格蠹汇编-01-blog

实验资料：http://files.cnblogs.com/files/ONDragon/ieblog.zip

　　　　　 http://files.cnblogs.com/files/ONDragon/ieblog.z01.zip（注意修改这个文件名为ieblog.z01）这两个文件一起解压。

• 加载符号表　　  SRV*c:mysymbol* http://msdl.microsoft.com/download/symbols

• 打开dump文件

•  因为知道这篇博客的内容，例如：当年在交大等等等等。
• s  -u 10000 L8000000 "当年在交大"
• 解释参数作用：
• 用户态Ring3的程序在低2GB的地址是0x00000000 - 0xFFFFFFFF

Memory Range	Usage
Low 2GB range (0x00000000 through 0x7fffffff)	Used by the process
High 2GB range (0x80000000 through 0xffffffff)	Used by the system

• s (search memery 搜索内存)
• -u (Unicode编码，因为搜索的是中文)
• 10000 L8000000 搜索范围

• 搜索结果：

• dU 001b5942 L1440
• 参数解释：
• du (display Unicode 以Unicode方式显示)
• L1440 (查看范围，1440是一个精确范围，可以填写大一些，以便于可以完整查看)

• 想办法Dump出它来。
• .writemem C:log.txt 001b5942 L1440
• 解释参数：
• 从001b5942 这个地址开始长度1440写入到C:log.txt文件。
• 打开文件居然是乱码，额。

• 想办法把它变成可识别的文件。
• du 001b5942-6

• 到了<P>也就是本文章的最开头，但是windows识别此文档为中文必须在文件最开头添加FF FE Unicode标准头，所以我们加上即可。
• eb 001b5942-8 FF FE (以字节方式写入FF FE到001b5942-8 )
• 解释参数：
• eb (nter into memory the values that you specify 字节写入)

• .writemem C:log.txt 001b593a L1456
• 参数解释：L1456 长度范围一定要大于等于文字范围。