首页
论坛
专栏
课程

《格蠹汇编》学习笔记一

2019-4-17 17:26 1786

《格蠹汇编》学习笔记一

2019-4-17 17:26
1786

格蠹汇编实验记录

该系列主要记录一下自己学习格蠹汇编的过程,与大家分享一下。中间有什么不懂的也希望大佬们可以指导一下。

在堆中抢救丢失的博客

事故原因:作者在某网站写博客时没有及时存档,导致在提交时失去与服务器的连接而失去了所有编写的内容,作者企图通过调试的方法在内存中找回已经编写完成的博客。

 

下面简单复现一下作者的调试过程:

  1. 使用Windbg打开实验所给的.dmp文件(不做额外说明,后续文章所用调试器均为Windbg)

    (此处的搜索位置和范围是经过多次尝试之后确定的,直到搜索到字符为止)

  2. 选择其中一个地址查看其中存放的内容

    (此处的查看找任何一个地址均可,只要能看到文章内容即可)

  3. 容易发现内存中的内容没有Unicode标识符,我们如果想还原原来的文章需要加入Unicode标识符。可以在导出内存中的内容之后手动加上,也可以直接在Windbg中加上。


    0x3c 00 50 00 3e 00是HTML的标识符<P>,0x53开始是文章的博客正文。在内存的最前面有两个00,我们可以在此处放置我们的Unicode标识符。
    直接在Windbg中进行内存内容修改:

    添加上Unicode标识符之后就可以导出文章,这样直接打开导出的内容就可以看到原来的文章了。

  4. 导出内存内容到文件

至此,实验基本完成。还是比较简单的,熟悉了Windbg,也学会了一招技能。主要是作者的这种思维值得我们去学习。



[推荐]看雪企服平台,提供安全分析、定制项目开发、APP等级保护、渗透测试等安全服务!

上一主题 下一主题
最新回复 (9)
牧风 2019-4-17 19:05
2
0
dump是怎么生成的?
kxzpy 2019-4-17 19:41
3
0
牧风 dump是怎么生成的?
 
平常所说的dmp文件是win2k/xp/2k3蓝屏死机之后将内存转储到%windir%中的内存专储文件,以备专业的驱动程序设计人员或者微软的核心开发人员进行调试。 https://wenwen.sogou.com/z/q794174397.htm
kxzpy 2019-4-17 19:54
4
0
牧风 dump是怎么生成的?
https://jingyan.baidu.com/article/4ae03de300ddff3eff9e6bf9.html?d=123
搜到的经验,分享一下。。。
悠悠wzq 2019-4-18 09:03
5
0
内存专储文件我一般都禁用了,看来还得打开备用。
有毒 2019-4-18 10:27
6
0
牧风 dump是怎么生成的?
就实验材料来说,是作者用内存dump方法导出来的。而作者当时的情况是:Windbg直接挂上iexplore.exe的进程进行调试,去与之相关的内存中寻找博客内容的。此处的dump文件只是为了方便重现作者当时的情况而已。
我这里给出我自己看的关于dump文件的一些资料,希望对你有用:
https://support.microsoft.com/zh-cn/help/254649/overview-of-memory-dump-file-options-for-windows   (微软官方文档)
https://blog.csdn.net/daye5465/article/details/77718111  (具体工具)
kxzpy 2019-4-19 15:03
7
0
有毒 就实验材料来说,是作者用内存dump方法导出来的。而作者当时的情况是:Windbg直接挂上iexplore.exe的进程进行调试,去与之相关的内存中寻找博客内容的。此处的dump文件只是为了方便重现作 ...
谢谢分享,已收藏点赞。
Howsk 2019-4-20 16:28
8
0
这种想WPS的异常关机然后回复也应该是这种原理吧?
有毒 2019-4-23 14:20
9
0
Howsk 这种想WPS的异常关机然后回复也应该是这种原理吧?
这个我倒是没有思考过,系统重启之后会不会还保留wps的相关内存不好说。文章中的博客内容是肯定保存在内存中的,除非你清空浏览器的所有缓存。我的理解是这样,也可能不对
木志本柯 2019-4-23 14:46
10
0
666《格蠹汇编》还有这这种好东西。赶紧去看看
游客
登录 | 注册 方可回帖
返回