抢救丢失的博文

JoyChou · 发表于 2014-3-19 19:10

本帖最后由 JoyChou 于 2014-3-19 19:16 编辑

0x1. 写在前面
今天下午sae突然跪了。屌丝买不起VPS T_T~~
博客没有设置自动保存。结果等sae恢复的时候，返回已经没用了。

想到以前看到过用windbg来找回丢失的博文，今天也刚好来小试牛刀一把。前提是浏览器尚未关闭。

0x2. 亲自动手
启动windbg，选择File-->Attach to a Process，这里我用的chrome，可以看到chrome有很多进程，随便选一个就行。

接下来就要搜索博客的内容，最好找比较特殊的，在浏览器里只出现过一次的，而且是尽量靠前的。
我试了几次，用的"基础储备"这四个字找的。"基础储备"是我文章最前面的内容。

输入命令： s -u 0 L8000000 "基础储备" 即查找unicode字符"基础设备"，注意双引号要用英文的。

可以看到已经找到了这样的内容，由于windbg不支持中文显示，所以要用du显示。

继续查找每个地址，观察是否能够找到所有博文。
输入命令du 06b4c810 L1000发现没有找完，继续du 06b4c810 L2000发现一样。那就换下一个地址。
知道输入du 071d502c L1000 已经可以发现所有博文。

此时再将内存中的内容dump下来即可。
输入命令：.writemem F:\blog.txt 071d502c L1000
此时dump下来的打开会是乱码。因为没有unicode文件的标识。

最有用winhex在文件偏移0x00处，也就是文件头，增加一个unicode标识，两个字节，FFFE

打开即可看见完整的博客文章了。

agbcd · 发表于 2014-5-31 20:56

谢谢楼主,菜鸟学习了..........

baidxi · 发表于 2014-5-31 18:07

这个。。。有没有WINDBG的详细教程啊？

孤独男孩 · 发表于 2014-5-22 14:21

......原来还有这样的方法找回数据的啊?厉害牛人真多啊

riusksk · 发表于 2014-4-21 18:33

让我想起了《格蠹汇编》一书中同类例子，确实是挺不错的小技巧。

无邪 · 发表于 2014-3-19 19:14

如果突然蓝屏关机这方法还可以嘛~

JoyChou · 发表于 2014-3-19 19:17

无邪发表于 2014-3-19 19:14
如果突然蓝屏关机这方法还可以嘛~

浏览器关闭了就不行了。

scblue · 发表于 2014-3-19 19:47

真正的技术大牛哇，高手这种找回方法好神奇。

h_one · 发表于 2014-3-19 20:37

nice，windbg真炫酷.

wenguangcheng20 · 发表于 2014-3-20 01:26

大大你好，我少一个驱动~~fengyue0.sys~~大大可以给我发发么？？、求求你了大神，没这个驱动躲不掉反调试

JoyChou · 发表于 2014-3-20 08:37

wenguangcheng20 发表于 2014-3-20 01:26
大大你好，我少一个驱动~~fengyue0.sys~~大大可以给我发发么？？、求求你了大神，没这个驱动躲不掉反调试

可能是其他名字哦

wenguangcheng20 · 发表于 2014-3-20 12:41

反调试之策
可以通过隐藏SOD的驱动名，一般是fengyue0.sys
问题就是我没有这驱动，重装的时候，给格了！有办法找回来么？

JoyChou · 发表于 2014-3-20 13:25

wenguangcheng20 发表于 2014-3-20 12:41
反调试之策
可以通过隐藏SOD的驱动名，一般是fengyue0.sys
问题就是我没有这驱动，重装的时候，给格了！ ...

T_T 这个是OD的事，我不知道你是怎么格的。

Hmily · 发表于 2014-4-21 16:04

这个小技巧不错！

帐号		自动登录	找回密码
密码			注册[Register]

[调试逆向] 抢救丢失的博文

免费评分

点评

点评

点评