吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 6591|回复: 20
收起左侧

[调试逆向] 抢救丢失的博文

[复制链接]
JoyChou 发表于 2014-3-19 19:10
本帖最后由 JoyChou 于 2014-3-19 19:16 编辑

0x1. 写在前面
今天下午sae突然跪了。屌丝买不起VPS    T_T~~
博客没有设置自动保存。结果等sae恢复的时候,返回已经没用了。

想到以前看到过用windbg来找回丢失的博文,今天也刚好来小试牛刀一把。前提是浏览器尚未关闭。

0x2. 亲自动手
启动windbg,选择File-->Attach to a Process,这里我用的chrome,可以看到chrome有很多进程,随便选一个就行。

接下来就要搜索博客的内容,最好找比较特殊的,在浏览器里只出现过一次的,而且是尽量靠前的。
我试了几次,用的"基础储备"这四个字找的。"基础储备"是我文章最前面的内容。

输入命令: s -u 0 L8000000 "基础储备"   即查找unicode字符"基础设备",注意双引号要用英文的。
1.jpg
可以看到已经找到了这样的内容,由于windbg不支持中文显示,所以要用du显示。

继续查找每个地址,观察是否能够找到所有博文。
输入命令du 06b4c810   L1000发现没有找完,继续du 06b4c810   L2000发现一样。那就换下一个地址。
知道输入du 071d502c L1000  已经可以发现所有博文。
2.png

此时再将内存中的内容dump下来即可。
输入命令:.writemem F:\blog.txt   071d502c L1000
此时dump下来的打开会是乱码。因为没有unicode文件的标识。

最有用winhex在文件偏移0x00处,也就是文件头,增加一个unicode标识,两个字节,FFFE  

打开即可看见完整的博客文章了。
3.png


免费评分

参与人数 4威望 +1 热心值 +3 收起 理由
Hmily + 1 感谢发布原创作品,吾爱破解论坛因你更精彩.
手写连笔王 + 1 学习了,神乎其技!
H2o + 1 鼓励转贴优秀软件安全工具和文档!
无邪 + 1 已答复!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

agbcd 发表于 2014-5-31 20:56
谢谢楼主,菜鸟学习了..........
baidxi 发表于 2014-5-31 18:07
这个。。。有没有WINDBG的详细教程啊?

点评

网上自己搜吧。很多的  发表于 2014-6-3 11:03
孤独男孩 发表于 2014-5-22 14:21
......原来还有这样的方法找回数据的啊?厉害牛人真多啊
riusksk 发表于 2014-4-21 18:33
让我想起了《格蠹汇编》一书中同类例子,确实是挺不错的小技巧。

点评

泉哥V5,膜拜,心里的男神。  发表于 2014-4-21 19:00
无邪 发表于 2014-3-19 19:14
如果突然蓝屏关机这方法还可以嘛~
 楼主| JoyChou 发表于 2014-3-19 19:17
无邪 发表于 2014-3-19 19:14
如果突然蓝屏关机这方法还可以嘛~

浏览器关闭了就不行了。
scblue 发表于 2014-3-19 19:47
真正的技术大牛哇,高手 这种找回方法好神奇。
h_one 发表于 2014-3-19 20:37
nice,windbg真炫酷.
wenguangcheng20 发表于 2014-3-20 01:26
大大你好,我少一个驱动~~fengyue0.sys~~大大可以给我发发么??、求求你了大神,没这个驱动躲不掉反调试
 楼主| JoyChou 发表于 2014-3-20 08:37
wenguangcheng20 发表于 2014-3-20 01:26
大大你好,我少一个驱动~~fengyue0.sys~~大大可以给我发发么??、求求你了大神,没这个驱动躲不掉反调试

可能是其他名字哦
wenguangcheng20 发表于 2014-3-20 12:41
反调试之策
可以通过隐藏SOD的驱动名,一般是fengyue0.sys
问题就是我没有这驱动,重装的时候,给格了!有办法找回来么?
 楼主| JoyChou 发表于 2014-3-20 13:25
wenguangcheng20 发表于 2014-3-20 12:41
反调试之策
可以通过隐藏SOD的驱动名,一般是fengyue0.sys
问题就是我没有这驱动,重装的时候,给格了! ...

T_T  这个是OD的事,我不知道你是怎么格的。
Hmily 发表于 2014-4-21 16:04
这个小技巧不错!

点评

是啊,不然突然蹦了好蛋疼。  发表于 2014-4-21 19:06
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 14:16

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表