首页
视频
资源
登录
原
Windbg 从dump提取C#代码
6260
人阅读
2022/9/2 11:41
总访问:
2534554
评论:
0
收藏:
0
手机
分类:
windbg
![](https://img.tnblog.net/arcimg/hb/0f6f3d2d518b43969c64320d9e4d69d6.png) ># Windbg 从dump提取C#代码 [TOC] ## 抓dump包 tn2>首先我们的应用在服务器上出现问题时,我们可以通过`procdump`或者`procexp`提取文件。 这里我就使用`procdump`来抓取了。 首先以管理员的方式打开Powershell。 (<a target="_blank" href="https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump">关于安装请点击这里</a>) ![](https://img.tnblog.net/arcimg/hb/5a0b01bd4ba54a72a40dc465f49c0255.png) tn2>创建`Inglass.PackagingMediaRepository.UploadJob`进程的Dump到D盘下。 ```bash procdump -ma Inglass.PackagingMediaRepository.UploadJob -i D:\ ``` tn2>更多关于procdump的参数请访问<a href="https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump">这里</a> ## 提取dump中的C#代码 tn2>首先打开Windbg,使用`lm`命令来获得image的base address. ![](https://img.tnblog.net/arcimg/hb/61cc2f89a14b48f28c9804bb3fb00e8f.png) tn2>然后我们通过`SaveModule`提取于此项目相关的代码。 ```bash !SaveModule 00db0000 D:\out.tmp ``` tn2>生成的out.tmp文件,我们通过ILSpy工具进行反汇编一下,但是只发现了几个文件的代码,并没有找到其他包的代码。 ![](https://img.tnblog.net/arcimg/hb/3bf29ad07e814e2d8b503ca429eaa978.png) tn2>这时我们需要通过AppDomain来提取了。 ## AppDomain提取C#代码 tn2>我们知道 CLR 中 Assembly 是在名为 AppDomain 的逻辑空间中被载入运行的,而 AppDomain 是介于操作系统层面进程和线程概念之间,同时具有线程的轻便和进程的封闭性,使用者可以通过 AppDomain.CreateDomain 传见新的 AppDomain。 我们可以通过`EEHeap`命令,通过列出 CLR 执行引擎的堆信息,获取当前运行的 AppDomain 情况。 ```bash !EEHeap ``` ![](https://img.tnblog.net/arcimg/hb/a4d85eff22ef4d57a6321dd469794138.png) tn2>我们可以看到CLR已经有了三个AppDomain:`System Domain`, `Shared Domain` 和 `Domain 1`。 然后我们通过如下命令来查看这三个域中有哪些引用的dll。 ```bash !DumpDomain /d 731875a8 !DumpDomain /d 73187258 !DumpDomain /d 0130aa50 ``` ![](https://img.tnblog.net/arcimg/hb/f91f1f5bae564ae691254b4b48bdae06.png) tn2>我们慢慢滚动,发现想要的包在Domain1下面,并且地址为`01115f40`. ![](https://img.tnblog.net/arcimg/hb/4e6761fe1b064bfb9ec25febb29d7d6f.png) tn2>接着我们通过SaveModule导出该dll的c#代码到D盘的out2.tmp文件中,并再次用ILSpy查看就有了。 ```bash !SaveModule 01115f40 D:\out2.tmp ``` ![](https://img.tnblog.net/arcimg/hb/b6d08a181bc24846a00db264086fd3bb.png) ![](https://img.tnblog.net/arcimg/hb/249bf5fcff5141609234aa74c5aa653e.png)
欢迎加群讨论技术,1群:677373950(满了,可以加,但通过不了),2群:656732739
👈{{preArticle.title}}
👉{{nextArticle.title}}
评价
{{titleitem}}
{{titleitem}}
{{item.content}}
{{titleitem}}
{{titleitem}}
{{item.content}}
尘叶心繁
这一世以无限游戏为使命!
博主信息
排名
6
文章
6
粉丝
16
评论
8
文章类别
.net后台框架
166篇
linux
17篇
linux中cve
1篇
windows中cve
0篇
资源分享
10篇
Win32
3篇
前端
28篇
传说中的c
4篇
Xamarin
9篇
docker
15篇
容器编排
101篇
grpc
4篇
Go
15篇
yaml模板
1篇
理论
2篇
更多
Sqlserver
4篇
云产品
39篇
git
3篇
Unity
1篇
考证
2篇
RabbitMq
23篇
Harbor
1篇
Ansible
8篇
Jenkins
17篇
Vue
1篇
Ids4
18篇
istio
1篇
架构
2篇
网络
7篇
windbg
4篇
AI
18篇
threejs
2篇
人物
1篇
嵌入式
2篇
python
13篇
HuggingFace
8篇
pytorch
9篇
opencv
6篇
最新文章
最新评价
{{item.articleTitle}}
{{item.blogName}}
:
{{item.content}}
关于我们
ICP备案 :
渝ICP备18016597号-1
网站信息:
2018-2024
TNBLOG.NET
技术交流:
群号656732739
联系我们:
contact@tnblog.net
欢迎加群
欢迎加群交流技术