SysReveal通过底层驱动构建IRP包来遍历文件系统，从而可以检测到被rootkit隐藏的文件或者目录。
　　SysReveal通过分析HIVE文件的方式来读取系统注册表，从而可以检测到被rootkit隐藏的注册表项。

建议瑞星参考


增强反rootkit能力

结合 读取文件系统ntfs 或fat等等 和 物理磁盘解析


效果更好

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; SE 2.X MetaSr 1.0