从堆里找回“丢失”的代码相关命令简介
从堆里找回“丢失”的代码相关命令简介
前言
在上一篇文章中,我们主要使用了三个命令 !address
,s
,.writemem
把丢失的代码成功的保存到了文件中。本文简单介绍一下上文用到的这三个命令。
windbg 中的地址范围语法
很多命令都会用到 地址范围。比如 s
命令,.writemem
命令。
在 windbg
中可以通过两种形式指定地址范围。起始地址 L长度
或者 起始地址 终止地址
。在上一篇文章中,我们使用的是 起始地址 终止地址
的形式。我们也可以使用用 起始地址 L长度
的形式来指定一个范围。其中的 L
必不可少,而且,L
后面跟的是要查看的单位数量,不是字节数。比如,我们查看起始地址 0xc0000
处对应的内容,同样是L4
,按字节(db
),按四字节(dd
)和按八字节(dq
)查看,显示的内存范围是不一样的
有两点需要注意:
- 如果搜寻的范围超过
256MB
,我们需要使用L?
,而不是L
。 - 我们可以使用
L-
表示给定的address
是终止位置,而不是起始位置。
!address 命令
该命令可以用来查看指定地址对应的信息,也可以用来查找过滤。在之前的文章里使用 !address
查看过某个地址对应的信息。上一篇文章中我们主要使用的是这个命令的查找过滤功能(通过 -f
参数,f
是 filter
的缩写)。
- 我们可以根据用途过滤,具体参考下表。
- 还可以根据内存保护属性过滤,具体参考下表。
- 还可以根据内存状态过滤,具体参考下表。
- 还可以根据内存类型过滤,具体参考下表。
-f
参数需要配合 -c:"command"
在查找的过程中执行对应的命令。
s 命令
该命令可以用来查找符合特定模式的内存。s
是 Search Memory
的缩写。
s [-[[Flags]Type]] Range Pattern
s -[[Flags]]v Range Object
s -[[Flags]]sa Range
s -[[Flags]]su Range
这里仅截取 Type
的用法。更多用法请参考官方文档。
.writemem 命令
该命令比较简单,.writemem FileName Range
。
FileName
:如果路径中有空格,需要使用 ""
引起来,这个应该是常识了。
Range
:相关的语法已经在本文开始介绍了。
总结
我们在上一篇文章中用到的命令(!address -f:heap,PAGE_READWRITE -c:"s -u %1 %2 args.Contains(\"--all\")"
)的意思是:遍历可读写的堆内存,对每个内存区域调用 s
命令,搜寻匹配 args.Contains("--all")
的 unicode
字符串。s
命令需要的地址范围是通过 !address
命令传递过来的 %1
(起始地址) 和 %2
(结束地址) 传递的。
参考资料
-
https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/-address
-
https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/-writemem--write-memory-to-file-
-
https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/address-and-address-range-syntax
-
https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/s--search-memory-