SysReveal是一個用于查看和分析Windows底層數(shù)據(jù)結(jié)構(gòu)的工具。功能類似于IceSword,RKU,以及XueTr，SysReveal的目的就是為了對系統(tǒng)進(jìn)行更深入的研究，學(xué)習(xí)rootkit技術(shù)，提高編程水平。目前最新的版本是v1.0.0.10。支持WINDOWS 2000 ~ WINDOWS 7的32位操作系統(tǒng)。
因?yàn)槟壳坝泻芏嗟耐惞ぞ?，SysReveal才剛剛上路，SysReveal支持的比較有特色的功能是：
1. 友好的操作界面
2. 完全支持Windows 7
3. 支持實(shí)時的內(nèi)存查看和反匯編
4. 完備的功能 （當(dāng)然現(xiàn)在還差很遠(yuǎn)）
以下是SysReveal的功能列表：
進(jìn)程管理進(jìn)程管理是SysReveal的基本功能，使用SysReveal可以方便的進(jìn)行進(jìn)程管理，對進(jìn)程的模塊，線程和句柄進(jìn)行操作，SysReveal還支持對進(jìn)程內(nèi)存的二進(jìn)制數(shù)據(jù)顯示和反匯編代碼顯示，同時SysReveal采用了深度的進(jìn)程檢測，可以方便的發(fā)現(xiàn)被rootkit隱藏的進(jìn)程。
驅(qū)動管理SysReveal可以枚舉當(dāng)前系統(tǒng)正在運(yùn)行的驅(qū)動程序，通過深度驅(qū)動檢測，SysReveal可以檢測到被rootkit隱藏的驅(qū)動程序。查看驅(qū)動內(nèi)存時，同樣可以選擇二進(jìn)制視圖和反匯編視圖。
內(nèi)核數(shù)據(jù)查看SysReveal能夠方便的查看諸多系統(tǒng)的關(guān)鍵數(shù)據(jù)，包括：
SSDT
Shadow SSDT
IDT
System Notify
Windows hook
Driver hook
Object hook
FSD hook
文件管理器SysReveal通過底層驅(qū)動構(gòu)建IRP包來遍歷文件系統(tǒng)，從而可以檢測到被rootkit隱藏的文件或者目錄。

注冊表管理器SysReveal通過分析HIVE文件的方式來讀取系統(tǒng)注冊表，從而可以檢測到被rootkit隱藏的注冊表項(xiàng)。

注意：部分殺毒軟件會誤報(bào)病毒木馬，請大家謹(jǐn)慎下載。