昨天发布了v1.0.0.7，把文件浏览部分好好整了一下，现在文件浏览部分应该是个可用版本了。


不过注册表部分还没搞好，估计要到月底了。
有兴趣的朋友可以到http://www.sysreveal.com下载新版本，或者打开的你的老版本自动升级。

这么多ark，我只敢用冰刃，当然还有很多大牛出的强作，久仰大名，不过没用过
有时候觉得，随着编程水平的提高，那些工具反而不敢用了，原因就是了解它的人知道它的危险性，作者自己都不想用。
我是做工控的，我写的程序控制的设备，我自己都不敢用，呵呵，因为我了解我的程序有很多不足，不怎么放心。当然这是心理上的，说实话，我的程序还是没出过大问题的

为什么IDT不能恢复？

其实吧 ark这东西，做做无非是想锻炼锻炼自己编程能力，真说能有什么用，其实也就那么回事，毕竟ark在明处，攻击者在暗处，一旦攻击者的代码加载，干掉谁也不是没可能的事情。再说了，你弄个ark，一般用户也看不懂，大多数人还是只会用卡巴杀杀毒，主动防御都用不好，更别说用ark 查查有啥ssdt hook了

首先觉得LZ做这个很不容易，只有真正写过类似工程的人才能体会吧，不像写个驱动Hook点函数那么容易。所以说“你这个跟XX方法一样，跟XX差远了”之类的话，未免有点打击人。

然后觉得兼容性稳定性其实是最重要的，充分测试还是必须得，这比多加更多的功能更重要。

最后还是支持楼主。

还记得这个工具吗，我出国度了个假，休息了两个月，最近又陆续修改了一些BUG，把一些功能加上了，刚刚发布了v1.0.0.9，下载地址是：
http://www.sysreveal.com/?download=sysreveal

看看有没有你需要的：
v1.0.0.8
+在大部分窗口增加了数据导出的功能
+ListCtrl增加了搜索功能(Ctrl+F)
+驱动页面增加了查看完整内核内存的功能
+驱动页面增加了指定区域转储的功能
+内存查看窗口二进制视图增加了右键菜单
+文件页面增加了被占用文件强制复制的功能
+文件页面增加了简单快捷键（回车键和退格键）。
+注册表页面增加了查看注册表引用功能
+驱动增加了文件强制读取的功能
+增加了英语支持
*修正了几个可能导致驱动CRASH的问题
*修正了ListCtrl显示不正确的问题
*修正了内存查看窗口搜索结果不正确的问题
*修正了驱动页面刷新导致死循环的问题
*修正了文件页面右键查看时可能会CRASH的问题
*修正了状态栏显示不正确的问题
*修正了驱动文件厂商可能无法显示的问题

v1.0.0.9
+Use VAD to detect hidden module
+Add disasm entry code to most of the view
+Add keyboard hook view
*Fix some process view bugs in Windows 7
*Fix driver bugs in VISTA SP1

继续欢迎拍砖~！~

内存反汇编功能，很多代码反出来都是???

反汇编我用的是OLLYDBG作者提供的反汇编引擎，按理来说他的引擎是不会有问题的，代码反出来是？？？，原因可能是因为反的数据段，或者我内存读取有问题。如方便的话请抓张图我看下

不错的东西，收藏了

不知道把系统还原加进去好不好？
不知道能不能把界面开源了，我们都不会写界面

SysReveal界面原型参考了emule，还有N多从codeproject搞过来的开源代码，只有核心代码是自己一行行写出来的。
推荐大家多上上CodeProject，里面有很多很好的代码和文章，说起做界面我也不擅长的，写的这个界面是东拼西凑出来的，本来想用Xtreme toolkit的，因为我感觉它的代码非常整洁清楚，界面更专业，后来想想还是算了，虽然自己搞着玩的，但是也不希望有一天因为用XX版被人指着鼻子骂。

ARK,RK的这类东西，要奉信一个原则就是，即使自己失败了，也别搞得机器崩溃。。这个是底线吧。。

用SysReveal反汇编后是这个样子.


用Ollydbg反汇编后是这个样子

上传的附件：

• 1.gif （42.43kb，152次下载）
• 2.gif （6.69kb，151次下载）

[QUOTE=71190838;736353]用SysReveal反汇编后是这个样子.


用Ollydbg反汇编后是这个样子
[/QUOTE]

很感谢你的抓图，在2009年末的最后10分钟，我终于找到了问题所在，简言之是OllyDbg的disasm的符号数转换的问题，这个bug fix会在SysReveal的下个版本包含进去，进一步的描述我会在下个回帖中详述。

新年快乐！

不好意思，问题还是出在我的身上，在disasm.h的34行已经明确表述了需要将char缺省设置成无符号型：
#if (char)0xFF!=255
#error Please set default char type to unsigned
#endif
我当时编译成Lib的时候，把这几行给注释了，同时也没有设置这项导致了反汇编的错误。
如果您遇到了类似的问题，请在项目设置(VS2005)里面，C/C++ -> Language -> Default Char Unsigned 设置成Yes

别听她们的！我支持楼主在2010年将此ark发扬光大，如果一直会更新那就会有用。

多谢了，希望大家能多提提意见，拍拍砖。写好软件不容易啊。
我自己计划里面还有几个重要功能没有实现，近期会把那些功能都搞完。
另外我还构思做点别的东西，写点教程，技术文章什么的，这些都会陆陆续续的做起来。

注册表键值数据查看有问题,希望把这个功能给加上:
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4这个键里键值数据看不到啊,而IceSword就可以啊,楼主是不是要改进一下啊.

支持楼主,不象有些鸟人,就会高谈阔论,说你不行说他不行的,其实他自己也不怎么样......

楼主我试用了你的东西了，支持你！

是的，但是说起来容易做起来难，主要问题还是出在多个操作系统以及多个Service Pack的兼容问题上，实际上为了尽量稳定以及不和其他安全软件冲突，SysReveal没有HOOK任何系统函数。所有的ARK工具都采用Direct Kernel Object Manipulation来获取核心数据结构，而这些数据结构在不同系统下是存在差异的，因时间和精力有限，我只在我有的主流操作系统平台下测试SysReveal，不能保证在所有平台下运行正常。因此如有蓝屏问题，请把出问题的平台以及原因告诉我，有dump文件更好，我会尽量加以解决。

guan zhu zhong~~

v1.0.0.10 is released, 出的比较仓促，就改了两个问题：
1. 71190838 同学提的反汇编不正确的问题
2. 增加内存修改功能 （beta）


顺便说下关于进程管理的问题，目前SysReveal比较强的是隐藏进程和模块的枚举，但进程管理功能不算很强，进程的打开和结束等操作都在ring 3完成。
所以如果遇到打开和结束不了的情况，请先在内核部分检查是否挂了钩子，如挂了钩子请恢复后再进行操作。关于进程结束打算在有时间的时候增加若干强制结束的方法。

从卡饭---一蓑烟雨-----官网-----看雪

一路支持你，跑好几个有影响的论坛！！！！

刚下了个新版本，又测试了下反汇编，仍然是上次发的图那样显示？？？
作者没有实际测试的吗？

支持下LZ, 说是很容易的, 但说和做是两码事.
能做成这样很不错了, 关注中...

有些人就是喜欢装-bi, 没看到提什么有意义的建议.
尽在那瞎捣乱, 什么囧啊这啊那的抄袭的, 我说是我自己想出来的,你信不?
我说大家都被微软玩了, 因为这是Window的内核.

支持LZ, 发扬光大.