如何从dump文件中提取出C#源代码

2024-04-02 19:04:59 548人浏览泡泡鱼

摘要

目录一：背景二：从 dump 文件中提取源代码1. 案例演示2. 使用 lm + savemodule 命令提取3. 使用 dumpdomain/module + savemodul

一：背景

相信有很多朋友在遇到应用程序各种奇葩问题后，拿下来一个dump文件，辛辛苦苦分析了大半天，终于在某一个线程的调用栈上找到了一个可疑的方法，但 windbg 常常是以汇编的方式显示方法代码的，可惜的是，现如今的汇编，有多少像我们这些速成系码农还看的懂呢？😂😂😂

接下来尖锐的问题就来了，如何将这些汇编代码转成 C# 源代码，如果转不成源代码转成 IL代码也好呀，起码我努努力还是能试着看的懂的。。。

本篇我就来分享下如何把 dump 中的方法源码提取出来。

二：从 dump 文件中提取源代码

1. 案例演示

为了能够演示方便，我用 .netcore 3.1 写了一个简单的demo，代码如下：


namespace ConsoleApp6
{
    class Program
    {
        static void Main(string[] args)
        {
            Run();
        }

        static void Run()
        {
            Console.WriteLine("hello world!");
            Console.ReadLine();
        }
    }
}

将程序跑起来后，使用任务管理器, adplus, procdump 随便哪一个抓取 dump 都可以。

2. 使用 lm + savemodule 命令提取

如果你的程序足够简单，可以直接用 lm 获取程序中所有的模块，然后使用 savemodule 将模块导出为 exe/dll 物理文件，如下所示：

使用 lm 提取出所有模块


0:000> lm
start             end                 module name
000002c2`264b0000 000002c2`264b8000   ConsoleApp6_2c2264b0000   (deferred)             
00007ff7`e4a50000 00007ff7`e4a7f000   ConsoleApp6   (deferred)             
00007ffa`a4b50000 00007ffa`a546d000   System_Private_CoreLib   (deferred)             
00007ffa`a5470000 00007ffa`a59df000   coreclr    (deferred)             
00007ffa`df070000 00007ffa`df1b2000   clrjit     (deferred)             
...

可以隐约的看到，我有一个名为 ConsoleApp6_2c2264b0000 的模块，这就是我要提取的 ConsoleApp6.exe，顺便提一下，那个很碍眼的 ConsoleApp6 (deferred) 是 PE 文件，要问我怎么知道的？试一下就好啦😁

使用 savemodule 提取

从上面第一行 start 列中可以看到 ConsoleApp6_2c2264b0000 的开始地址为 000002c2264b0000，接下来用 savemodule 导出到 E:\dump。


0:000> !savemodule 000002c2`264b0000 E:\dump\ConsoleApp6.exe
3 sections in file
section 0 - VA=2000, VASize=6c4, FileAddr=200, FileSize=800
section 1 - VA=4000, VASize=564, FileAddr=a00, FileSize=600
section 2 - VA=6000, VASize=c, FileAddr=1000, FileSize=200

然后就可以看到 E:\dump 里面多了一个 ConsoleApp6.exe 🐂，有了这玩意看源码就简单多了，直接用 ILSpy 对其进行反编译即可。

3. 使用 dumpdomain/module + savemodule 提取

实际开发中有可能你的程序非常复杂，使用 lm 直接提取模块是找不到的，最好的办法就是按图索骥的方式寻找你要的 module，还记得 CLR Via C# 上说过的 AppDomain，Assembly，Module 之间的关系吗？如果要详细了解，建议翻看一下，这里我大概简述一下， Assembly 一般包含若干个 Module + 资源文件, Assembly 就是一个 dll/exe 文件，程序跑起来后，Assembly是被妥善安置在 AppDomain 中的。

有了上面这个思想，是不是就可以通过这个流程 AppDomain -> Assembly -> Module 找到 module 啦？接下来看看如何去实现。

使用 !dumpdomain 找到 ConsoleApp6 所在的程序域


0:000> !dumpdomain
--------------------------------------
System Domain:      00007ffaa59996f0
LowFrequencyHeap:   00007FFAA5999C58
HighFrequencyHeap:  00007FFAA5999CE8
StubHeap:           00007FFAA5999D78
Stage:              OPEN
Name:               None
--------------------------------------
Domain 1:           000002c224b6ca80
LowFrequencyHeap:   00007FFAA5999C58
HighFrequencyHeap:  00007FFAA5999CE8
StubHeap:           00007FFAA5999D78
Stage:              OPEN
Name:               clrhost
Assembly:           000002c224bf1c00 [C:\Program Files\dotnet\shared\Microsoft.netcore.App\3.1.12\System.Private.CoreLib.dll]
ClassLoader:        000002C224B61820
  Module
  00007ffa45984020    C:\Program Files\dotnet\shared\Microsoft.netCore.App\3.1.12\System.Private.CoreLib.dll

Assembly:           000002c224bf1980 [E:\net5\ConsoleApp3\ConsoleApp6\bin\Debug\netcoreapp3.1\ConsoleApp6.dll]
ClassLoader:        000002C224BE3F80
  Module
  00007ffa45b5f7d0    E:\net5\ConsoleApp3\ConsoleApp6\bin\Debug\netcoreapp3.1\ConsoleApp6.dll

尴尬，记得不错的话，在 .NET Framework 中默认会有三个应用程序域。

System Domain
Shared Domain
Domain 1

咋到 .net core 上就丢了一个 Shard Domain 呢 😄😄😄，先不管啦，从图中可以清楚的看到 Domian 1 上有我的dll E:\net5\ConsoleApp3\ConsoleApp6\bin\Debug\netcoreapp3.1\ConsoleApp6.dll，同时还有一个 module 的地址 00007ffa45b5f7d0。

使用 !dumpmodule 获取 module 详细信息


0:000> !DumpModule /d 00007ffa45b5f7d0
Name: E:\net5\ConsoleApp3\ConsoleApp6\bin\Debug\netcoreapp3.1\ConsoleApp6.dll
Attributes:              PEFile SupportsUpdateableMethods 
Assembly:                000002c224bf1980
BaseAddress:             000002C2264B0000
PEFile:                  000002C224BF2300
ModuleId:                00007FFA45B5FB98
ModuleIndex:             0000000000000001
LoaderHeap:              0000000000000000
TypeDefToMethodTableMap: 00007FFA45B3C8D0
TypeRefToMethodTableMap: 00007FFA45B3C8E8
MethodDefToDescMap:      00007FFA45B3C958
FieldDefToDescMap:       00007FFA45B3C978
MemberRefToDescMap:      0000000000000000
FileReferencesMap:       00007FFA45B3C988
AssemblyReferencesMap:   00007FFA45B3C990
MetaData start address:  000002C2264B2078 (1304 bytes)

从上面的 BaseAddress: 000002C2264B0000 可以看出，module 的start 地址为 000002C2264B0000，是不是和刚才我用 lm 提取出来的地址一致哈，最后用 savemodule 导出一下就可以啦,为了做区分，我取名为 ConsoleApp7.exe, 如下所示：

哈哈，剩下来的就是用 ILSpy 反编译 CosoleApp7 啦。

以上就是如何从dump文件中提取出C#源代码的详细内容，更多关于dump 文件中提取出 C# 源代码的资料请关注编程网其它相关文章！

点击免费下载>>软考高级考试备考技巧/历年真题/备考精华资料

--结束END--

本文标题: 如何从dump文件中提取出C#源代码

本文链接: https://www.lsjlt.com/news/122666.html(转载时请注明来源链接)

有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

本篇文章演示代码以及资料文档资料下载

下载Word文档到电脑，方便收藏和打印～

下载Word文档

去做题

猜你喜欢

如何从dump文件中提取出C#源代码

目录一：背景二：从 dump 文件中提取源代码1. 案例演示2. 使用 lm + savemodule 命令提取3. 使用 dumpdomain/module + savemodul...

99+

2024-04-02
C++如何从文件中提取英文单词

本篇内容主要讲解“C++如何从文件中提取英文单词”，感兴趣的朋友不妨来看看。本文介绍的方法操作简单快捷，实用性强。下面就让小编来带大家学习“C++如何从文件中提取英文单词”吧!思路：打开文件读取每一行找到特殊的标点符号的位置，进行删除。根据...

99+

2023-07-02
java中如何获取JVM dump文件

这篇文章主要介绍了java中如何获取JVM dump文件，具有一定借鉴价值，感兴趣的朋友可以参考下，希望大家阅读完这篇文章之后大有收获，下面让小编带着大家一起了解一下。JVM dumpjava内存dump是jvm运行时内存的一份快照，利用它...

99+

2023-06-15
c语言如何从文件中读取数据

在C语言中，我们可以使用以下步骤从文件中读取数据：1. 打开文件：使用`fopen()`函数打开文件，它接受两个参数，一个是文件名，...

99+

2023-09-20

c语言
C++从文件中提取英文单词的实现方法

目录思路：一：读取一行，去除该行标点符号二：截取单词三：将拿到的每一个单词都放在链表中首先，要准备好words.txt（英文文章）置于工程目录下思路： 1.打开文件 2.读取每一行...

99+

2024-04-02
C#/VB.NET实现从PPT中提取图片的示例代码

目录程序环境从整个演示文稿中提取图像完整代码效果图从特定演示幻灯片中提取图像完整代码效果图PowerPoint是用于制作幻灯片（演示文稿）的应用软件，每张幻灯片中都可以包含文字、图形...

99+

2023-03-14

C#实现PPT提取图片 C# PPT提取图片 C# PPT 图片
Linux中如何从ISO镜像提取和复制文件

这篇文章给大家分享的是有关Linux中如何从ISO镜像提取和复制文件的内容。小编觉得挺实用的，因此分享给大家做个参考，一起跟随小编过来看看吧。在 Linux 系统下提取 ISO 镜像文件为了完成该测试，你得有一个 ISO 镜像文件（我使用 ...

99+

2023-06-27
dotenv源码解读从.env文件中读取环境变量

目录引言使用源码configparse总结引言 dotenv从.env文件中读取环境变量，然后将其添加到process.env中。这是一个非常简单的库，但是它在开发中非常有用，因为它...

99+

2022-12-25

dotenv .env文件读取环境变量 dotenv .env
如何从 HTML 中读取文本文件

html无法直接读取文本文件。可以通过javascript使用filereader api实现：1. 获取文件输入元素；2. 监听文件选择事件；3. 创建一个filereader对象；4...

99+

2024-04-09

html 文本文件
如何提高Android从文件中读取图像的效率

本篇文章给大家分享的是有关如何提高Android从文件中读取图像的效率，小编觉得挺实用的，因此分享给大家学习，希望大家阅读完这篇文章后可以有所收获，话不多说，跟着小编一起来看看吧。方法一start_time = Syst...

99+

2023-05-31

android roi %d
C#/VB.NET如何实现从PPT中提取图片

本文小编为大家详细介绍“C#/VB.NET如何实现从PPT中提取图片”，内容详细，步骤清晰，细节处理妥当，希望这篇“C#/VB.NET如何实现从PPT中提取图片”文章能帮助大家解决疑惑，下面跟着小编的思路慢慢深入，一起来学习新知识吧。程序环...

99+

2023-07-05
如何将文本数据从HTML或其他格式中提取出来

这篇文章主要介绍了如何将文本数据从HTML或其他格式中提取出来的相关知识，内容详细易懂，操作简单快捷，具有一定借鉴价值，相信大家阅读完这篇如何将文本数据从HTML或其他格式中提取出来文章都会有所收获，下面我们一起来看看吧。一、使用strip...

99+

2023-07-05
java代码如何导出文件形式

要将Java代码导出为文件形式，可以使用Java的文件操作类和流操作类。以下是一个简单的示例，将字符串内容写入一个文件中：```ja...

99+

2023-10-08

java
如何从json文件中读取数据

你可以使用Python的`json`模块来读取JSON文件。下面是一个简单的示例代码：```pythonimport json# 打...

99+

2023-09-13

json
Node.js如何提取文件中的中文字符

目录一 .问题来源二 .解决过程三 .方案总结及延伸思考一 .问题来源在实际应用中，有时需要对一个包含中文字符的文件进行处理，比如对文本内容进行分词、文本分析、文本挖掘等操作，这些...

99+

2023-05-19

Node.js提取中文字符 Node.js提取文件字符
python读取文件出现乱码如何解决

读取文件出现乱码的原因可能是文件的编码格式与代码中指定的编码格式不一致。解决办法如下：使用正确的编码格式打开文件。可以使用op...

99+

2023-10-20

python
C#中如何读取配置文件

C#中如何读取配置文件，针对这个问题，这篇文章详细介绍了相对应的分析和解答，希望可以帮助更多想解决这个问题的小伙伴找到更简单易行的方法。C#读取配置文件1、读取配置信息下面是一个配置文件的具体内容： &nb...

99+

2023-06-18
如何在c#中读取CAD文件

今天就跟大家聊聊有关如何在c#中读取CAD文件，可能很多人都不太了解，为了让大家更加了解，小编给大家总结了以下内容，希望大家根据这篇文章可以有所收获。//在不使用任务插件的情况下读取DWG文件的缩略图，以便在没有安装AutoCAD的计算机上...

99+

2023-06-15
php如何从一个url里取出文件的扩展名

这篇文章主要介绍了php如何从一个url里取出文件的扩展名，具有一定借鉴价值，感兴趣的朋友可以参考下，希望大家阅读完这篇文章之后大有收获，下面让小编带着大家一起了解一下。header("Conte...

99+

2024-04-02
TS如何从目录中提取所有指定扩展名的文件

目录TS如何从目录中提取所有指定扩展名的文件“.ts”是一种高清视频封装格式文件，全称为MPEG2-TS，TS表示TransportStream；MPEG2-...

99+

2023-05-20

TS提取所有指定扩展名的文件 TS提取目录扩展名文件