好友
阅读权限30
听众
最后登录1970-1-1
|
本帖最后由 JoyChou 于 2014-3-19 19:16 编辑
0x1. 写在前面
今天下午sae突然跪了。屌丝买不起VPS T_T~~
博客没有设置自动保存。结果等sae恢复的时候,返回已经没用了。
想到以前看到过用windbg来找回丢失的博文,今天也刚好来小试牛刀一把。前提是浏览器尚未关闭。
0x2. 亲自动手
启动windbg,选择File-->Attach to a Process,这里我用的chrome,可以看到chrome有很多进程,随便选一个就行。
接下来就要搜索博客的内容,最好找比较特殊的,在浏览器里只出现过一次的,而且是尽量靠前的。
我试了几次,用的"基础储备"这四个字找的。"基础储备"是我文章最前面的内容。
输入命令: s -u 0 L8000000 "基础储备" 即查找unicode字符"基础设备",注意双引号要用英文的。
可以看到已经找到了这样的内容,由于windbg不支持中文显示,所以要用du显示。
继续查找每个地址,观察是否能够找到所有博文。
输入命令du 06b4c810 L1000发现没有找完,继续du 06b4c810 L2000发现一样。那就换下一个地址。
知道输入du 071d502c L1000 已经可以发现所有博文。
此时再将内存中的内容dump下来即可。
输入命令:.writemem F:\blog.txt 071d502c L1000
此时dump下来的打开会是乱码。因为没有unicode文件的标识。
最有用winhex在文件偏移0x00处,也就是文件头,增加一个unicode标识,两个字节,FFFE
打开即可看见完整的博客文章了。
|
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
发表于 2014-3-19 19:10
发表于 2014-4-21 18:33
|
发表于 2014-3-19 19:17
