大连网站建设咨询,怎么看网站做没做备案,湄潭建设局官方网站,银饰品网站建设规划策划书一、调试工具使用方式
WinDbg常用命令#xff1a;
执行 lm 命令#xff0c;可以看到进程中有几个模块。执行~命令列一下线程。用!heap 命令列一下堆。执行!address 命令可以列出用户态空间中的所有区域。搜索吧#xff01;就从当前进程用户态空间的较低地址开始搜#xf…一、调试工具使用方式
WinDbg常用命令
执行 lm 命令可以看到进程中有几个模块。执行~命令列一下线程。用!heap 命令列一下堆。执行!address 命令可以列出用户态空间中的所有区域。搜索吧就从当前进程用户态空间的较低地址开始搜找文章里的一句有特色的话0:045 s -u 10000 L80000 “当年在交大” 前几次尝试什么都没找到看来要扩大搜索范围0:045 s -u 10000 L8000000 “当年在交大” 延迟一刹那后“刷刷”地出来很多结果。搜到了这让人很高兴说明数据还在内存里。 但是仔细看看搜索的结果后又有点怀疑。因为 WinDbg 不支持中文显示所以有点不确认上面搜到的信息。为了确认执行 r 命令观察 ESP 寄存器的值0:043 r esp esp02c9ffcc 。然后使用内存编辑命令在栈上输入上面的中文字符再用内存观察命令查看证实上面搜索到的结果是对的5f53 就是“当”字的编码4ea4 5927 就是“交大”。 接下来的目标是将数据从内存堆保存到文件WinDbg 已经帮我们准备好了一条命令0:045 .writemem c:\dumps\blog.txt 07288600 L2000。
