-
-
《格蠹汇编》学习笔记一
-
发表于: 2019-4-17 17:26
-
事故原因:作者在某网站写博客时没有及时存档,导致在提交时失去与服务器的连接而失去了所有编写的内容,作者企图通过调试的方法在内存中找回已经编写完成的博客。
下面简单复现一下作者的调试过程:
使用Windbg打开实验所给的.dmp文件(不做额外说明,后续文章所用调试器均为Windbg)
(此处的搜索位置和范围是经过多次尝试之后确定的,直到搜索到字符为止)
选择其中一个地址查看其中存放的内容
(此处的查看找任何一个地址均可,只要能看到文章内容即可)
容易发现内存中的内容没有Unicode标识符,我们如果想还原原来的文章需要加入Unicode标识符。可以在导出内存中的内容之后手动加上,也可以直接在Windbg中加上。
0x3c 00 50 00 3e 00是HTML的标识符<P>,0x53开始是文章的博客正文。在内存的最前面有两个00,我们可以在此处放置我们的Unicode标识符。
直接在Windbg中进行内存内容修改:
添加上Unicode标识符之后就可以导出文章,这样直接打开导出的内容就可以看到原来的文章了。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
平常所说的dmp文件是win2k/xp/2k3蓝屏死机之后将内存转储到%windir%中的内存专储文件,以备专业的驱动程序设计人员或者微软的核心开发人员进行调试。 https://wenwen.sogou.com/z/q794174397.htm |
|
|
|
|
|
 内存专储文件我一般都禁用了,看来还得打开备用。
|
|
|
就实验材料来说,是作者用内存dump方法导出来的。而作者当时的情况是:Windbg直接挂上iexplore.exe的进程进行调试,去与之相关的内存中寻找博客内容的。此处的dump文件只是为了方便重现作者当时的情况而已。  我这里给出我自己看的关于dump文件的一些资料,希望对你有用: https://support.microsoft.com/zh-cn/help/254649/overview-of-memory-dump-file-options-for-windows (微软官方文档) https://blog.csdn.net/daye5465/article/details/77718111 (具体工具) |
|
|
谢谢分享,已收藏点赞。 |
|
|
|
|
|
这个我倒是没有思考过,系统重启之后会不会还保留wps的相关内存不好说。文章中的博客内容是肯定保存在内存中的,除非你清空浏览器的所有缓存。我的理解是这样,也可能不对
|
|
|
|
|
|
|
|
|
你这个事没有符号文件,你有设置符号文件路径么? |
|
|
如果你是比较新的windows11的话,可能跟我情况一样,查到的原因是系统版本过新符号服务器还没有匹配的符号文件。如果不是windows11的话,那就是因为你符号文件设置啥的没搞定 |
|
|
|
有毒
