如何從dump文件中提取出C#源代碼

一:背景

相信有很多朋友在遇到應用程序各種奇葩問題後,拿下來一個dump文件,辛辛苦苦分析瞭大半天,終於在某一個線程的調用棧上找到瞭一個可疑的方法,但 windbg 常常是以 匯編 的方式顯示方法代碼的,可惜的是,現如今的匯編,有多少像我們這些速成系碼農還看的懂呢?😂😂😂

接下來尖銳的問題就來瞭,如何將這些匯編代碼轉成 C# 源代碼,如果轉不成源代碼轉成 IL代碼也好呀,起碼我努努力還是能試著看的懂的。。。

本篇我就來分享下如何把 dump 中的方法源碼提取出來。

二:從 dump 文件中提取源代碼

1. 案例演示

為瞭能夠演示方便,我用 .netcore 3.1  寫瞭一個簡單的demo,代碼如下:

namespace ConsoleApp6
{
    class Program
    {
        static void Main(string[] args)
        {
            Run();
        }

        static void Run()
        {
            Console.WriteLine("hello world!");
            Console.ReadLine();
        }
    }
}

將程序跑起來後,使用 任務管理器, adplus, procdump 隨便哪一個抓取 dump 都可以。

2. 使用 lm + savemodule 命令提取

如果你的程序足夠簡單,可以直接用 lm 獲取程序中所有的模塊,然後使用 savemodule 將模塊導出為 exe/dll 物理文件,如下所示:

  • 使用 lm 提取出所有模塊
0:000> lm
start             end                 module name
000002c2`264b0000 000002c2`264b8000   ConsoleApp6_2c2264b0000   (deferred)             
00007ff7`e4a50000 00007ff7`e4a7f000   ConsoleApp6   (deferred)             
00007ffa`a4b50000 00007ffa`a546d000   System_Private_CoreLib   (deferred)             
00007ffa`a5470000 00007ffa`a59df000   coreclr    (deferred)             
00007ffa`df070000 00007ffa`df1b2000   clrjit     (deferred)             
...

可以隱約的看到,我有一個名為 ConsoleApp6_2c2264b0000 的模塊,這就是我要提取的 ConsoleApp6.exe,順便提一下,那個很礙眼的 ConsoleApp6 (deferred) 是 PE 文件,要問我怎麼知道的?試一下就好啦😁

  • 使用 savemodule 提取

從上面第一行 start 列中可以看到 ConsoleApp6_2c2264b0000 的開始地址為 000002c2264b0000,接下來用 savemodule 導出到 E:\dump。

0:000> !savemodule 000002c2`264b0000 E:\dump\ConsoleApp6.exe
3 sections in file
section 0 - VA=2000, VASize=6c4, FileAddr=200, FileSize=800
section 1 - VA=4000, VASize=564, FileAddr=a00, FileSize=600
section 2 - VA=6000, VASize=c, FileAddr=1000, FileSize=200

然後就可以看到 E:\dump 裡面多瞭一個 ConsoleApp6.exe 🐂,有瞭這玩意看源碼就簡單多瞭,直接用 ILSpy 對其進行反編譯即可。

3. 使用 dumpdomain/module + savemodule 提取

實際開發中有可能你的程序非常復雜,使用 lm 直接提取模塊是找不到的,最好的辦法就是 按圖索驥 的方式尋找你要的 module,還記得 CLR Via C# 上說過的 AppDomain,Assembly,Module 之間的關系嗎?如果要詳細瞭解,建議翻看一下,這裡我大概簡述一下, Assembly 一般包含若幹個 Module + 資源文件, Assembly 就是一個 dll/exe 文件,程序跑起來後,Assembly是被妥善安置在 AppDomain 中的。

有瞭上面這個思想,是不是就可以通過這個流程 AppDomain -> Assembly -> Module 找到 module 啦?接下來看看如何去實現。

  • 使用 !dumpdomain 找到 ConsoleApp6 所在的程序域
0:000> !dumpdomain
--------------------------------------
System Domain:      00007ffaa59996f0
LowFrequencyHeap:   00007FFAA5999C58
HighFrequencyHeap:  00007FFAA5999CE8
StubHeap:           00007FFAA5999D78
Stage:              OPEN
Name:               None
--------------------------------------
Domain 1:           000002c224b6ca80
LowFrequencyHeap:   00007FFAA5999C58
HighFrequencyHeap:  00007FFAA5999CE8
StubHeap:           00007FFAA5999D78
Stage:              OPEN
Name:               clrhost
Assembly:           000002c224bf1c00 [C:\Program Files\dotnet\shared\Microsoft.NETCore.App\3.1.12\System.Private.CoreLib.dll]
ClassLoader:        000002C224B61820
  Module
  00007ffa45984020    C:\Program Files\dotnet\shared\Microsoft.NETCore.App\3.1.12\System.Private.CoreLib.dll

Assembly:           000002c224bf1980 [E:\net5\ConsoleApp3\ConsoleApp6\bin\Debug\netcoreapp3.1\ConsoleApp6.dll]
ClassLoader:        000002C224BE3F80
  Module
  00007ffa45b5f7d0    E:\net5\ConsoleApp3\ConsoleApp6\bin\Debug\netcoreapp3.1\ConsoleApp6.dll

尷尬,記得不錯的話,在 .NET Framework 中默認會有三個應用程序域。

  • System Domain
  • Shared Domain
  • Domain 1

咋到 .NET Core 上就丟瞭一個 Shard Domain 呢 😄😄😄,先不管啦,從圖中可以清楚的看到 Domian 1 上有我的dll E:\net5\ConsoleApp3\ConsoleApp6\bin\Debug\netcoreapp3.1\ConsoleApp6.dll,同時還有一個 module 的地址 00007ffa45b5f7d0。

  • 使用 !dumpmodule 獲取 module 詳細信息
0:000> !DumpModule /d 00007ffa45b5f7d0
Name: E:\net5\ConsoleApp3\ConsoleApp6\bin\Debug\netcoreapp3.1\ConsoleApp6.dll
Attributes:              PEFile SupportsUpdateableMethods 
Assembly:                000002c224bf1980
BaseAddress:             000002C2264B0000
PEFile:                  000002C224BF2300
ModuleId:                00007FFA45B5FB98
ModuleIndex:             0000000000000001
LoaderHeap:              0000000000000000
TypeDefToMethodTableMap: 00007FFA45B3C8D0
TypeRefToMethodTableMap: 00007FFA45B3C8E8
MethodDefToDescMap:      00007FFA45B3C958
FieldDefToDescMap:       00007FFA45B3C978
MemberRefToDescMap:      0000000000000000
FileReferencesMap:       00007FFA45B3C988
AssemblyReferencesMap:   00007FFA45B3C990
MetaData start address:  000002C2264B2078 (1304 bytes)

從上面的 BaseAddress: 000002C2264B0000 可以看出,module 的start 地址為 000002C2264B0000,是不是和剛才我用 lm 提取出來的地址一致哈,最後用 savemodule 導出一下就可以啦,為瞭做區分,我取名為 ConsoleApp7.exe, 如下所示:

哈哈,剩下來的就是用 ILSpy 反編譯 CosoleApp7 啦。

以上就是如何從dump文件中提取出C#源代碼的詳細內容,更多關於dump 文件中提取出 C# 源代碼的資料請關註WalkonNet其它相關文章!

推薦閱讀:

    None Found