[讨论]做逆向鸭梨太大
呵呵，谢谢兄弟提醒。
那个东西对公司没啥意义。。。
我还在逆，逆好了跟坛上的兄弟交流下。。。

[讨论]做逆向鸭梨太大
add some content

[求助]为何要hook KeUserModeCallback?
可能是我代码有点问题，调整一下，使用SetWindowsHook可以命中KeUserModeCallback了。

[求助]为何要hook KeUserModeCallback?
WH_CBT
代码如下：

[求助]为何要hook KeUserModeCallback?
我用SetWindowsHook注入dll，没有命中KeUserModeCallback的Hook。。。

[求助]360SelfProtection.sys无法使用Driver Monitor加载
谢谢大米的指点。。。
又学了一招。。。

[原创]从零开始的反反调试日志
很好的帖子。
请教下，
1. OD附加调试失败，楼主是怎么确定是DebugActiveProcess这个API有问题，还是其他API有问题？
   是跟踪出来的，还是凭经验自己猜测DebugActiveProcess，然后在该API上下断点得到的？
2. 怎样得出OD附加失败的运行路径的？
   即：当楼主了解到是DebugActiveProcess问题时，在DebugActiveProcess上下断点。
   虚拟机中用OD附加调试游戏时，会命中该断点，怎样确定当前是哪个进程调用的DebugActiveProcess?还 是说，只有OD会调用DebugActiveProcess?
    若只有OD调DebugActiveProcess，接下来应该在本机Windbg中单步即可确定调用路径了。。。
3. 楼主是怎样利用IDA 分析dump文件的？

4. 想看一下楼主切换调试状态到非调试状态部分的代码。。。

[原创]从零开始的反反调试日志

学习了，感谢楼主分享

[翻译]Windows XP中的向量化异常处理
竟然还有这种Detour API的方法。。。。
我更伤心。。。
到现在才发现。。。。

[原创]PhantOm 驱动浅析
好贴，学习！
hook NtYieldExecution是因为用户程序可以通过NtYieldExecution进行debugger检测。
NtYieldExecution作用：当前线程放弃剩余时间，让给其他线程执行。如果没有其他准备好的线程，该函数返回false；如果有，返回true。
当前线程如果被调试，那么调试器线程若处于单步状态，随时等待继续运行，则被调试线程执行NtYieldExecution时，调试器线程会恢复执行。
此时NtYieldExecution返回true。该线程则认为自身被调试了。否则认为没有被调试

[原创]Ring3层Native API hook 的实现
detour可以hook native api

[讨论]Win7下怎样获取Trustedinstaller的令牌启动程序
这个问题我也很困扰。。。TrustedInstaller。。。
但是有一点好像不对，事实上管理员是有写注册表的权限的。。。
你使用Admin身份登录后，安装时要以管理员身份运行，这样可以写注册表。
我试的结果是这样的

[求助]由cmd运行regedit和程序调用ShellExecute的区别
同感。。哈哈。。

[求助]由cmd运行regedit和程序调用ShellExecute的区别
理论上好像没啥不同。。。不过直接在注册表编辑器中进行导入，不会被监控；如果你调用ShellExecute()就会被监控了。。。