windbg

脸红ฅฅ*的思春期

免杀对抗—WinDbg查看Windows内存很久没有更新过了，今天抽空记录一下如何用WinDbg去查看Windows内存，这对于我们排查内存马是非常有帮助的。同时如果免杀想要精进，掌握查看、调试Windows内存或内核是必不可少的。

winDbg专有名词解释注意哈：这里不是让你们死机硬背的地方，这里没有你想象的高大上，如果你偶然看见了，请不要浪费时间，对你没用。但是如果你是因为指导来到这里，请直接搜索，查看你想要的东西！其它的东西真没有你认为的那般重要，别好奇去看。

如何下载dump(C++程序生成)文件所需要的pdb文件，包含自动下载和手动拼接下载在分析C++程序生成的崩溃转储(dump)文件时，PDB（Program Database）文件是至关重要的调试伙伴。没有正确的PDB文件，你看到的只是难以理解的内存地址，而不是有意义的函数名和变量名。

索迪迈科技

记一次 .NET 某中医药附属医院门诊系统崩溃分析前段时间有位训练营的学员找到我，说他们的软件在客户那边崩溃了，没找到是什么原因，比较着急，让我帮忙看下是怎么回事？毕竟我的学员是永久的免费dump分析，必须给他上一卦。

MinHook 对.NET底层的 SendMessage 拦截真实案例反思上一篇我们说到了 minhook 的一个简单使用，这一篇给大家分享一个 minhook 在 dump 分析中的实战，先看下面的线程栈。

使用Process Explorer、System Informer（Process Hacker）和Windbg工具排查软件高CPU占用问题目录1、问题现象2、使用Process Explorer和System Informer（该工具原先叫Process Hacker）查看占用CPU高的线程

【C++软件实战问题排查经验分享】UI界面卡顿 | CPU占用高 | GDI对象泄漏 | 线程堵塞系列问题排查总结目录1、UI界面卡顿问题排查2、软件CPU占用高问题排查3、UI界面显示异常（GDI对象泄漏导致窗口绘制异常）问题排查

获取Kernel32基地址32位在4G内存搜索有一定可行性，但是处理起来其实还是比较麻烦的，因为内存不可读会触发异常，需要对这些异常问题进行处理。