实验资料:http://files.cnblogs.com/files/ONDragon/ieblog.zip
http://files.cnblogs.com/files/ONDragon/ieblog.z01.zip(注意修改这个文件名为ieblog.z01)这两个文件一起解压。
- 加载符号表 SRV*c:\mysymbol* http://msdl.microsoft.com/download/symbols
- 打开dump文件
- 因为知道这篇博客的内容,例如:当年在交大等等等等。
- s -u 10000 L8000000 "当年在交大"
- 解释参数作用:
- 用户态Ring3的程序在低2GB的地址是0x00000000 - 0xFFFFFFFF
|
Memory Range |
Usage |
|
Low 2GB range (0x00000000 through 0x7fffffff) |
Used by the process |
|
High 2GB range (0x80000000 through 0xffffffff) |
Used by the system |
- s (search memery 搜索内存)
- -u (Unicode编码,因为搜索的是中文)
- 10000 L8000000 搜索范围
- 搜索结果:
- dU 001b5942 L1440
- 参数解释:
- du (display Unicode 以Unicode方式显示)
- L1440 (查看范围,1440是一个精确范围,可以填写大一些,以便于可以完整查看)
- 想办法Dump出它来。
- .writemem C:\blog.txt 001b5942 L1440
- 解释参数:
- 从001b5942 这个地址开始长度1440写入到C:\blog.txt文件。
- 打开文件居然是乱码,额。
- 想办法把它变成可识别的文件。
- du 001b5942-6
- 到了<P>也就是本文章的最开头,但是windows识别此文档为中文必须在文件最开头添加FF FE Unicode标准头,所以我们加上即可。
- eb 001b5942-8 FF FE (以字节方式写入FF FE到001b5942-8 )
- 解释参数:
- eb (edit byte 字节写入)
- .writemem C:\blog.txt 001b593a L1456
- 参数解释:L1456 长度范围一定要大于等于文字范围。
时间: 2024-08-10 19:17:22