SysReveal是一个用于查看和分析Windows底层数据结构的工具。功能类似于IceSword,RKU,以及XueTr，写SysReveal的目的就是为了对系统进行更深入的研究，学习rootkit技术，提高自己的编程水平。目前最新的版本是v1.0.0.3。支持WINDOWS 2000 ~ WINDOWS 7的32位操作系统。
因为目前有很多的同类工具，SysReveal才刚刚上路，但不想和他们完全雷同，SysReveal支持的比较有特色的功能是：
1. 友好的操作界面
2. 完全支持Windows 7
3. 支持实时的内存查看和反汇编
4. 完备的功能 （当然现在还差很远）



以下是SysReveal的功能列表：

进程管理进程管理是SysReveal的基本功能，使用SysReveal可以方便的进行进程管理，对进程的模块，线程和句柄进行操作，SysReveal还支持对进程内存的二进制数据显示和反汇编代码显示，同时SysReveal采用了深度的进程检测，可以方便的发现被rootkit隐藏的进程。
 
驱动管理SysReveal可以枚举当前系统正在运行的驱动程序，通过深度驱动检测，SysReveal可以检测到被rootkit隐藏的驱动程序。查看驱动内存时，同样可以选择二进制视图和反汇编视图。
 
内核数据查看SysReveal能够方便的查看诸多系统的关键数据，包括：
SSDT
Shadow SSDT
IDT
System Notify
Windows hook
Driver hook
Object hook
FSD hook
 
文件管理器SysReveal通过底层驱动构建IRP包来遍历文件系统，从而可以检测到被rootkit隐藏的文件或者目录。(部分完成)
 
注册表管理器SysReveal通过分析HIVE文件的方式来读取系统注册表，从而可以检测到被rootkit隐藏的注册表项。(部分完成)

详细介绍请访问： http://www.sysreveal.com/
下载地址是： http://www.sysreveal.com/?download=sysreveal

欢迎大家拍砖!

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)