从堆中抢救丢失的博客

Windbg–文件–打开崩溃转储  将ieblog.dump文件加载,int 3中断

输入命令查找关键字符“当年在”

S -u 0 L800000 “当年在”  // Search Memory from address 0x0 Length 800000 unicode ‘当年在’

定位查看某个地址的具体内容

du 0x0011 L1000 //Display Memory address 0x0011 length 1000 unicode content

使用writemem命令将内容转储到txt文件中

.writemem c:\1.txt 0x01 L1500

查看1.txt,是乱码

使用winhex载入1.txt文件,然后将文件头修改为unicode标识符FFFE保存

此时文件可以显示中文,但是‘当’字被标识符替换了

另外,作为html文件,标签<p></p>需成对出现,需要在原来地址处向上查找<p>标签位置

使用db命令查看地址-8位置的byte字节 // display byte in address 0x01

并且发现开头字节为00 00,正好可以替换为FF FE,而不影响其他位置

使用eb命令(enter value)将byte字节改为ff fe

再次转储为txt文件

查看2.txt文件,以成功将博客的html文件找回

PS:文件长度L1500没有严格计算,需要计算长度或转储之后删除掉多余内容

您可能还喜欢...