共计 3865 个字符,预计需要花费 10 分钟才能阅读完成。
一:背景
置信有很多敌人在遇到应用程序各种奇葩问题后,拿下来一个 dump 文件,辛辛苦苦剖析了大半天,终于在某一个线程的调用栈上找到了一个可疑的办法,但 windbg 经常是以 汇编 的形式显示办法代码的,惋惜的是,现如今的汇编,有多少像咱们这些速成系码农还看的懂呢?😂😂😂
接下来尖利的问题就来了,如何将这些汇编代码转成 C# 源代码,如果转不成源代码转成 IL 代码也好呀,起码我努致力还是能试着看的懂的。。。
本篇我就来分享下如何把 dump 中的办法源码提取进去。
二:从 dump 文件中提取源代码
1. 案例演示
为了可能演示不便,我用 .netcore 3.1 写了一个简略的 demo,代码如下:
namespace ConsoleApp6
{
class Program
{static void Main(string[] args)
{Run();
}
static void Run()
{Console.WriteLine("hello world!");
Console.ReadLine();}
}
}
将程序跑起来后,应用 工作管理器 , adplus, procdump 轻易哪一个抓取 dump 都能够。
2. 应用 lm + savemodule 命令提取
如果你的程序足够简略,能够间接用 lm 获取程序中所有的模块,而后应用 savemodule 将模块导出为 exe/dll 物理文件,如下所示:
- 应用 lm 提取出所有模块
0:000> lm
start end module name
000002c2`264b0000 000002c2`264b8000 ConsoleApp6_2c2264b0000 (deferred)
00007ff7`e4a50000 00007ff7`e4a7f000 ConsoleApp6 (deferred)
00007ffa`a4b50000 00007ffa`a546d000 System_Private_CoreLib (deferred)
00007ffa`a5470000 00007ffa`a59df000 coreclr (deferred)
00007ffa`df070000 00007ffa`df1b2000 clrjit (deferred)
...
能够隐约的看到,我有一个名为 ConsoleApp6_2c2264b0000 的模块,这就是我要提取的 ConsoleApp6.exe,顺便提一下,那个很碍眼的 ConsoleApp6 (deferred) 是 PE 文件,要问我怎么晓得的?试一下就好啦😁
- 应用 savemodule 提取
从下面第一行 start 列中能够看到 ConsoleApp6_2c2264b0000 的开始地址为 000002c2264b0000,接下来用 savemodule 导出到 E:\dump。
0:000> !savemodule 000002c2`264b0000 E:\dump\ConsoleApp6.exe
3 sections in file
section 0 - VA=2000, VASize=6c4, FileAddr=200, FileSize=800
section 1 - VA=4000, VASize=564, FileAddr=a00, FileSize=600
section 2 - VA=6000, VASize=c, FileAddr=1000, FileSize=200
而后就能够看到 E:\dump 外面多了一个 ConsoleApp6.exe 🐂,有了这玩意看源码就简略多了,间接用 ILSpy 对其进行反编译即可。
3. 应用 dumpdomain/module + savemodule 提取
理论开发中有可能你的程序非常复杂,应用 lm 间接提取模块是找不到的,最好的方法就是 按图索骥 的形式寻找你要的 module,还记得 CLR Via C# 上说过的 AppDomain,Assembly,Module 之间的关系吗?如果要具体理解,倡议翻看一下,这里我大略简述一下,Assembly 个别蕴含若干个 Module + 资源文件 , Assembly 就是一个 dll/exe 文件,程序跑起来后,Assembly 是被妥善安置在 AppDomain 中的。
有了下面这个思维,是不是就能够通过这个流程 AppDomain -> Assembly -> Module 找到 module 啦?接下来看看如何去实现。
- 应用 !dumpdomain 找到 ConsoleApp6 所在的程序域
0:000> !dumpdomain
--------------------------------------
System Domain: 00007ffaa59996f0
LowFrequencyHeap: 00007FFAA5999C58
HighFrequencyHeap: 00007FFAA5999CE8
StubHeap: 00007FFAA5999D78
Stage: OPEN
Name: None
--------------------------------------
Domain 1: 000002c224b6ca80
LowFrequencyHeap: 00007FFAA5999C58
HighFrequencyHeap: 00007FFAA5999CE8
StubHeap: 00007FFAA5999D78
Stage: OPEN
Name: clrhost
Assembly: 000002c224bf1c00 [C:\Program Files\dotnet\shared\Microsoft.NETCore.App\3.1.12\System.Private.CoreLib.dll]
ClassLoader: 000002C224B61820
Module
00007ffa45984020 C:\Program Files\dotnet\shared\Microsoft.NETCore.App\3.1.12\System.Private.CoreLib.dll
Assembly: 000002c224bf1980 [E:\net5\ConsoleApp3\ConsoleApp6\bin\Debug\netcoreapp3.1\ConsoleApp6.dll]
ClassLoader: 000002C224BE3F80
Module
00007ffa45b5f7d0 E:\net5\ConsoleApp3\ConsoleApp6\bin\Debug\netcoreapp3.1\ConsoleApp6.dll
难堪,记得不错的话,在 .NET Framework 中默认会有三个应用程序域。
- System Domain
- Shared Domain
- Domain 1
咋到 .NET Core 上就丢了一个 Shard Domain 呢 😄😄😄,先不论啦,从图中能够分明的看到 Domian 1 上有我的 dll E:\net5\ConsoleApp3\ConsoleApp6\bin\Debug\netcoreapp3.1\ConsoleApp6.dll,同时还有一个 module 的地址 00007ffa45b5f7d0。
- 应用 !dumpmodule 获取 module 详细信息
0:000> !DumpModule /d 00007ffa45b5f7d0
Name: E:\net5\ConsoleApp3\ConsoleApp6\bin\Debug\netcoreapp3.1\ConsoleApp6.dll
Attributes: PEFile SupportsUpdateableMethods
Assembly: 000002c224bf1980
BaseAddress: 000002C2264B0000
PEFile: 000002C224BF2300
ModuleId: 00007FFA45B5FB98
ModuleIndex: 0000000000000001
LoaderHeap: 0000000000000000
TypeDefToMethodTableMap: 00007FFA45B3C8D0
TypeRefToMethodTableMap: 00007FFA45B3C8E8
MethodDefToDescMap: 00007FFA45B3C958
FieldDefToDescMap: 00007FFA45B3C978
MemberRefToDescMap: 0000000000000000
FileReferencesMap: 00007FFA45B3C988
AssemblyReferencesMap: 00007FFA45B3C990
MetaData start address: 000002C2264B2078 (1304 bytes)
从下面的 BaseAddress: 000002C2264B0000 能够看出,module 的 start 地址为 000002C2264B0000,是不是和方才我用 lm 提取进去的地址统一哈,最初用 savemodule 导出一下就能够啦, 为了做辨别,我取名为 ConsoleApp7.exe, 如下所示:
0:000> !savemodule 000002C2264B0000 E:\dump\ConsoleApp7.exe
3 sections in file
section 0 - VA=2000, VASize=6c4, FileAddr=200, FileSize=800
section 1 - VA=4000, VASize=564, FileAddr=a00, FileSize=600
section 2 - VA=6000, VASize=c, FileAddr=1000, FileSize=200
哈哈,剩下来的就是用 ILSpy 反编译 CosoleApp7 啦。
