包括是否显示,宽度,是否排序等)
  4. 上下文菜单。在列表显示框中可以点鼠标右键呼出上下文菜单。
  5. 列信息复制。选中一行或者多行后,在上下文菜单中点复制可以复制所有列或者单个列信息到剪贴板。
  6. 导出到文件。在上下文菜单中选择导出到文件可以将列表显示框里的内容导出到HTML文件。
  7. 搜索功能。在列表显示框里按快捷键Ctrl+F,可搜索列表显示框里的内容。按F3是搜索下一个,按Shift+F3是搜索上一个。

image

常用图标说明

先来说说SysReveal最常用的一些图标,SysReveal提供友好的界面来帮助用户分辨当前系统中运行文件的类型。这些图标的具体含义如下:

  • good_ms - 副本 微软的有数字签名文件
  • good - 副本 非微软的有数字签名文件
  • good_2 - 副本 可信任的文件
  • suspicious_1 无法识别的可疑文件
  • bad 病毒文件
  • cross  文件不存在或者无法访问

 

进程界面使用说明

SysReveal通过底层驱动实现进程的枚举,进程模块的枚举,进程句柄的枚举,可有效检测到被病毒或者ROOTKIT隐藏的病毒进程或者模块。同时通过SysReveal可以轻松结束那些无法通过正常方式结束的进程。

进程颜色含义

  • 黑色表示微软进程
  • 蓝色表示非微软进程,但是有数字签名,或者被用户设置为可信程序
  • 红色表示非微软进程
  • 粉红色表示虽然进程是微软进程或有数字签名,但模块中有非可信的模块
  • 灰色表示此进程被隐藏

 

进程内存操作

点击查看内存可以查看进程的内存情况

image 

二进制视图指以二进制方式查看内存

反汇编视图指以反汇编方式查看内存

锁定内存。缺省情况下为了减少误操作,内存内容是只读的,只有主动点击锁定内存按钮解锁内存,才能对内存进行修改,二进制视图下可直接修改,反汇编视图下点击空格键,然后在弹出的汇编窗口中输入汇编代码进行修改。

image

查找二进制数据

image

查找文本。自动查找进程内的文本。

image

(待续…)

:,

Comments are closed.

Looking for something?

Use the form below to search the site:

Still not finding what you're looking for? Drop a comment on a post or contact us so we can take care of it!

Blogroll

A few highly recommended websites...

Archives

All entries, chronologically...