010 Editor

https://www.sweetscape.com/download/010editor/

下载地址：

https://github.com/NationalSecurityAgency/ghidra/releases

IDA 交互式反汇编器专业版（Interactive Disassembler Professional）常称为 IDA Pro。

IDA 是一种递归下降反汇编器，是个逆向分析的神器之一，可以分析x86、x64、ARM、MIPS、Java、.NET等众多平台的程序代码，是安全分析人士不可缺少的利器！IDA是Hex-Rays公司的旗舰产品，公司位于比利时，能写出这种软件的人都是超级大牛。

https://hex-rays.com/ida-free

https://my.hex-rays.com/dashboard/download-center/downloads

下载地址：

https://www.softpedia.com/get/Programming/Packers-Crypters-Protectors/PEiD-updated.shtml

下载地址：

Releases · horsicq/DIE-engine (github.com)

x64dbg 是一款开源的、免费的、便携的Windows平台上的调试器。它是用来调试32位和64位程序的工具，非常适合逆向工程、软件调试和漏洞研究。以下是x64dbg的一些特点和使用场景：

特点：
用户界面：x32dbg拥有一个直观的用户界面，类似于OllyDbg，但提供了更多的功能和插件支持。
脚本支持：支持使用Python和Lua脚本，允许用户自动化调试任务。
插件系统：拥有强大的插件系统，用户可以安装和使用各种插件来扩展调试器的功能。
多语言支持：支持多种语言，使得非英语用户也能方便地使用。
模块和线程视图：提供了模块和线程的详细视图，方便用户在调试时进行跟踪和分析。
断点管理：支持多种类型的断点，包括硬件断点、条件断点等。
寄存器和内存查看：可以查看和修改CPU寄存器的值以及内存内容。
使用场景：

下载地址：

https://x64dbg.com/

Advanced Installer 是一款功能强大的安装包制作工具，它允许开发人员为 Windows 平台创建安装程序。以下是 Advanced Installer 的一些主要特点和用途：

主要特点：

1. 用户界面：提供直观的图形用户界面（GUI），简化了创建安装包的过程。
2. 支持多种格式：可以创建 MSI、EXE、MSM、APP-V 和其他格式的安装包。
3. 定制能力：允许用户自定义安装界面的外观和行为。
4. 功能丰富：支持多种安装任务，如文件复制、注册表操作、创建快捷方式、环境变量设置等。
5. 集成与自动化：可以与版本控制系统（如 Git）集成，支持命令行操作和自动化脚本。
6. 更新和维护：支持创建补丁和更新包，以便于软件维护。
7. 兼容性：确保安装包与不同的 Windows 版本兼容。
8. 扩展性：提供插件和扩展，以增强安装包的功能。

用途：

1. 软件开发：帮助软件开发者打包和分发他们的应用程序。
2. 企业部署：用于在企业环境中部署软件，支持静默安装和自定义部署选项。
3. 软件打包：为第三方软件或开源项目创建安装包。
4. 软件更新：创建更新包，以便于软件升级和维护。

版本和许可：

Advanced Installer 提供不同的版本，包括免费版和专业版。免费版可能有一些功能限制，而专业版则提供完整的功能集。许可通常基于年订阅模式，适用于个人、公司和小型企业。

使用步骤：

1. 设计：在 Advanced Installer 中设计安装包的结构和功能。
2. 构建：添加应用程序文件、设置安装逻辑和定义安装界面。
3. 测试：在虚拟环境中测试安装包以确保其正确运行。
4. 发布：生成最终的安装文件，并分发到用户或客户。

Advanced Installer 是一个强大的工具，适用于希望创建专业和可靠的 Windows 安装程序的开发者。

其他的一些流行的MSI制作工具及其特点：

1. WiX Toolset:

   • WiX（Windows Installer XML Toolset）是一个免费的、开源的工具集，用于创建Windows安装程序。
   • 它使用XML来描述安装程序的行为，因此需要对XML有一定的了解。
   • 提供了强大的功能和灵活性，适用于复杂的应用程序安装需求。

2. Advanced Installer:

   • Advanced Installer是一个商业化的安装程序创作工具，以其直观的用户界面而闻名。
   • 它支持创建MSI、App-V、ClickOnce等多种安装包格式。
   • 提供了一系列的高级功能，如补丁创建、升级管理、安装包重打包等。

3. InstallShield:

   • InstallShield是另一个广泛使用的商业化安装程序创作工具，由Revenera公司开发。
   • 它提供了丰富的功能和模板，简化了安装程序的开发过程。
   • 支持多种安装包格式，并与Visual Studio等开发环境紧密集成。

4. NSIS (Nullsoft Scriptable Install System):

   • NSIS是一个轻量级的、开源的脚本驱动的安装程序系统。
   • 它体积小，速度快，适用于不需要复杂功能的安装程序。
   • 使用脚本语言编写安装逻辑，适合有一定编程基础的工程师使用。

5. Inno Setup:

   • Inno Setup是一个免费的开源安装程序制作工具，以其简洁和高效著称。
   • 它使用脚本来定义安装行为，语法相对简单易懂。
   • 支持基本到高级的安装程序功能，适用于大多数应用程序的安装需求。

Sysinternals Suite 是由微软发布的一套非常强大的免费工具程序集，它包含了一系列用于Windows系统故障诊断、优化和管理的实用工具。这个套件原本是由Winternals公司开发的，旨在解决工程师在日常工作中遇到的各种问题。Sysinternals Suite 一共包括74个Windows工具。

其中一些比较著名的工具包括：

1. Process Explorer：用于查看进程的详细信息，包括CPU、GPU、IO、线程、句柄、内存等。

2. AutoRuns：用于管理Windows启动程序，可以显示系统启动或登录时自动启动的项目和配置。

3. Process Monitor：用于监控文件系统、注册表、网络和进程活动，帮助诊断系统问题。

此外，Sysinternals Suite 还包括其他多种工具，如 AccessChk、AccessEnum、AdExplorer 等，这些工具涵盖了从安全、系统管理到性能优化等多个方面。

Sysinternals Suite 可以从微软的官方网站下载，也可以通过Microsoft Store进行安装和更新。

Sysinternals 实用工具 – Sysinternals | Microsoft Learn

Sysinternals 工具 – Roberto’s Computer Security (wordpress.com)

卷影复制服务（Volume Shadow Copy Service，简称VSS）是微软在Windows Server 2003中引入的一项技术，用于在应用程序运行时备份数据。这项服务主要解决了以下几个问题：

1. 当生成数据的应用程序仍在运行时，通常需要备份数据。这时，某些数据文件可能处于打开状态或不一致的状态。
2. 如果数据集很大，一次备份所有数据可能会很困难。
3. 正确执行备份和还原操作需要备份应用程序、业务线应用程序以及存储管理硬件和软件之间密切的协调。

VSS通过以下方式实现这些功能：

• VSS服务：作为Windows操作系统的一部分，确保其他组件能够正确地相互通信并协同工作。
• VSS请求程序：通常是备份应用程序，负责请求实际创建卷影副本（或进行其他高级操作，如导入或删除卷影副本）。

卷影副本（也称为快照或时间点副本）可以直接使用，或在以下情况下使用：

• 需要备份应用程序数据和系统状态信息，包括将数据存档到其他硬盘驱动器、磁带或其他可移动媒体。
• 执行数据挖掘。
• 执行磁盘到磁盘备份。
• 需要从数据丢失的情况中快速恢复正常，将数据恢复到原始逻辑单元号（LUN）或全新的LUN（替换出现故障的原始LUN）。

在Windows 11/10中，卷影复制服务由VSSVC.exe进程实现，它不是一直运行，而是在特定事件触发时创建整个硬盘的副本。这项服务对于备份和恢复目的非常有用

卷影复制服务（Volume Shadow Copy Service, VSS）的应用实例可以从不同的场景进行说明：

1. 个人用户备份和恢复

假设一个个人用户正在编辑一个重要的文档，并且在编辑过程中，电脑突然出现故障或者文档被意外修改。如果没有备份，用户可能会丢失大量工作。使用VSS，用户可以：

• 备份：在文档编辑之前或期间，VSS可以创建一个卷影副本。这个副本包含了文档在特定时间点的状态，即使文档正在被编辑。
• 恢复：如果原始文档损坏或被错误修改，用户可以使用VSS提供的卷影副本将文档恢复到之前的状态。

2. 企业级数据保护

在大型企业中，数据库和重要文件需要定期备份，同时这些文件可能在持续被更新。

• 数据库备份：企业可以使用VSS来创建数据库的卷影副本，这样即使在数据库正在被使用时，也可以进行备份，确保数据的一致性。
• 点对点恢复：如果发生数据损坏或错误更新，企业可以利用VSS提供的卷影副本将整个数据库恢复到错误发生前的状态。

3. 系统状态恢复

在系统崩溃或需要回滚到之前状态的情况下，VSS可以帮助：

• 系统备份：在系统稳定运行时，VSS可以创建系统状态的卷影副本。
• 恢复操作：如果系统更新失败或受到恶意软件攻击，可以使用VSS的卷影副本将系统恢复到之前的状态，从而减少停机时间和数据丢失。

4. 软件开发和测试

软件开发过程中，可能需要在不同版本之间切换或需要恢复到之前的代码状态。

• 版本控制：使用VSS，开发人员可以在关键开发阶段创建代码库的卷影副本，这样在后续的开发中如果出现问题，可以快速恢复到这些关键点。
• 测试恢复：在进行系统测试时，如果测试导致系统不稳定，可以使用VSS的卷影副本快速恢复测试环境。

这些例子展示了VSS在实际应用中的灵活性和重要性，特别是在数据保护和恢复方面。

卷影复制服务（VSSVC.exe）通常在以下特定事件或情况下被触发以创建硬盘的副本：

1. 备份操作：当用户或系统启动一个备份任务时，VSS会被触发以创建卷影副本，确保备份的数据是一致的。
2. 系统还原点创建：在Windows操作系统中，当用户创建一个系统还原点或系统自动创建还原点时，VSS会创建一个卷影副本。
3. 应用程序请求：某些应用程序，特别是数据库管理系统（如Microsoft SQL Server）在执行特定操作（如数据库备份）时会请求VSS服务来创建卷影副本。
4. 非一致性数据备份：当需要备份正在使用中的数据，例如正在编辑的文件或正在运行的数据库，VSS可以确保这些数据在备份时处于一致状态。
5. 应用程序安装或卸载：某些应用程序在安装或卸载过程中可能会使用VSS来创建卷影副本，以便在操作失败时可以恢复到之前的状态。
6. 系统更新：在安装重要系统更新或Windows更新之前，系统可能会创建一个卷影副本，以便在更新失败时可以回滚更改。
7. 硬件或驱动程序更改：在安装或更新硬件驱动程序之前，VSS可能会被触发以创建卷影副本，确保系统稳定性。
8. 第三方软件请求：一些第三方备份或系统管理软件可能会在执行特定任务时调用VSS服务。
9. 计划任务：如果系统设置有计划的任务来定期创建卷影副本，那么这些任务会在预定的时间触发VSS。

需要注意的是，VSSVC.exe进程通常在需要时自动启动，并在创建卷影副本后可能自动停止，以节省系统资源。用户也可以通过命令行工具或Windows管理工具手动触发VSS服务来创建卷影副本。

What is VSS or Volume Shadow Copy Service in Windows 11/10 (thewindowsclub.com)