简单功能列表如下:
1.进程管理。
进程管理是SysReveal的基本功能,使用SysReveal可以方便的对进程,进程的模块,线程,句柄和窗口进行操作,SysReveal还支持对进程内存的二进制数据显示和反汇编代码显示,同时SysReveal采用了深度的进程检测,可以方便的发现被rootkit隐藏的进程。
2.驱动管理。
SysReveal可以枚举和操作当前系统正在运行的驱动程序,通过深度驱动检测,SysReveal可以检测到被rootkit隐藏的驱动程序。
3.内核数据查看。
SysReveal能够方便的查看诸多系统的关键数据,包括:
SSDT、Shadow SSDT、IDT、System Notify、Windows hook 、Driver hook、Object hook 、FSD hook 、DPC、System thead、Dispatch hook、Attach devices等。
4. 网络信息查看。
通过SysReveal可以很容易的查看到目前程序的网络访问情况,SysReveal还可以对目标IP地址进行分析。
5. 文件管理器。
SysReveal通过底层驱动来遍历文件系统,从而可以检测到被rootkit隐藏的文件或者目录。
6. 注册表管理器。
SysReveal通过直接分析注册表文件可以检测到被rootkit隐藏的注册表项。
7. 注册表启动项管理。
SysReveal可以方便的浏览和管理注册表启动项以及所有的服务。
8. 自定义可信文件(白名单)。
从v1.0.0.51引入的非常重要的功能,目的是通过交互的方式来进一步排查可疑文件,辅助病毒检测。
