遇到《泰拉瑞亚》（Terraria）游戏中出现ntdll.dll错误的情况通常意味着游戏在加载或运行过程中遇到了与Windows内核相关的严重问题。ntdll.dll是Windows操作系统的核心库之一，用于提供各种底层服务和功能。当这个DLL文件出现问题时，通常会影响到系统的稳定性和性能。下面将详细解

说明：该程序为临摹(

问题：采用_findfirst和_findnext获取指定的文件夹下的文件时，_findnext()函数在调试时发生中断，发生访问错误，错误定位到ntdll.dll。错误提示如下所示：_findnext0x00007FF849ABFAAD(ntdll.dll)处(位于XXXXXXXXXXX.exe中)引发的异常:0xC0000005:写入位置0x0000000073BAD650时

一：背景1.讲故事前些天有位朋友找到我，说他的程序每次关闭时就会自动崩溃，一直找不到原因让我帮忙看一下怎么回事，这位朋友应该是第二次找我了，分析了下dump还是挺经典的，拿出来给大家分享一下吧。二：WinDbg分析1.为什么会崩溃找崩溃原因比较简单，用!analyze-v命令观察一下便

文章首发阿里云先知社区：https://xz.aliyun.com/t/14310了解过免杀的都知道，杀软会对敏感api进行hook操作，而我们通常有两种方式进行解决，syscall和unhook，而我们在syscall的时候有时候会导致堆栈不完整，在杀软看来是一些异常的行为，比如下图可以看到RIP指针直接已经在Progra

最近一直在做EDR相关的工作，虽然略有了解EDR的机制，但是并未深究其完整的工作框架和可能的绕过机制，借工作空闲时间依靠智谱清言阅读一下《EvadingEDRTheDefinitiveGuidetoDefeatingEndpointDetectionSystems》一书。在众多现代端点安全产品的组件中，最常部署的是负责函数

声明：这篇文章在写的时候，是最开始学习这个堆管理机制，所以写得有些重复和琐碎，基于笔记的目的想写得全一些，这篇文章写的时候参考了很多前辈的文章，已在末尾标出，某些未提及到的可以在评论补充基于分享的目的，之前把所有部分都放出来了，但是全篇有八万词，pdf版本长达两百多页，全部放出看着

Dependencies是一款开源的dll模块查看工具，支持x86和x64的模块查看，下载地址：https://github.com/lucasg/Dependencies/releases ntdll.dll仅含导出表注：0x0002a9a0是基于ntdll.dll文件起始处的偏移 注：也可以直接用peview.exe工具打开上面的属性对话框。 "F:\Tools\Depend

tasklist/m>d:\dll.txt映像名称PID模块=============================================================================SystemIdleProcess0暂缺

一：背景1.讲故事前几天有位朋友微信上找到我，说他的程序会偶发性崩溃，一直找不到原因，让我帮忙看一下怎么回事，对于这种崩溃类的程序，最好的办法就是丢dump过来看一下便知，话不多说，上windbg说话。二：WinDbg分析1.到底是哪里的崩溃对于一个崩溃类的dump，寻找崩溃点非常重要，常用的命

环境描述：系统：windowsserver压测工具：Loadrunner11现象描述：Controller在执行一段时间后崩溃，提示：HPLoadRunnerController已停止工作；根据并发用户多少执行时间基本成比例；例如12并发用户3小时，24并发用户1.5小时Windows提示信息：错误应用程序名称:wlrun.exe，版本:11.0.0.

一：背景1.讲故事最近经常遇到有朋友反馈，在x64环境下如何提取线程栈中的方法参数，熟悉x64调用协定的朋友应该知道，这种协定范围下，方法的前四个参数都是用寄存器传递的，比

一：背景1.讲故事最近收到了两起程序崩溃的dump，查了下都是经典的doublefree造成的，蛮有意思，这里就抽一篇出来分享一下经验供后面的学习者避坑吧。二：WinDbg分析1.崩

CPU执行指令时可能会触发异常，例如除0错误，内存访问错误，这种称为“硬异常”。还有一种可以通过软件模拟异常，通过调用windowsAPI函数RaiseException可以主动触发异常。如

原文：https://mp.weixin.qq.com/s/Xd7yjZjF8tMHkypHfnVjFg一：背景1.讲故事前段时间有位朋友在微信上找到我，说他的程序偶发性崩溃，让我帮忙看下怎么回事，上面给的压力比较大，

  windbg中有个sxe命令，用于启动某类事件上的调试中断。例如sxeld:kernel32.dll可以在exe加载kernel32.dll时中断到调试器。不过，一般情况下，exe无法捕获kernel32.dll加载

一：背景1.讲故事前段时间有位朋友在微信上找到我，说他的程序偶发性崩溃，让我帮忙看下怎么回事，上面给的压力比较大，对于这种偶发性崩溃，比较好的办法就是利用AEDebug在程序崩溃

楔子前面一篇研究了下C++异常的，这篇来看下，CLR的异常内存模型，实际上都是一个模型，承继自windows异常处理机制。不同的是，有VC编译器(vcruntime.dll）接管的部分，被CLR里面的函数

楔子以win11+vs2022运行VC++编译观察的结果。如果安装了VisualStudio2022,比如安装在D盘，则路径：D:\VisualStudio\IDE\VC\Tools\MSVC\14.33.31629下面包含了vcrun

一：背景1.讲故事最近遇到一位朋友的程序崩溃，发现崩溃点在富编辑器​​msftedit​​​上，这个不是重点，重点在于发现他已经开启了​​页堆​​，看样子是做了最后的挣扎。0:00

一：背景1.讲故事最近遇到一位朋友的程序崩溃，发现崩溃点在富编辑器msftedit上，这个不是重点，重点在于发现他已经开启了页堆，看样子是做了最后的挣扎。0:000>!analyze-