能力值:
( LV2,RANK:10 )
76 楼
昨天发布了v1.0.0.7,把文件浏览部分好好整了一下,现在文件浏览部分应该是个可用版本了。
不过注册表部分还没搞好,估计要到月底了。
有兴趣的朋友可以到http://www.sysreveal.com下载新版本,或者打开的你的老版本自动升级。
能力值:
( LV2,RANK:10 )
77 楼
这么多ark,我只敢用冰刃,当然还有很多大牛出的强作,久仰大名,不过没用过
有时候觉得,随着编程水平的提高,那些工具反而不敢用了,原因就是了解它的人知道它的危险性,作者自己都不想用。
我是做工控的,我写的程序控制的设备,我自己都不敢用,呵呵,因为我了解我的程序有很多不足,不怎么放心。当然这是心理上的,说实话,我的程序还是没出过大问题的
能力值:
( LV2,RANK:10 )
78 楼
为什么IDT不能恢复?
能力值:
( LV7,RANK:100 )
79 楼
其实吧 ark这东西,做做无非是想锻炼锻炼自己编程能力,真说能有什么用,其实也就那么回事,毕竟ark在明处,攻击者在暗处,一旦攻击者的代码加载,干掉谁也不是没可能的事情。再说了,你弄个ark,一般用户也看不懂,大多数人还是只会用卡巴杀杀毒,主动防御都用不好,更别说用ark 查查有啥ssdt hook了
首先觉得LZ做这个很不容易,只有真正写过类似工程的人才能体会吧,不像写个驱动Hook点函数那么容易。所以说“你这个跟XX方法一样,跟XX差远了”之类的话,未免有点打击人。
然后觉得兼容性稳定性其实是最重要的,充分测试还是必须得,这比多加更多的功能更重要。
最后还是支持楼主。
能力值:
( LV2,RANK:10 )
80 楼
还记得这个工具吗,我出国度了个假,休息了两个月,最近又陆续修改了一些BUG,把一些功能加上了,刚刚发布了v1.0.0.9,下载地址是:
http://www.sysreveal.com/?download=sysreveal
看看有没有你需要的:
v1.0.0.8
+在大部分窗口增加了数据导出的功能
+ListCtrl增加了搜索功能(Ctrl+F)
+驱动页面增加了查看完整内核内存的功能
+驱动页面增加了指定区域转储的功能
+内存查看窗口二进制视图增加了右键菜单
+文件页面增加了被占用文件强制复制的功能
+文件页面增加了简单快捷键(回车键和退格键)。
+注册表页面增加了查看注册表引用功能
+驱动增加了文件强制读取的功能
+增加了英语支持
*修正了几个可能导致驱动CRASH的问题
*修正了ListCtrl显示不正确的问题
*修正了内存查看窗口搜索结果不正确的问题
*修正了驱动页面刷新导致死循环的问题
*修正了文件页面右键查看时可能会CRASH的问题
*修正了状态栏显示不正确的问题
*修正了驱动文件厂商可能无法显示的问题
v1.0.0.9
+Use VAD to detect hidden module
+Add disasm entry code to most of the view
+Add keyboard hook view
*Fix some process view bugs in Windows 7
*Fix driver bugs in VISTA SP1
继续欢迎拍砖~!~
能力值:
( LV4,RANK:50 )
81 楼
内存反汇编功能,很多代码反出来都是???
能力值:
( LV2,RANK:10 )
82 楼
反汇编我用的是OLLYDBG作者提供的反汇编引擎,按理来说他的引擎是不会有问题的,代码反出来是???,原因可能是因为反的数据段,或者我内存读取有问题。如方便的话请抓张图我看下
能力值:
( LV2,RANK:10 )
83 楼
不错的东西,收藏了
能力值:
( LV3,RANK:20 )
84 楼
不知道把系统还原加进去好不好?
不知道能不能把界面开源了,我们都不会写界面
能力值:
( LV2,RANK:10 )
85 楼
SysReveal界面原型参考了emule,还有N多从codeproject搞过来的开源代码,只有核心代码是自己一行行写出来的。
推荐大家多上上CodeProject,里面有很多很好的代码和文章,说起做界面我也不擅长的,写的这个界面是东拼西凑出来的,本来想用Xtreme toolkit的,因为我感觉它的代码非常整洁清楚,界面更专业,后来想想还是算了,虽然自己搞着玩的,但是也不希望有一天因为用XX版被人指着鼻子骂。
能力值:
( LV9,RANK:380 )
86 楼
ARK,RK的这类东西,要奉信一个原则就是,即使自己失败了,也别搞得机器崩溃。。这个是底线吧。。
能力值:
( LV4,RANK:50 )
87 楼
用SysReveal反汇编后是这个样子.
用Ollydbg反汇编后是这个样子
上传的附件:
能力值:
( LV2,RANK:10 )
88 楼
[QUOTE=71190838;736353]用SysReveal反汇编后是这个样子.
用Ollydbg反汇编后是这个样子
[/QUOTE]
很感谢你的抓图,在2009年末的最后10分钟,我终于找到了问题所在,简言之是OllyDbg的disasm的符号数转换的问题,这个bug fix会在SysReveal的下个版本包含进去,进一步的描述我会在下个回帖中详述。
新年快乐!
能力值:
( LV2,RANK:10 )
89 楼
不好意思,问题还是出在我的身上,在disasm.h的34行已经明确表述了需要将char缺省设置成无符号型:
#if (char)0xFF!=255
#error Please set default char type to unsigned
#endif
我当时编译成Lib的时候,把这几行给注释了,同时也没有设置这项导致了反汇编的错误。
如果您遇到了类似的问题,请在项目设置(VS2005)里面,C/C++ -> Language -> Default Char Unsigned 设置成Yes
能力值:
( LV2,RANK:10 )
90 楼
别听她们的!我支持楼主在2010年将此ark发扬光大,如果一直会更新那就会有用。
能力值:
( LV2,RANK:10 )
91 楼
多谢了,希望大家能多提提意见,拍拍砖。写好软件不容易啊。
我自己计划里面还有几个重要功能没有实现,近期会把那些功能都搞完。
另外我还构思做点别的东西,写点教程,技术文章什么的,这些都会陆陆续续的做起来。
能力值:
( LV2,RANK:10 )
92 楼
注册表键值数据查看有问题,希望把这个功能给加上:
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4这个键里键值数据看不到啊,而IceSword就可以啊,楼主是不是要改进一下啊.
支持楼主,不象有些鸟人,就会高谈阔论,说你不行说他不行的,其实他自己也不怎么样......
能力值:
( LV2,RANK:10 )
93 楼
楼主我试用了你的东西了,支持你!
能力值:
( LV2,RANK:10 )
94 楼
是的,但是说起来容易做起来难,主要问题还是出在多个操作系统以及多个Service Pack的兼容问题上,实际上为了尽量稳定以及不和其他安全软件冲突,SysReveal没有HOOK任何系统函数。所有的ARK工具都采用Direct Kernel Object Manipulation来获取核心数据结构,而这些数据结构在不同系统下是存在差异的,因时间和精力有限,我只在我有的主流操作系统平台下测试SysReveal,不能保证在所有平台下运行正常。因此如有蓝屏问题,请把出问题的平台以及原因告诉我,有dump文件更好,我会尽量加以解决。
能力值:
( LV9,RANK:190 )
95 楼
guan zhu zhong~~
能力值:
( LV2,RANK:10 )
96 楼
v1.0.0.10 is released, 出的比较仓促,就改了两个问题:
1. 71190838 同学提的反汇编不正确的问题
2. 增加内存修改功能 (beta)
顺便说下关于进程管理的问题,目前SysReveal比较强的是隐藏进程和模块的枚举,但进程管理功能不算很强,进程的打开和结束等操作都在ring 3完成。
所以如果遇到打开和结束不了的情况,请先在内核部分检查是否挂了钩子,如挂了钩子请恢复后再进行操作。关于进程结束打算在有时间的时候增加若干强制结束的方法。
能力值:
( LV9,RANK:170 )
97 楼
从卡饭---一蓑烟雨-----官网-----看雪
一路支持你,跑好几个有影响的论坛!!!!
能力值:
( LV4,RANK:50 )
98 楼
刚下了个新版本,又测试了下反汇编,仍然是上次发的图那样显示???
作者没有实际测试的吗?
能力值:
( LV2,RANK:10 )
99 楼
支持下LZ, 说是很容易的, 但说和做是两码事.
能做成这样很不错了, 关注中...
能力值:
( LV2,RANK:10 )
100 楼
有些人就是喜欢装-bi, 没看到提什么有意义的建议.
尽在那瞎捣乱, 什么囧啊这啊那的抄袭的, 我说是我自己想出来的,你信不?
我说大家都被微软玩了, 因为这是Window的内核.
支持LZ, 发扬光大.