[分享]全新原创Anti-rootkit软件SysReveal，欢迎试用-编程技术-看雪-安全社区|安全招聘|kanxue.com

[分享]全新原创Anti-rootkit软件SysReveal，欢迎试用

发表于: 2009-9-25 16:50 61171

[分享]全新原创Anti-rootkit软件SysReveal，欢迎试用

cjim

2009-9-25 16:50

61171

查看主题内容

收藏・9

免费・7

支持

最新回复 (108) ◀ 1 2 3 4 5 ▶
cjim 雪币： 219 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	cjim 26 楼 suda拍的很好，我来说说我的观点啊。天下文章一大抄，注册表HIVE解析大家都是用ntreg，枚举文件发IRP也是正常的底层做法，我没觉得这有什么见不得人的，关键看谁做得更好。当然我做的不好挨拍也是应该的。文件和注册表是鸡肋，做的确实不大好，功能实际也不实用，我有想法把这个给去了，直接搞个搜索隐藏文件和注册表项的功能或许更实用。崩溃的问题是我测得少的原因，如果各位大侠能提供点更有用的线索，（dump文件或者出错地址）后面的版本应该能稳定很多。 2009-9-26 15:08 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 27 楼由于蓝屏可能造成的数据损伤，本人对驱动类物品只提供收费测试。 2009-9-26 15:29 0
boywhp 雪币： 1233 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 595 粉丝 26 关注私信	boywhp 12 28 楼楼上的很打击人啊，哈哈，不过我向来不喜欢做界面，只用命令行 2009-9-26 16:21 0
小爬雪币： 70 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 78 粉丝 0 关注私信	小爬 29 楼用下试试。。 2009-9-26 17:19 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 30 楼望大米share一下 xuetr.exe 2009-9-26 18:34 0
jerrylhj 雪币： 349 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 394 粉丝 0 关注私信	jerrylhj 31 楼不错，设计的挺漂亮的。 2009-9-27 21:04 0
CoolSnow 雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 30 粉丝 0 关注私信	CoolSnow 32 楼 XueTr的确很棒，胜过IceSword。功能很全 2009-9-28 10:56 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 33 楼开源，强烈要求开源， 2009-9-28 12:44 0
dge 雪币： 622 活跃值： (65) 能力值： ( LV13，RANK：290 ) 在线值：发帖 11 回帖 251 粉丝 3 关注私信	dge 6 34 楼支持，哈哈，挺好的，就是启动很慢。 2009-9-28 12:51 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 35 楼开源就更好了 2009-9-28 13:23 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 36 楼报告bug 注册表解析ROOT 软件卡死，无响应 2009-9-28 13:27 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 37 楼出了比叉踢好看点别的没叉踢好 2009-9-28 13:29 0
cjim 雪币： 219 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	cjim 38 楼榜样的力量是无穷的，要赶上他不容易啊，国庆前会出个v1.0.0.6，在内核部分加上了诸多功能，包括DPC TIMER枚举，线程枚举，文件系统Minifilter枚举，以及注册表回调的枚举。目前还在测试中。看着有点乱 2009-9-28 16:24 0
cjim 雪币： 219 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	cjim 39 楼感谢试用，注册表和文件测得很少，基本上是摆在那里做样子的。国庆后才有时间大改啦。 2009-9-28 16:26 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 40 楼让我想起一句话。。没有做不到的。。。只有想不到的。。 2009-9-28 17:26 0
madaxian 雪币： 246 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 216 粉丝 0 关注私信	madaxian 41 楼功能多不是rootkit的根本目的。最根本的是底层的，无法拦截的，隐蔽的。个人见解 2009-9-28 20:20 0
davidfoxhu 雪币： 2559 活跃值： (176) 能力值： ( LV5，RANK：60 ) 在线值：发帖 5 回帖 175 粉丝 0 关注私信	davidfoxhu 1 42 楼有些人就喜欢在哪儿高谈，就从来没见出过东西，你要是牛，就跟楼主一样，开发点好工具让大家用下！楼主真的很牛，要是开源就very good了，哈哈！！！！ 2009-9-28 20:59 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 43 楼驱动没有壳，没有花，没有CV，没有类，没有不能F5的函数~~ 多美好~ IDA+F5 近似源代码应用层用IRPMON看看每次使用的ioctrlcode接口，基本完事~ BTW:一个ARK用了太多系统的函数基本也就检查不出来什么了~ 提取一下驱动贴这里了~ sys.rar 上传的附件： sys.rar （18.16kb，77次下载） 2009-9-28 21:43 0
doking 雪币： 71 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 97 粉丝 0 关注私信	doking 44 楼个人觉得搞的更实用一点儿，用的人可能才多。 ps：楼上的太有闲了 2009-9-28 22:25 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 45 楼用了楼主的ark，错误N多。期待新版 2009-9-28 23:04 0
cjim 雪币： 219 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	cjim 46 楼呵呵，虽然不方便公开源代码，但是free的东西，我觉得也没必要对驱动做多少保护，再说现在也没闲工夫搞这个，真要是大家对我的驱动感兴趣了，说明这个工具还是有可取之处的。顺便说下，界面程序也就是用UPX压了一下，和没有加壳一样，不过比较大，反起来难度大点。 2009-9-28 23:11 0
cjim 雪币： 219 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	cjim 47 楼，其实界面细节的很多BUG我知道就是没来得及改，几位牛人说的crash问题，我修改了一下驱动，估摸着是改好了，还需要进一步验证。不知道你说的N多错误有哪些？文件和注册表那块就先别提了，做的很粗糙，sudami已经使劲拍过我，节后我会下点功夫搞好。 2009-9-28 23:15 0
dayed 雪币： 225 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 222 粉丝 1 关注私信	dayed 1 48 楼 win7 Driver hook bsod 2009-9-29 11:47 0
cjim 雪币： 219 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	cjim 49 楼由于这个问题报的人很多，我改了一下，自我感觉是改好了，还请各位大侠试试。重新打开Sysreveal会通知下载，或者请到www.sysreveal.com下载v1.0.0.6。另外在1.0.0.6中增加了DPC timer,System thread, Flt minifilter, registry callback的枚举,支持xp~win7。 2009-9-29 12:26 0
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 50 楼这么多人要求开源，其实真把src给你了也未必会认真看完盟主放的那个山寨版IceSword有几个人下载回去后认真看完了的？ 2009-9-29 13:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cjim

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (108) ◀ 1 2 3 4 5 ▶
cjim 雪币： 219 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	cjim 26 楼 suda拍的很好，我来说说我的观点啊。天下文章一大抄，注册表HIVE解析大家都是用ntreg，枚举文件发IRP也是正常的底层做法，我没觉得这有什么见不得人的，关键看谁做得更好。当然我做的不好挨拍也是应该的。文件和注册表是鸡肋，做的确实不大好，功能实际也不实用，我有想法把这个给去了，直接搞个搜索隐藏文件和注册表项的功能或许更实用。崩溃的问题是我测得少的原因，如果各位大侠能提供点更有用的线索，（dump文件或者出错地址）后面的版本应该能稳定很多。 2009-9-26 15:08 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 27 楼由于蓝屏可能造成的数据损伤，本人对驱动类物品只提供收费测试。 2009-9-26 15:29 0
boywhp 雪币： 1233 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 595 粉丝 26 关注私信	boywhp 12 28 楼楼上的很打击人啊，哈哈，不过我向来不喜欢做界面，只用命令行 2009-9-26 16:21 0
小爬雪币： 70 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 78 粉丝 0 关注私信	小爬 29 楼用下试试。。 2009-9-26 17:19 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 30 楼望大米share一下 xuetr.exe 2009-9-26 18:34 0
jerrylhj 雪币： 349 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 394 粉丝 0 关注私信	jerrylhj 31 楼不错，设计的挺漂亮的。 2009-9-27 21:04 0
CoolSnow 雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 30 粉丝 0 关注私信	CoolSnow 32 楼 XueTr的确很棒，胜过IceSword。功能很全 2009-9-28 10:56 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 33 楼开源，强烈要求开源， 2009-9-28 12:44 0
dge 雪币： 622 活跃值： (65) 能力值： ( LV13，RANK：290 ) 在线值：发帖 11 回帖 251 粉丝 3 关注私信	dge 6 34 楼支持，哈哈，挺好的，就是启动很慢。 2009-9-28 12:51 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 35 楼开源就更好了 2009-9-28 13:23 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 36 楼报告bug 注册表解析ROOT 软件卡死，无响应 2009-9-28 13:27 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 37 楼出了比叉踢好看点别的没叉踢好 2009-9-28 13:29 0
cjim 雪币： 219 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	cjim 38 楼榜样的力量是无穷的，要赶上他不容易啊，国庆前会出个v1.0.0.6，在内核部分加上了诸多功能，包括DPC TIMER枚举，线程枚举，文件系统Minifilter枚举，以及注册表回调的枚举。目前还在测试中。看着有点乱 2009-9-28 16:24 0
cjim 雪币： 219 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	cjim 39 楼感谢试用，注册表和文件测得很少，基本上是摆在那里做样子的。国庆后才有时间大改啦。 2009-9-28 16:26 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 40 楼让我想起一句话。。没有做不到的。。。只有想不到的。。 2009-9-28 17:26 0
madaxian 雪币： 246 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 216 粉丝 0 关注私信	madaxian 41 楼功能多不是rootkit的根本目的。最根本的是底层的，无法拦截的，隐蔽的。个人见解 2009-9-28 20:20 0
davidfoxhu 雪币： 2559 活跃值： (176) 能力值： ( LV5，RANK：60 ) 在线值：发帖 5 回帖 175 粉丝 0 关注私信	davidfoxhu 1 42 楼有些人就喜欢在哪儿高谈，就从来没见出过东西，你要是牛，就跟楼主一样，开发点好工具让大家用下！楼主真的很牛，要是开源就very good了，哈哈！！！！ 2009-9-28 20:59 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 43 楼驱动没有壳，没有花，没有CV，没有类，没有不能F5的函数~~ 多美好~ IDA+F5 近似源代码应用层用IRPMON看看每次使用的ioctrlcode接口，基本完事~ BTW:一个ARK用了太多系统的函数基本也就检查不出来什么了~ 提取一下驱动贴这里了~ sys.rar 上传的附件： sys.rar （18.16kb，77次下载） 2009-9-28 21:43 0
doking 雪币： 71 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 97 粉丝 0 关注私信	doking 44 楼个人觉得搞的更实用一点儿，用的人可能才多。 ps：楼上的太有闲了 2009-9-28 22:25 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 45 楼用了楼主的ark，错误N多。期待新版 2009-9-28 23:04 0
cjim 雪币： 219 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	cjim 46 楼呵呵，虽然不方便公开源代码，但是free的东西，我觉得也没必要对驱动做多少保护，再说现在也没闲工夫搞这个，真要是大家对我的驱动感兴趣了，说明这个工具还是有可取之处的。顺便说下，界面程序也就是用UPX压了一下，和没有加壳一样，不过比较大，反起来难度大点。 2009-9-28 23:11 0
cjim 雪币： 219 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	cjim 47 楼，其实界面细节的很多BUG我知道就是没来得及改，几位牛人说的crash问题，我修改了一下驱动，估摸着是改好了，还需要进一步验证。不知道你说的N多错误有哪些？文件和注册表那块就先别提了，做的很粗糙，sudami已经使劲拍过我，节后我会下点功夫搞好。 2009-9-28 23:15 0
dayed 雪币： 225 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 222 粉丝 1 关注私信	dayed 1 48 楼 win7 Driver hook bsod 2009-9-29 11:47 0
cjim 雪币： 219 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	cjim 49 楼由于这个问题报的人很多，我改了一下，自我感觉是改好了，还请各位大侠试试。重新打开Sysreveal会通知下载，或者请到www.sysreveal.com下载v1.0.0.6。另外在1.0.0.6中增加了DPC timer,System thread, Flt minifilter, registry callback的枚举,支持xp~win7。 2009-9-29 12:26 0
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 50 楼这么多人要求开源，其实真把src给你了也未必会认真看完盟主放的那个山寨版IceSword有几个人下载回去后认真看完了的？ 2009-9-29 13:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复