如何从dump文件中提取出C#源代码

一:背景

相信有很多朋友在遇到应用程序各种奇葩问题后,拿下来一个dump文件,辛辛苦苦分析了大半天,终于在某一个线程的调用栈上找到了一个可疑的方法,但 windbg 常常是以 汇编 的方式显示方法代码的,可惜的是,现如今的汇编,有多少像我们这些速成系码农还看的懂呢?😂😂😂

接下来尖锐的问题就来了,如何将这些汇编代码转成 C# 源代码,如果转不成源代码转成 IL代码也好呀,起码我努努力还是能试着看的懂的。。。

本篇我就来分享下如何把 dump 中的方法源码提取出来。

二:从 dump 文件中提取源代码

1. 案例演示

为了能够演示方便,我用 .netcore 3.1  写了一个简单的demo,代码如下:

namespace ConsoleApp6
{
    class Program
    {
        static void Main(string[] args)
        {
            Run();
        }

        static void Run()
        {
            Console.WriteLine("hello world!");
            Console.ReadLine();
        }
    }
}

将程序跑起来后,使用 任务管理器, adplus, procdump 随便哪一个抓取 dump 都可以。

2. 使用 lm + savemodule 命令提取

如果你的程序足够简单,可以直接用 lm 获取程序中所有的模块,然后使用 savemodule 将模块导出为 exe/dll 物理文件,如下所示:

  • 使用 lm 提取出所有模块
0:000> lm
start             end                 module name
000002c2`264b0000 000002c2`264b8000   ConsoleApp6_2c2264b0000   (deferred)             
00007ff7`e4a50000 00007ff7`e4a7f000   ConsoleApp6   (deferred)             
00007ffa`a4b50000 00007ffa`a546d000   System_Private_CoreLib   (deferred)             
00007ffa`a5470000 00007ffa`a59df000   coreclr    (deferred)             
00007ffa`df070000 00007ffa`df1b2000   clrjit     (deferred)             
...

可以隐约的看到,我有一个名为 ConsoleApp6_2c2264b0000 的模块,这就是我要提取的 ConsoleApp6.exe,顺便提一下,那个很碍眼的 ConsoleApp6 (deferred) 是 PE 文件,要问我怎么知道的?试一下就好啦😁

  • 使用 savemodule 提取

从上面第一行 start 列中可以看到 ConsoleApp6_2c2264b0000 的开始地址为 000002c2264b0000,接下来用 savemodule 导出到 E:\dump。

0:000> !savemodule 000002c2`264b0000 E:\dump\ConsoleApp6.exe
3 sections in file
section 0 - VA=2000, VASize=6c4, FileAddr=200, FileSize=800
section 1 - VA=4000, VASize=564, FileAddr=a00, FileSize=600
section 2 - VA=6000, VASize=c, FileAddr=1000, FileSize=200

然后就可以看到 E:\dump 里面多了一个 ConsoleApp6.exe 🐂,有了这玩意看源码就简单多了,直接用 ILSpy 对其进行反编译即可。

3. 使用 dumpdomain/module + savemodule 提取

实际开发中有可能你的程序非常复杂,使用 lm 直接提取模块是找不到的,最好的办法就是 按图索骥 的方式寻找你要的 module,还记得 CLR Via C# 上说过的 AppDomain,Assembly,Module 之间的关系吗?如果要详细了解,建议翻看一下,这里我大概简述一下, Assembly 一般包含若干个 Module + 资源文件, Assembly 就是一个 dll/exe 文件,程序跑起来后,Assembly是被妥善安置在 AppDomain 中的。

有了上面这个思想,是不是就可以通过这个流程 AppDomain -> Assembly -> Module 找到 module 啦?接下来看看如何去实现。

  • 使用 !dumpdomain 找到 ConsoleApp6 所在的程序域
0:000> !dumpdomain
--------------------------------------
System Domain:      00007ffaa59996f0
LowFrequencyHeap:   00007FFAA5999C58
HighFrequencyHeap:  00007FFAA5999CE8
StubHeap:           00007FFAA5999D78
Stage:              OPEN
Name:               None
--------------------------------------
Domain 1:           000002c224b6ca80
LowFrequencyHeap:   00007FFAA5999C58
HighFrequencyHeap:  00007FFAA5999CE8
StubHeap:           00007FFAA5999D78
Stage:              OPEN
Name:               clrhost
Assembly:           000002c224bf1c00 [C:\Program Files\dotnet\shared\Microsoft.NETCore.App\3.1.12\System.Private.CoreLib.dll]
ClassLoader:        000002C224B61820
  Module
  00007ffa45984020    C:\Program Files\dotnet\shared\Microsoft.NETCore.App\3.1.12\System.Private.CoreLib.dll

Assembly:           000002c224bf1980 [E:\net5\ConsoleApp3\ConsoleApp6\bin\Debug\netcoreapp3.1\ConsoleApp6.dll]
ClassLoader:        000002C224BE3F80
  Module
  00007ffa45b5f7d0    E:\net5\ConsoleApp3\ConsoleApp6\bin\Debug\netcoreapp3.1\ConsoleApp6.dll

尴尬,记得不错的话,在 .NET Framework 中默认会有三个应用程序域。

  • System Domain
  • Shared Domain
  • Domain 1

咋到 .NET Core 上就丢了一个 Shard Domain 呢 😄😄😄,先不管啦,从图中可以清楚的看到 Domian 1 上有我的dll E:\net5\ConsoleApp3\ConsoleApp6\bin\Debug\netcoreapp3.1\ConsoleApp6.dll,同时还有一个 module 的地址 00007ffa45b5f7d0。

  • 使用 !dumpmodule 获取 module 详细信息
0:000> !DumpModule /d 00007ffa45b5f7d0
Name: E:\net5\ConsoleApp3\ConsoleApp6\bin\Debug\netcoreapp3.1\ConsoleApp6.dll
Attributes:              PEFile SupportsUpdateableMethods 
Assembly:                000002c224bf1980
BaseAddress:             000002C2264B0000
PEFile:                  000002C224BF2300
ModuleId:                00007FFA45B5FB98
ModuleIndex:             0000000000000001
LoaderHeap:              0000000000000000
TypeDefToMethodTableMap: 00007FFA45B3C8D0
TypeRefToMethodTableMap: 00007FFA45B3C8E8
MethodDefToDescMap:      00007FFA45B3C958
FieldDefToDescMap:       00007FFA45B3C978
MemberRefToDescMap:      0000000000000000
FileReferencesMap:       00007FFA45B3C988
AssemblyReferencesMap:   00007FFA45B3C990
MetaData start address:  000002C2264B2078 (1304 bytes)

从上面的 BaseAddress: 000002C2264B0000 可以看出,module 的start 地址为 000002C2264B0000,是不是和刚才我用 lm 提取出来的地址一致哈,最后用 savemodule 导出一下就可以啦,为了做区分,我取名为 ConsoleApp7.exe, 如下所示:

哈哈,剩下来的就是用 ILSpy 反编译 CosoleApp7 啦。

以上就是如何从dump文件中提取出C#源代码的详细内容,更多关于dump 文件中提取出 C# 源代码的资料请关注我们其它相关文章!

(0)

相关推荐

  • C#中使用Socket获取网页源代码的代码

    WebToolkit类: 复制代码 代码如下: using System; using System.Net.Sockets; using System.Text; namespace ConsoleApplication1 { class WebToolkit { /// <summary> /// Url结构 /// </summary> struct UrlInfo { public string Host; public int Port; public string Fi

  • c# 实现MD5,SHA1,SHA256,SHA512等常用加密算法源代码

    复制代码 代码如下: using System; using System.IO; using System.Data; using System.Text; using System.Diagnostics; using System.Security; using System.Security.Cryptography; /**//* * .Net框架由于拥有CLR提供的丰富库支持,只需很少的代码即可实现先前使用C等旧式语言很难实现的加密算法.本类实现一些常用机密算法,供参考.其中MD5算

  • C#获取网页源代码的方法

    本文实例讲述了C#获取网页源代码的方法.分享给大家供大家参考.具体如下: public string GetPageHTML(string url) { try { HttpWebRequest wr = WebRequest.Create(url) as HttpWebRequest; wr.Method = "get"; wr.Accept = "*/*"; wr.Headers.Add("Accept-Language: zh-cn");

  • 如何从dump文件中提取出C#源代码

    一:背景 相信有很多朋友在遇到应用程序各种奇葩问题后,拿下来一个dump文件,辛辛苦苦分析了大半天,终于在某一个线程的调用栈上找到了一个可疑的方法,但 windbg 常常是以 汇编 的方式显示方法代码的,可惜的是,现如今的汇编,有多少像我们这些速成系码农还看的懂呢?

  • 从DataFrame中提取出Series或DataFrame对象的方法

    如下所示: df = pd.DataFrame({'key': ['b', 'b', 'a', 'c', 'a', 'b'],                    'data1': range(6)}) type(df['data1']) pandas.core.series.Series type(df[['data1']]) pandas.core.frame.DataFrame 以上这篇从DataFrame中提取出Series或DataFrame对象的方法就是小编分享给大家的全部内容了,

  • python在TXT文件中按照某一字符串取出该字符串所在的行方法

    主要流程:读取文件数据--将每一行数据分成不同的字符段--在判断 在某个字否段是否含与某个字符.(只是其中一种办法) 代码如下: with open(r"C:\Users\LENOVO\Desktop\20170513155231.txt", encoding='utf-8') as f:#从TXT文件中读出数据 for line1 in f: list.append(line1) #通过for循环一行一行加载 datalist=[] #定义一个数组 for item in list:

  • 利用Shell脚本循环读取文件中每一行的方法详解

    前言 本文主要给大家介绍了关于使用Shell脚本循环读取文件每一行的相关内容,分享出来供大家参考学习,下面话不多说了,来一起看看详细的介绍吧. 一.使用for循环 for line in `cat filename` do echo $line done 或者 for line in $(cat filename) do echo $line done 二.使用while循环 while read -r line do echo $line done < filename While循环中rea

  • 编写可以打开文本文件并打乱在该文件中所找到的单词顺序的vbs脚本

    问: 您好,脚本专家!我女儿有一种闪卡式程序,它能够获取文本文件中的单词列表.我如何编写一个脚本,使其能够打开该文件并自动打乱单词列表的顺序呢? -- SN 答: 您好,SN.您知道,大多数情况下,我们尽力使此专栏关注实际的系统管理任务:我们告诉您如何设置默认打印机.如何禁用服务以及如何映射网络驱动器.不过,有时我们也愿意处理那种听起来就很有趣的问题,而最终的结果有多大用处我们是不会去考虑的.系统管理员通常需要打乱文本文件中单词列表的顺序吗?可能不需要.但是,若是只工作,不玩耍,想必聪明的小孩也

  • Shell脚本对文件中的行、单词、字符进行迭代输出示例

    在进行文本文件进行处理时,对文件件中的行.单词.字符进行迭代和遍历是非常常用的操作.而将一个简单的循环用于迭代,再加上来自stdin或文件的重定向,这就是对文件中的行.单词.和字符进行迭代的基本方法. 废话不多说,马上来看看怎么样实现吧. 1.迭代文中的每一行 使用while循环从标准输入中读取,因为要在标准输入中读取,就要对文件进行重定向,使它重定向到stdin中,代码如下: 复制代码 代码如下: while read line;  do  echo $line;  done < file.t

  • 利用numpy和pandas处理csv文件中的时间方法

    环境:numpy,pandas,python3 在机器学习和深度学习的过程中,对于处理预测,回归问题,有时候变量是时间,需要进行合适的转换处理后才能进行学习分析,关于时间的变量如下所示,利用pandas和numpy对csv文件中时间进行处理. date (UTC) Price 01/01/2015 0:00 48.1 01/01/2015 1:00 47.33 01/01/2015 2:00 42.27 #coding:utf-8 import datetime import pandas as

  • shell查找某字符串在某文件中出现行数的方法

    一.简介 有的时候,我们需要分析日志来排查错误,但是日志文件特别大,打开肯定是很慢的,也是没法接受的,我们需要的是快速定位错误出现的位置,并定向取出错误信息. 快速定位某个字符串在某文件中出现的行数,可以使用 linux中grep命令 默认情况,grep命令只会输出匹配的字符串所在的行,如下: 要想同时输出行号,可以指定参数-n,关于-n参数描述如下: -n, --line-number print line number with output lines 现在,我们已经确定要查询的错误所在行

  • 将python运行结果保存至本地文件中的示例讲解

    一.建立文件,保存数据 1.使用python中内置的open函数 打开txt文件 #mode 模式 #w 只能操作写入 r 只能读取 a 向文件追加 #w+ 可读可写 r+可读可写 a+可读可追加 #wb+写入进制数据 #w模式打开文件,如果而文件中有数据,再次写入内容,会把原来的覆盖掉 file_handle=open('1.txt',mode='w') 2.向文件中写入数据 2.1 write写入 #\n 换行符 file_handle.write('hello word 你好 \n') 2

  • java使用OpenCV从视频文件中获取帧

    本文实例为大家分享了java使用OpenCV从视频文件中获取帧的具体代码,供大家参考,具体内容如下 实现功能:使用Java获取mp4.mov.avi等视频文件中的图像帧,每秒获取一帧图像,并保存 环境要求:需要安装Opencv,安装FFmpeg,下载javacv包 操作系统:本次实验使用的Ubuntu系统 实验代码 import com.googlecode.javacv.cpp.opencv_highgui; import org.opencv.core.Core; import org.op

随机推荐