首页
服装论坛t.vhao.net
专栏
课程

《格蠹汇编》进修笔记一

2019-4-17 17:26 1803

《格蠹汇编》进修笔记一

2019-4-17 17:26
1803

格蠹汇编实验记录

该系列重要记录一下本身进修格蠹汇编的过程,与大年夜家分享一下。中心有甚么不懂的也欲望大年夜佬们可以指导一下。

在堆中抢救损掉的博客

变乱缘由:作者在某网站写博客时没有及时存档,招致在提交时掉去与办事器的连接而掉去了一切编写的内容,作者妄图经过过程调试的办法在内存中找回曾经编写完成的博客。

 

下面简单复现一下作者的调试过程:

  1. 应用Windbg翻开实验所给的.dmp文件(不做额外解释,后续文章所用调试器均为Windbg)

    (此处的搜刮地位和范围是经过屡次测验测验以后肯定的,直到搜刮到字符为止)

  2. 选择个中一个地址检查个中存放的内容

    (此处的检查找任何一个地址都可,只需能看到文章内容便可)

  3. 轻易发明内存中的内容没有Unicode标识符,我们假设想复原本来的文章须要参加Unicode标识符。可以在导出内存中的内容之背工动加上,也能够直接在Windbg中加上。


    0x3c 00 50 00 3e 00是HTML的标识符<P>,0x53开端是文章的博客注释。在内存的最前面有两个00,我们可以在此处放置我们的Unicode标识符。
    直接在Windbg中停止内存内容修改:

    添加上Unicode标识符以后便可以导出文章,如许直接打劝导出的内容便可以看到本来的文章了。

  4. 导出内存内容到文件

至此,实验根本完成。照样比较简单的,熟悉了Windbg,也学会了一招技能。主如果作者的这类思想值得我们去进修。



[推荐]看雪企服平台,供给安然分析、定制项目开辟、APP等级保护、渗透渗出测试等安然办事!

上一主题 下一主题
最新答复 (9)
牧风 2019-4-17 19:05
2
0
dump是怎样生成的?
kxzpy 2019-4-17 19:41
3
0
牧风 dump是怎样生成的?
 
平常所说的dmp文件是win2k/xp/2k3蓝屏逝世机以后将内存转储到%windir%中的内存专储文件,以备专业的驱动法式榜样设计人员或许微软的核心开辟人员停止调试。 https://wenwen.sogou.com/z/q794174397.htm
kxzpy 2019-4-17 19:54
4
0
牧风 dump是怎样生成的?
https://jingyan.百度.com/article/4ae03de300ddff3eff9e6bf9.html?d=123
搜到的经历,分享一下。。。
悠悠wzq 2019-4-18 09:03
5
0
内存专储文件我普通都禁用了,看来还得翻开备用。
有毒 2019-4-18 10:27
6
0
牧风 dump是怎样生成的?
就实验材料来讲,是作者用内存dump办法导出来的。而作者当时的情况是:Windbg直接挂上iexplore.exe的过程停止调试,去与之相干的内存中寻觅博客内容的。此处的dump文件只是为了便利重现作者当时的情况罢了。
我这里给出我本身看的关于dump文件的一些材料,欲望对你有效:
https://support.microsoft.com/zh-cn/help/254649/overview-of-memory-dump-file-options-for-windows   (微软官方文档)
https://blog.csdn.net/daye5465/article/details/77718111  (详细对象)
kxzpy 2019-4-19 15:03
7
0
有毒 就实验材料来讲,是作者用内存dump办法导出来的。而作者当时的情况是:Windbg直接挂上iexplore.exe的过程停止调试,去与之相干的内存中寻觅博客内容的。此处的dump文件只是为了便利重现作 ...
感谢分享,已收藏点赞。
Howsk 2019-4-20 16:28
8
0
这类想WPS的异常关机然后答复也应当是这类道理吧?
有毒 2019-4-23 14:20
9
0
Howsk 这类想WPS的异常关机然后答复也应当是这类道理吧?
这个我倒是没有思虑过,体系重启以后会不会还保存wps的相干内存不好说。文章中的博客内容是肯定保存在内存中的,除非你清空浏览器的一切缓存。我的懂得是如许,也能够纰谬
木志本柯 2019-4-23 14:46
10
0
666《格蠹汇编》还有这这类好器械。赶忙去看看
旅客
登录 | 注册 方可回帖
前往