[原创]逆向工程工具集_2020年11月23日更新：V1.1
感谢分享!

[原创]穿透ghost种植木马
强人，思路不错

[原创][中秋快乐][逆向sekurlsa.dll_实现读内存获得开机密码]
强人，刚才试了下，成功读取密码

[求助]数学不好，请教书P59中的，“没下边”的中括号是什么意思？
绝对值符号吧？

[原创]test
首次离老大这么近，激动中

[分享]修改360最新杀毒软件2.0版[控制3602.0版杀毒软件的木马防火墙模块]
牛贴留名，坐等春节后mj上班开骂

[分享]鬼影变种运行后的样本(MBR)
我说的不是这个意思，现在杀软的耳目很多的，在论坛上公布的样本很快就会入样，这个病毒采用的技术很快就会失效。而如果不公布的话，利用的人的确少些，但是被杀的概率也小得多。

[分享]鬼影变种运行后的样本(MBR)
其实如果让这种"稳定的版本鬼影"直接暴露在看雪的大牛面前，它退出历史舞台的速度会更快，不用担心让人弄来做坏事

[讨论]DLL注入的方法
别想做坏事,全都会拦!

[原创]Pediy“瑞星”实现快速禁用
这年头,升级时不较验自身的杀软都是白痴,这都不明白,你太高估自己了

[原创]Pediy“瑞星”实现快速禁用
呵呵,你看懂了我的话的意思了么?你修改后改动了它的文件,下次升级时它当然会替换回来(除非是瑞星实在太垃圾),至于你不开自动升级功能,那么,你用瑞星做什么?

[原创]Pediy“瑞星”实现快速禁用
毫无价值,瑞星下次升级时就会替换回来

[原创][分享]暴力更改PE文件各节大小,重组PE,让PE文件重新运行
童鞋,木有附件啊

[求助]求一份用CreateProcess注入dll的代码
这里对做免杀的不欢迎，不过，只要楼主在看雪泡个十天半个月的，自然就会了

[原创]写了个驱动，隐藏cmd.exe进程（高手别看）
360是你进了ring0后就不管了，所以只要驱动加载成功，是可以起作用的，但加载时会拦截。

[分享]采用关闭句柄的方式去掉程序多开的限制
我以前在写枚举句柄程序的时候发现光用线程超时机制是防不住卡死的，这时整个程序都死掉了，应该在NtQueryObject之前先用NtQueryInformationFile查询一下，成功再NtQueryObject。这样再结合线程方式就可以了，但坏处是有些句柄查不出来

｛原创、求助｝实现dll注入、重开机下仍然有效！
还原创，以为楼主要发代码呢，鄙视标题党

[求助]这段代码如何实现的反调试？
2.4 FD_Heap_HeapFlags()
同样，调试器也会在堆中留下痕迹，你可以使用kernel32_GetProcessHeap()函数，如果你不希望使用api函数（以免暴露），则可以直接在PEB中寻找。同样的，使用HeapFlags和后面提到的ForceFlags来检测调试器也不是非常可靠，但却很常用。
这个域由一组标志组成，正常情况下，该值应为2。
  __asm
  {
    mov eax, fs:[30h]
    mov eax, [eax+18h] ;PEB.ProcessHeap
    mov eax, [eax+0ch] ;PEB.ProcessHeap.Flags
    cmp eax, 2
    jne rt_label
    jmp rf_label
  }

[原创]用户层关闭瑞星2009杀毒软件安全保护
估计mj说的是从1到1万，暴力dub