首页
社区
课程
招聘
[分享]全新原创Anti-rootkit软件SysReveal,欢迎试用
发表于: 2009-9-25 16:50 61171

[分享]全新原创Anti-rootkit软件SysReveal,欢迎试用

2009-9-25 16:50
61171
收藏
免费 7
支持
分享
最新回复 (108)
雪    币: 219
活跃值: (50)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
26
suda拍的很好,我来说说我的观点啊。
天下文章一大抄,注册表HIVE解析大家都是用ntreg,枚举文件发IRP也是正常的底层做法,我没觉得这有什么见不得人的,关键看谁做得更好。当然我做的不好挨拍也是应该的。
文件和注册表是鸡肋,做的确实不大好,功能实际也不实用,我有想法把这个给去了,直接搞个搜索隐藏文件和注册表项的功能或许更实用。
崩溃的问题是我测得少的原因,如果各位大侠能提供点更有用的线索,(dump文件或者出错地址)后面的版本应该能稳定很多。
2009-9-26 15:08
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
27
由于蓝屏可能造成的数据损伤,本人对驱动类物品只提供收费测试。
2009-9-26 15:29
0
雪    币: 1233
活跃值: (907)
能力值: ( LV12,RANK:750 )
在线值:
发帖
回帖
粉丝
28
楼上的很打击人啊,哈哈,不过我向来不喜欢做界面,只用命令行
2009-9-26 16:21
0
雪    币: 70
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
29
用下试试。。
2009-9-26 17:19
0
雪    币: 796
活跃值: (370)
能力值: ( LV9,RANK:380 )
在线值:
发帖
回帖
粉丝
30
望大米share一下 xuetr.exe   
2009-9-26 18:34
0
雪    币: 349
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
31
不错,设计的挺漂亮的。
2009-9-27 21:04
0
雪    币: 17
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
32
XueTr的确很棒,胜过IceSword。功能很全
2009-9-28 10:56
0
雪    币: 773
活跃值: (442)
能力值: ( LV9,RANK:200 )
在线值:
发帖
回帖
粉丝
33
开源,强烈要求开源 ,
2009-9-28 12:44
0
雪    币: 622
活跃值: (65)
能力值: ( LV13,RANK:290 )
在线值:
发帖
回帖
粉丝
34
支持,哈哈,挺好的,就是启动很慢。
2009-9-28 12:51
0
雪    币: 170
活跃值: (90)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
35
开源就更好了
2009-9-28 13:23
0
雪    币: 170
活跃值: (90)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
36
报告bug 注册表解析ROOT 软件卡死,无响应
2009-9-28 13:27
0
雪    币: 170
活跃值: (90)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
37
出了比叉踢好看点 别的没叉踢好
2009-9-28 13:29
0
雪    币: 219
活跃值: (50)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
38
榜样的力量是无穷的,要赶上他不容易啊,国庆前会出个v1.0.0.6,在内核部分加上了诸多功能,包括DPC TIMER枚举,线程枚举,文件系统Minifilter枚举,以及注册表回调的枚举。目前还在测试中。

看着有点乱
2009-9-28 16:24
0
雪    币: 219
活跃值: (50)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
39
感谢试用,注册表和文件测得很少,基本上是摆在那里做样子的。国庆后才有时间大改啦。
2009-9-28 16:26
0
雪    币: 581
活跃值: (149)
能力值: ( LV12,RANK:600 )
在线值:
发帖
回帖
粉丝
40
让我想起一句话。。没有做不到的。。。只有想不到的。。
2009-9-28 17:26
0
雪    币: 246
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
41
功能多不是rootkit的根本目的。 最根本的是底层的,无法拦截的,隐蔽的。
个人见解
2009-9-28 20:20
0
雪    币: 2559
活跃值: (176)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
42
有些人就喜欢在哪儿高谈,就从来没见出过东西,你要是牛,就跟楼主一样,开发点好工具让大家用下!楼主真的很牛,要是开源就very good了,哈哈!!!!
2009-9-28 20:59
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
43
驱动没有壳,没有花,没有CV,没有类,没有不能F5的函数~~
多美好~
IDA+F5 近似 源代码
应用层用IRPMON看看每次使用的ioctrlcode接口,基本完事~

BTW:一个ARK用了太多系统的函数基本也就检查不出来什么了~

提取一下驱动贴这里了~
sys.rar
上传的附件:
2009-9-28 21:43
0
雪    币: 71
活跃值: (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
44
个人觉得搞的更实用一点儿,用的人可能才多。

ps:楼上的太有闲了
2009-9-28 22:25
0
雪    币: 284
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
45
用了楼主的ark,错误N多。期待新版
2009-9-28 23:04
0
雪    币: 219
活跃值: (50)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
46
呵呵,虽然不方便公开源代码,但是free的东西,我觉得也没必要对驱动做多少保护,再说现在也没闲工夫搞这个,真要是大家对我的驱动感兴趣了,说明这个工具还是有可取之处的。 顺便说下,界面程序也就是用UPX压了一下,和没有加壳一样,不过比较大,反起来难度大点。
2009-9-28 23:11
0
雪    币: 219
活跃值: (50)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
47
,其实界面细节的很多BUG我知道就是没来得及改,几位牛人说的crash问题,我修改了一下驱动,估摸着是改好了,还需要进一步验证。 不知道你说的N多错误有哪些? 文件和注册表那块就先别提了,做的很粗糙,sudami已经使劲拍过我,节后我会下点功夫搞好。
2009-9-28 23:15
0
雪    币: 225
活跃值: (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
48
win7 Driver hook bsod
2009-9-29 11:47
0
雪    币: 219
活跃值: (50)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
49
由于这个问题报的人很多,我改了一下,自我感觉是改好了,还请各位大侠试试。
重新打开Sysreveal会通知下载,或者请到www.sysreveal.com下载v1.0.0.6。
另外在1.0.0.6中增加了DPC timer,System thread, Flt minifilter, registry callback的枚举,支持xp~win7。
2009-9-29 12:26
0
雪    币: 210
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
50
这么多人要求开源,其实真把src给你了也未必会认真看完
盟主放的那个山寨版IceSword有几个人下载回去后认真看完了的?
2009-9-29 13:41
0
游客
登录 | 注册 方可回帖
返回
//