一:背景
相信有很多朋友在遇到應(yīng)用程序各種奇葩問(wèn)題后��,拿下來(lái)一個(gè)dump文件�,辛辛苦苦分析了大半天�,終于在某一個(gè)線程的調(diào)用棧上找到了一個(gè)可疑的方法���,但 windbg 常常是以 匯編 的方式顯示方法代碼的��,可惜的是��,現(xiàn)如今的匯編����,有多少像我們這些速成系碼農(nóng)還看的懂呢�? ??????
接下來(lái)尖銳的問(wèn)題就來(lái)了,如何將這些匯編代碼轉(zhuǎn)成 C# 源代碼���,如果轉(zhuǎn)不成源代碼轉(zhuǎn)成 IL代碼也好呀�����,起碼我努努力還是能試著看的懂的���。����。��。
本篇我就來(lái)分享下如何把 dump 中的方法源碼提取出來(lái)�。
二: 從 dump 文件中提取源代碼
1. 案例演示
為了能夠演示方便,我用 .netcore 3.1 寫(xiě)了一個(gè)簡(jiǎn)單的demo�,代碼如下:
namespace ConsoleApp6
{
class Program
{
static void Main(string[] args)
{
Run();
}
static void Run()
{
Console.WriteLine("hello world!");
Console.ReadLine();
}
}
}
將程序跑起來(lái)后,使用 任務(wù)管理器, adplus, procdump 隨便哪一個(gè)抓取 dump 都可以���。
2. 使用 lm + savemodule 命令提取
如果你的程序足夠簡(jiǎn)單�,可以直接用 lm 獲取程序中所有的模塊�,然后使用 savemodule 將模塊導(dǎo)出為 exe/dll 物理文件,如下所示:
0:000> lm
start end module name
000002c2`264b0000 000002c2`264b8000 ConsoleApp6_2c2264b0000 (deferred)
00007ff7`e4a50000 00007ff7`e4a7f000 ConsoleApp6 (deferred)
00007ffa`a4b50000 00007ffa`a546d000 System_Private_CoreLib (deferred)
00007ffa`a5470000 00007ffa`a59df000 coreclr (deferred)
00007ffa`df070000 00007ffa`df1b2000 clrjit (deferred)
...
可以隱約的看到�,我有一個(gè)名為 ConsoleApp6_2c2264b0000 的模塊,這就是我要提取的 ConsoleApp6.exe�����,順便提一下��,那個(gè)很礙眼的 ConsoleApp6 (deferred) 是 PE 文件,要問(wèn)我怎么知道的����? 試一下就好啦??
從上面第一行 start 列中可以看到 ConsoleApp6_2c2264b0000 的開(kāi)始地址為 000002c2264b0000,接下來(lái)用 savemodule 導(dǎo)出到 E:\dump��。
0:000> !savemodule 000002c2`264b0000 E:\dump\ConsoleApp6.exe
3 sections in file
section 0 - VA=2000, VASize=6c4, FileAddr=200, FileSize=800
section 1 - VA=4000, VASize=564, FileAddr=a00, FileSize=600
section 2 - VA=6000, VASize=c, FileAddr=1000, FileSize=200
然后就可以看到 E:\dump 里面多了一個(gè) ConsoleApp6.exe ??�,有了這玩意看源碼就簡(jiǎn)單多了,直接用 ILSpy 對(duì)其進(jìn)行反編譯即可�。
3. 使用 dumpdomain/module + savemodule 提取
實(shí)際開(kāi)發(fā)中有可能你的程序非常復(fù)雜,使用 lm 直接提取模塊是找不到的��,最好的辦法就是 按圖索驥 的方式尋找你要的 module����,還記得 CLR Via C# 上說(shuō)過(guò)的 AppDomain���,Assembly����,Module 之間的關(guān)系嗎�����?如果要詳細(xì)了解,建議翻看一下���,這里我大概簡(jiǎn)述一下���, Assembly 一般包含若干個(gè) Module + 資源文件, Assembly 就是一個(gè) dll/exe 文件,程序跑起來(lái)后�����,Assembly是被妥善安置在 AppDomain 中的�����。
有了上面這個(gè)思想����,是不是就可以通過(guò)這個(gè)流程 AppDomain -> Assembly -> Module 找到 module 啦? 接下來(lái)看看如何去實(shí)現(xiàn)�����。
- 使用 !dumpdomain 找到 ConsoleApp6 所在的程序域
0:000> !dumpdomain
--------------------------------------
System Domain: 00007ffaa59996f0
LowFrequencyHeap: 00007FFAA5999C58
HighFrequencyHeap: 00007FFAA5999CE8
StubHeap: 00007FFAA5999D78
Stage: OPEN
Name: None
--------------------------------------
Domain 1: 000002c224b6ca80
LowFrequencyHeap: 00007FFAA5999C58
HighFrequencyHeap: 00007FFAA5999CE8
StubHeap: 00007FFAA5999D78
Stage: OPEN
Name: clrhost
Assembly: 000002c224bf1c00 [C:\Program Files\dotnet\shared\Microsoft.NETCore.App\3.1.12\System.Private.CoreLib.dll]
ClassLoader: 000002C224B61820
Module
00007ffa45984020 C:\Program Files\dotnet\shared\Microsoft.NETCore.App\3.1.12\System.Private.CoreLib.dll
Assembly: 000002c224bf1980 [E:\net5\ConsoleApp3\ConsoleApp6\bin\Debug\netcoreapp3.1\ConsoleApp6.dll]
ClassLoader: 000002C224BE3F80
Module
00007ffa45b5f7d0 E:\net5\ConsoleApp3\ConsoleApp6\bin\Debug\netcoreapp3.1\ConsoleApp6.dll
尷尬�����,記得不錯(cuò)的話,在 .NET Framework 中默認(rèn)會(huì)有三個(gè)應(yīng)用程序域����。
- System Domain
- Shared Domain
- Domain 1
咋到 .NET Core 上就丟了一個(gè) Shard Domain 呢 ??????,先不管啦�,從圖中可以清楚的看到 Domian 1 上有我的dll E:\net5\ConsoleApp3\ConsoleApp6\bin\Debug\netcoreapp3.1\ConsoleApp6.dll,同時(shí)還有一個(gè) module 的地址 00007ffa45b5f7d0����。
- 使用 !dumpmodule 獲取 module 詳細(xì)信息
0:000> !DumpModule /d 00007ffa45b5f7d0
Name: E:\net5\ConsoleApp3\ConsoleApp6\bin\Debug\netcoreapp3.1\ConsoleApp6.dll
Attributes: PEFile SupportsUpdateableMethods
Assembly: 000002c224bf1980
BaseAddress: 000002C2264B0000
PEFile: 000002C224BF2300
ModuleId: 00007FFA45B5FB98
ModuleIndex: 0000000000000001
LoaderHeap: 0000000000000000
TypeDefToMethodTableMap: 00007FFA45B3C8D0
TypeRefToMethodTableMap: 00007FFA45B3C8E8
MethodDefToDescMap: 00007FFA45B3C958
FieldDefToDescMap: 00007FFA45B3C978
MemberRefToDescMap: 0000000000000000
FileReferencesMap: 00007FFA45B3C988
AssemblyReferencesMap: 00007FFA45B3C990
MetaData start address: 000002C2264B2078 (1304 bytes)
從上面的 BaseAddress: 000002C2264B0000 可以看出,module 的start 地址為 000002C2264B0000�����,是不是和剛才我用 lm 提取出來(lái)的地址一致哈�,最后用 savemodule 導(dǎo)出一下就可以啦,為了做區(qū)分��,我取名為 ConsoleApp7.exe, 如下所示:
0:000> !savemodule 000002C2264B0000 E:\dump\ConsoleApp7.exe
3 sections in file
section 0 - VA=2000, VASize=6c4, FileAddr=200, FileSize=800
section 1 - VA=4000, VASize=564, FileAddr=a00, FileSize=600
section 2 - VA=6000, VASize=c, FileAddr=1000, FileSize=200
哈哈�����,剩下來(lái)的就是用 ILSpy 反編譯 CosoleApp7 啦��。
?轉(zhuǎn)自https://www.cnblogs.com/huangxincheng/p/14646383.html
該文章在 2024/12/2 10:31:11 編輯過(guò)
400 186 1886
