如何從 dump 文件中提取出 C# 源代碼?

時間  2021-04-12
標籤 git github app dom spa .net 線程 code blog 圖片 欄目 C# 简体版
原文   原文鏈接

一:背景

相信有不少朋友在遇到應用程序各類奇葩問題後,拿下來一個dump文件,辛辛苦苦分析了大半天,終於在某一個線程的調用棧上找到了一個可疑的方法,但 windbg 經常是以 彙編 的方式顯示方法代碼的,惋惜的是,現現在的彙編,有多少像咱們這些速成系碼農還看的懂呢? 😂😂😂git

接下來尖銳的問題就來了,如何將這些彙編代碼轉成 C# 源代碼,若是轉不成源代碼轉成 IL代碼也好呀,起碼我努努力仍是能試着看的懂的。。。github

本篇我就來分享下如何把 dump 中的方法源碼提取出來。app

二: 從 dump 文件中提取源代碼

1. 案例演示

爲了可以演示方便,我用 .netcore 3.1 寫了一個簡單的demo,代碼以下:dom

namespace ConsoleApp6
{
    class Program
    {
        static void Main(string[] args)
        {
            Run();
        }

        static void Run()
        {
            Console.WriteLine("hello world!");
            Console.ReadLine();
        }
    }
}

將程序跑起來後,使用 任務管理器, adplus, procdump 隨便哪個抓取 dump 均可以。spa

2. 使用 lm + savemodule 命令提取

若是你的程序足夠簡單,能夠直接用 lm 獲取程序中全部的模塊,而後使用 savemodule 將模塊導出爲 exe/dll 物理文件,以下所示:.net

  • 使用 lm 提取出全部模塊
0:000> lm
start             end                 module name
000002c2`264b0000 000002c2`264b8000   ConsoleApp6_2c2264b0000   (deferred)             
00007ff7`e4a50000 00007ff7`e4a7f000   ConsoleApp6   (deferred)             
00007ffa`a4b50000 00007ffa`a546d000   System_Private_CoreLib   (deferred)             
00007ffa`a5470000 00007ffa`a59df000   coreclr    (deferred)             
00007ffa`df070000 00007ffa`df1b2000   clrjit     (deferred)             
...

能夠隱約的看到,我有一個名爲 ConsoleApp6_2c2264b0000 的模塊,這就是我要提取的 ConsoleApp6.exe,順便提一下,那個很礙眼的 ConsoleApp6 (deferred) 是 PE 文件,要問我怎麼知道的? 試一下就好啦😁線程

  • 使用 savemodule 提取

從上面第一行 start 列中能夠看到 ConsoleApp6_2c2264b0000 的開始地址爲 000002c2264b0000,接下來用 savemodule 導出到 E:\dumpcode

0:000> !savemodule 000002c2`264b0000 E:\dump\ConsoleApp6.exe
3 sections in file
section 0 - VA=2000, VASize=6c4, FileAddr=200, FileSize=800
section 1 - VA=4000, VASize=564, FileAddr=a00, FileSize=600
section 2 - VA=6000, VASize=c, FileAddr=1000, FileSize=200

而後就能夠看到 E:\dump 裏面多了一個 ConsoleApp6.exe 🐂,有了這玩意看源碼就簡單多了,直接用 ILSpy 對其進行反編譯便可。blog

3. 使用 dumpdomain/module + savemodule 提取

實際開發中有可能你的程序很是複雜,使用 lm 直接提取模塊是找不到的,最好的辦法就是 按圖索驥 的方式尋找你要的 module,還記得 CLR Via C# 上說過的 AppDomain,Assembly,Module 之間的關係嗎?若是要詳細瞭解,建議翻看一下,這裏我大概簡述一下, Assembly 通常包含若干個 Module + 資源文件, Assembly 就是一個 dll/exe 文件,程序跑起來後,Assembly是被妥善安置在 AppDomain 中的。圖片

有了上面這個思想,是否是就能夠經過這個流程 AppDomain -> Assembly -> Module 找到 module 啦? 接下來看看如何去實現。

  • 使用 !dumpdomain 找到 ConsoleApp6 所在的程序域
0:000> !dumpdomain
--------------------------------------
System Domain:      00007ffaa59996f0
LowFrequencyHeap:   00007FFAA5999C58
HighFrequencyHeap:  00007FFAA5999CE8
StubHeap:           00007FFAA5999D78
Stage:              OPEN
Name:               None
--------------------------------------
Domain 1:           000002c224b6ca80
LowFrequencyHeap:   00007FFAA5999C58
HighFrequencyHeap:  00007FFAA5999CE8
StubHeap:           00007FFAA5999D78
Stage:              OPEN
Name:               clrhost
Assembly:           000002c224bf1c00 [C:\Program Files\dotnet\shared\Microsoft.NETCore.App\3.1.12\System.Private.CoreLib.dll]
ClassLoader:        000002C224B61820
  Module
  00007ffa45984020    C:\Program Files\dotnet\shared\Microsoft.NETCore.App\3.1.12\System.Private.CoreLib.dll

Assembly:           000002c224bf1980 [E:\net5\ConsoleApp3\ConsoleApp6\bin\Debug\netcoreapp3.1\ConsoleApp6.dll]
ClassLoader:        000002C224BE3F80
  Module
  00007ffa45b5f7d0    E:\net5\ConsoleApp3\ConsoleApp6\bin\Debug\netcoreapp3.1\ConsoleApp6.dll

尷尬,記得不錯的話,在 .NET Framework 中默認會有三個應用程序域。

  • System Domain
  • Shared Domain
  • Domain 1

咋到 .NET Core 上就丟了一個 Shard Domain 呢 😄😄😄,先無論啦,從圖中能夠清楚的看到 Domian 1 上有個人dll E:\net5\ConsoleApp3\ConsoleApp6\bin\Debug\netcoreapp3.1\ConsoleApp6.dll,同時還有一個 module 的地址 00007ffa45b5f7d0

  • 使用 !dumpmodule 獲取 module 詳細信息
0:000> !DumpModule /d 00007ffa45b5f7d0
Name: E:\net5\ConsoleApp3\ConsoleApp6\bin\Debug\netcoreapp3.1\ConsoleApp6.dll
Attributes:              PEFile SupportsUpdateableMethods 
Assembly:                000002c224bf1980
BaseAddress:             000002C2264B0000
PEFile:                  000002C224BF2300
ModuleId:                00007FFA45B5FB98
ModuleIndex:             0000000000000001
LoaderHeap:              0000000000000000
TypeDefToMethodTableMap: 00007FFA45B3C8D0
TypeRefToMethodTableMap: 00007FFA45B3C8E8
MethodDefToDescMap:      00007FFA45B3C958
FieldDefToDescMap:       00007FFA45B3C978
MemberRefToDescMap:      0000000000000000
FileReferencesMap:       00007FFA45B3C988
AssemblyReferencesMap:   00007FFA45B3C990
MetaData start address:  000002C2264B2078 (1304 bytes)

從上面的 BaseAddress: 000002C2264B0000 能夠看出,module 的start 地址爲 000002C2264B0000,是否是和剛纔我用 lm 提取出來的地址一致哈,最後用 savemodule 導出一下就能夠啦,爲了作區分,我取名爲 ConsoleApp7.exe, 以下所示:

0:000> !savemodule 000002C2264B0000 E:\dump\ConsoleApp7.exe
3 sections in file
section 0 - VA=2000, VASize=6c4, FileAddr=200, FileSize=800
section 1 - VA=4000, VASize=564, FileAddr=a00, FileSize=600
section 2 - VA=6000, VASize=c, FileAddr=1000, FileSize=200

哈哈,剩下來的就是用 ILSpy 反編譯 CosoleApp7 啦。

更多高質量乾貨:參見個人 GitHub: dotnetfly

圖片名稱
相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程