格蠹汇编阅读理解

一、调试工具使用方式

1. WinDbg常用命令：

• 执行 lm 命令，可以看到进程中有几个模块。
• 执行~命令列一下线程。
• 用!heap 命令列一下堆。
• 执行!address 命令可以列出用户态空间中的所有区域。
• 搜索吧！就从当前进程用户态空间的较低地址开始搜，找文章里的一句有特色的话：0:045> s -u 10000 L80000 “当年在交大”， 前几次尝试，什么都没找到，看来要扩大搜索范围：0:045> s -u 10000 L8000000 “当年在交大” ，延迟一刹那后，“刷刷”地出来很多结果。搜到了！这让人很高兴，说明数据还在内存里。
  
  但是仔细看看搜索的结果后，又有点怀疑。因为 WinDbg 不支持中文显示，所以有点不确认上面搜到的信息。为了确认，执行 r 命令，观察 ESP 寄存器的值：0:043> r esp ，esp=02c9ffcc 。然后使用内存编辑命令在栈上输入上面的中文字符，再用内存观察命令查看，证实上面搜索到的结果是对的，5f53 就是“当”字的编码，4ea4 5927 就是“交大”。
  
• 接下来的目标是将数据从内存堆保存到文件，WinDbg 已经帮我们准备好了一条命令：0:045> .writemem c:\dumps\blog.txt 07288600 L2000。