在这篇文章中，我将向读者分享一些WinDbg脚本，它们在逆向采用了反调试技术的恶意软件的时候，非常有用。 这些脚本适用于WinDbg内核调试。您需要一台机器来运行WinDbg，并将其连接到被调试的另一台机器上。就我而言，我使用Windows主机来运行WinDbg，然后用它来调试VMware机器（我使用VirtualKD作为调试器连接，因为这样的话，连接速度要快得多），当然，您也可以使用其他配置。

windows自带得资源监视器拥有强大得性能分析能力，可以通过该工具分析cpu得详细使用情况，进程得内存，io等得使用情况

Process Monitor是一个Windows系统下先进的监视工具，它可以显示文件系统、注册表、网络连接、进程/线程活动的确切时间。它结合了Filemon和Regmon两个Sysinternals的早期工具，并且增添了大量功能上的提升，例如丰富且无损的过滤器、全面的事件属性（会话ID、用户名、可靠的进程信息、完整的线程堆栈、同时记录到文件）。这个工具将会成为处理系统故障和恶意软件检测的核心工具。

windows在ring0下采用dpc来完成一些特殊的工作，本文将简单介绍dpc的原理

在windows平台经常要用到注入技术，比较通用的是消息钩子和远程线程，本文将介绍一种新的注入技术。

智业his系统在点击打印后需要很时间(4-15秒)左右才弹出打印机选择框。由于是第三方应用，只能在没有源码的情况下分析。

智业his系统在点击打印后需要很长时间（4-15秒）左右才弹出打印机选择框。由于是第三方应用，只能在没有源码的情况下分析。

在使用windbg调试一些调用比较频繁的api的时候，常常因为高频触发断点然调试过程很艰难，这时候我们就需要用到条件断点，只有在我们关注的条件下才去触发断点。

在定位windows云桌面的过程中难免需要调试windows系统，由于我们的桌面是基于qemu运行的，环境配置比较麻烦，现将配置步骤介绍如下。

windows系统下利用镜像劫持调试进程闪退

用户反馈在重启桌面时一直卡在“请稍后 本地回话管理器”的界面，通过现象分析是卡死在windows启动过程中了，通过抓取dmp分析详细原因。