《格蠹汇编》学习记录

yaoyao7

格蠹汇编实验记录

  该系列主要记录一下自己学习格蠹汇编的过程，与大家分享一下。中间有什么不懂的也希望大佬们可以指导一下。

在堆中抢救丢失的博客

事故原因：作者在某网站写博客时没有及时存档，导致在提交时失去与服务器的连接而失去了所有编写的内容，作者企图通过调试的方法在内存中找回已经编写完成的博客。

下面简单复现一下作者的调试过程：

1. 使用Windbg打开实验所给的.dmp文件（不做额外说明，后续文章所用调试器均为Windbg）      

(此处的搜索位置和范围是经过多次尝试之后确定的，直到搜索到字符为止)


2. 选择其中一个地址查看其中存放的内容

(此处的查看找任何一个地址均可，只要能看到文章内容即可)
3. 容易发现内存中的内容没有Unicode标识符，我们如果想还原原来的文章需要加入Unicode标识符。可以在导出内存中的内容之后手动加上，也可以直接在Windbg中加上。

0x3c 00 50 00 3e 00是HTML的标识符<P>，0x53开始是文章的博客正文。在内存的最前面有两个00，我们可以在此处放置我们的Unicode标识符。
直接在Windbg中进行内存内容修改：

添加上Unicode标识符之后就可以导出文章，这样直接打开导出的内容就可以看到原来的文章了。

4. 导出内存内容到文件



至此，实验基本完成。还是比较简单的，熟悉了Windbg，也学会了一招技能。主要是作者的这种思维值得我们去学习。

scry

学习了，挺好的思路，有什么文件之类的没有能够保存下来可以去到内存里面看看，不过应该需要很大的耐心和扎实的汇编基础，楼主厉害

yaoyao7

独行 发表于 2019-10-15 20:03
能分享一下，书籍配套的实验文件吗

我没有保存。。。学习完就清空了，，不好意思啊

hxd97244

学习了，感谢分享

吾爱看雪

大神啊 。。

a764329871

大神在何方

稻海香

不明觉厉

Lattle_grass

很不错的学习记录

本源自一

都是被逼的

chmmoon

那么问题来了，这个字怎么念呢

dioderen

欺负我这个理工男，只能问小度度了；这书作者是理工男中的文艺青年

hbwazxf

学习了，感谢分享