如何从一个 C# 的 dump 中挖到机器相关的信息?

最新推荐文章于 2024-06-05 10:23:11 发布
最新推荐文章于 2024-06-05 10:23:11 发布
阅读量420 收藏
点赞数
文章标签: windbg cpu核数 机器名 环境变量 debugging
原文链接:https://mp.weixin.qq.com/s?__biz=MzAwNTMxMzg1MA==&mid=2654089170&idx=2&sn=9b06456900f5f24de2ce0b78427c868d&chksm=80d80b87b7af8291608abd606ed52c5f0e77eed3660fe15775e438d13c8d7817c5118f59579b&scene=126&&sessionid=0
版权

前段时间有位朋友问我,如何从 dump 中提取出哪些和机器相关的信息?比如:机器内存大小,cpu核数,机器名,机器的环境变量 等等。

那如何提取到里面的信息呢?当然我也没说全部可以提取的到。。。这里就拿自己的机器举例吧:

1. 如何提取 cpu 核数

windbg 中有一个 !cpuid 命令,可以提取出cpu的相关信息。

0:006> !cpuid
CP  F/M/S  Manufacturer     MHz
 0  6,5,2  GenuineIntel    2592
 1  6,5,2  GenuineIntel    2592
 2  6,5,2  GenuineIntel    2592
 3  6,5,2  GenuineIntel    2592
 4  6,5,2  GenuineIntel    2592
 5  6,5,2  GenuineIntel    2592
 6  6,5,2  GenuineIntel    2592
 7  6,5,2  GenuineIntel    2592
 8  6,5,2  GenuineIntel    2592
 9  6,5,2  GenuineIntel    2592
10  6,5,2  GenuineIntel    2592
11  6,5,2  GenuineIntel    2592

可以看出,当前cpu为12核,厂家为intel,兆赫=2592。

2. 如何提取机器名

windbg中有一个命令叫 !envvar ,可用于获取指定的环境变量,比如这里的 COMPUTERNAME 啦。

0:006> !envvar COMPUTERNAME
        COMPUTERNAME = SD-20210607OIBM

3. 如何提取机器环境变量

从上面的 !envvar 用法中你应该能感触到,既然能提取环境变量,那能不能获取到所有的环境变量呢?当然可以了哈。用 !peb,也就是 Process Environment Block。

0:006> !peb
PEB at 002af000
    InheritedAddressSpace:    No
    ReadImageFileExecOptions: No
    BeingDebugged:            Yes
    ImageBaseAddress:         00400000
    NtGlobalFlag:             4070
    NtGlobalFlag2:            0
    Ldr                       77975d80
    Ldr.Initialized:          Yes
    Ldr.InInitializationOrderModuleList: 006e4f68 . 0075e630
    Ldr.InLoadOrderModuleList:           006e5060 . 0075bae8
    Ldr.InMemoryOrderModuleList:         006e5068 . 0075baf0
            Base TimeStamp                     Module
          400000 D:\net5\ConsoleApp4\ConsoleApp1\bin\Debug\ConsoleApp1.exe
        77850000 5f641e44 Sep 18 10:41:08 2020 C:\Windows\SYSTEM32\ntdll.dll
        7c570000 C:\Windows\SYSTEM32\MSCOREE.DLL
        75ac0000 C:\Windows\System32\KERNEL32.dll
        76900000 197b16c5 Jul 20 05:12:37 1983 C:\Windows\System32\KERNELBASE.dll
        76880000 C:\Windows\System32\ADVAPI32.dll
        75740000 7f567a50 Sep 12 21:10:40 2037 C:\Windows\System32\msvcrt.dll
        76170000 56a91365 Jan 28 02:58:45 2016 C:\Windows\System32\sechost.dll
        76c20000 C:\Windows\System32\RPCRT4.dll
        7c5d0000 5e7d1df2 Mar 27 05:26:10 2020 C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscoreei.dll
        758a0000 C:\Windows\System32\SHLWAPI.dll
        76490000 3d49eb55 Aug 02 10:15:49 2002 C:\Windows\System32\kernel.appcore.dll
        74b60000 C:\Windows\SYSTEM32\VERSION.dll
        79a40000 5f7e61bb Oct 08 08:47:55 2020 C:\Windows\Microsoft.NET\Framework\v4.0.30319\clr.dll
        76650000 1e757656 Mar 12 20:28:06 1986 C:\Windows\System32\USER32.dll
        764d0000 55cf9768 Aug 16 03:47:52 2015 C:\Windows\System32\win32u.dll
        75480000 1baae673 Sep 16 20:15:47 1984 C:\Windows\System32\GDI32.dll
        764f0000 C:\Windows\System32\gdi32full.dll
        7a210000 5bac17e1 Sep 27 07:36:01 2018 C:\Windows\SYSTEM32\ucrtbase_clr0400.dll
        7a1f0000 5bac17e5 Sep 27 07:36:05 2018 C:\Windows\SYSTEM32\VCRUNTIME140_CLR0400.dll
        75810000 C:\Windows\System32\msvcp_win.dll
        77500000 73123758 Mar 06 22:27:36 2031 C:\Windows\System32\ucrtbase.dll
        764a0000 39046a45 Apr 24 23:37:41 2000 C:\Windows\System32\IMM32.DLL
        7a2c0000 5f7e60f6 Oct 08 08:44:38 2020 C:\Windows\assembly\NativeImages_v4.0.30319_32\mscorlib\218db16dceaef380c6daf35c6a48f313\mscorlib.ni.dll
        762a0000 4f8dda94 Apr 18 05:03:16 2012 C:\Windows\System32\ole32.dll
        754b0000 2f680839 Mar 16 17:43:21 1995 C:\Windows\System32\combase.dll
        76b80000 C:\Windows\System32\bcryptPrimitives.dll
        7b6d0000 5f7e60c1 Oct 08 08:43:45 2020 C:\Windows\Microsoft.NET\Framework\v4.0.30319\clrjit.dll
        77750000 C:\Windows\System32\OLEAUT32.dll
    SubSystemData:     00000000
    ProcessHeap:       006e0000
    ProcessParameters: 006e29b8
    CurrentDirectory:  'C:\Windows\system32\'
    WindowTitle:  'D:\net5\ConsoleApp4\ConsoleApp1\bin\Debug\ConsoleApp1.exe'
    ImageFile:    'D:\net5\ConsoleApp4\ConsoleApp1\bin\Debug\ConsoleApp1.exe'
    CommandLine:  'D:\net5\ConsoleApp4\ConsoleApp1\bin\Debug\ConsoleApp1.exe'
    DllPath:      '< Name not readable >'
    Environment:  006e0b80
        =::=::\
        ALLUSERSPROFILE=C:\ProgramData
        APPDATA=C:\Users\Administrator\AppData\Roaming
        ASPNETCORE_ENVIRONMENT=Development
        CLASSPATH=.;C:\Program Files\Java\jdk1.8.0_121\lib\dt.jar;C:\Program Files\Java\jdk1.8.0_121\lib\tools.jar;
        CommonProgramFiles=C:\Program Files (x86)\Common Files
        CommonProgramFiles(x86)=C:\Program Files (x86)\Common Files
        CommonProgramW6432=C:\Program Files\Common Files
        COMPUTERNAME=SD-20210607OIBM
        ComSpec=C:\Windows\system32\cmd.exe
        DBGENG_OVERRIDE_DBGSRV_PATH=C:\Users\Administrator\AppData\Local\Microsoft\WindowsApps\Microsoft.WinDbg_8wekyb3d8bbwe\dbgsrv32.exe
        DBGHELP_HOMEDIR=C:\ProgramData\Dbg
        DriverData=C:\Windows\System32\Drivers\DriverData
        HOMEDRIVE=C:
        HOMEPATH=\Users\Administrator
        JAVA_HOME=C:\Program Files\Java\jdk1.8.0_121
        LOCALAPPDATA=C:\Users\Administrator\AppData\Local
        LOGONSERVER=\\SD-20210607OIBM
        MOZ_PLUGIN_PATH=C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\
        NUMBER_OF_PROCESSORS=12
        OneDrive=C:\Users\Administrator\OneDrive
        OS=Windows_NT
        Path=C:\Program Files\WindowsApps\Microsoft.WinDbg_1.2107.13001.0_neutral__8wekyb3d8bbwe\x86;C:\Program Files\WindowsApps\Microsoft.WinDbg_1.2107.13001.0_neutral__8wekyb3d8bbwe\amd64;C:\Program Files (x86)\VMware\VMware Workstation\bin\;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\;C:\Windows\System32\OpenSSH\;C:\Program Files (x86)\NVIDIA Corporation\PhysX\Common;C:\Program Files\NVIDIA Corporation\NVIDIA NvDLISR;C:\Program Files\dotnet\;C:\Program Files\Microsoft SQL Server\Client SDK\ODBC\170\Tools\Binn\;C:\Program Files\Git\cmd;C:\soft\procdump;C:\Program Files\Java\jdk1.8.0_121\bin;C:\Program Files\Java\jdk1.8.0_121\jre\bin;C:\Program Files\nodejs\;C:\Program Files (x86)\Microsoft SQL Server\150\Tools\Binn\;C:\Program Files\Microsoft SQL Server\150\Tools\Binn\;C:\Program Files\Microsoft SQL Server\150\DTS\Binn\;C:\Program Files (x86)\Microsoft SQL Server\150\DTS\Binn\;C:\Program Files\Azure Data Studio\bin;C:\Program Files (x86)\Microsoft SQL Server\100\Tools\Binn\;C:\Program Files\Microsoft SQL Server\100\Tools\Binn\;C:\Program Files\Microsoft SQL Server\100\DTS\Binn\;C:\Program Files (x86)\Microsoft SQL Server\100\Tools\Binn\VSShell\Common7\IDE\;C:\Program Files (x86)\Microsoft Visual Studio 9.0\Common7\IDE\PrivateAssemblies\;C:\Program Files (x86)\Microsoft SQL Server\100\DTS\Binn\;C:\Program Files (x86)\Visual Leak Detector\bin\Win32;C:\Program Files (x86)\Visual Leak Detector\bin\Win64;C:\Program Files\TortoiseGit\bin;C:\Program Files\Microsoft\Web Platform Installer\;C:\soft\nginx;C:\Program Files (x86)\dotnet\;C:\Program Files (x86)\NetSarang\Xshell 7\;C:\Users\Administrator\AppData\Local\Microsoft\WindowsApps;C:\Users\Administrator\.dotnet\tools;C:\Users\Administrator\AppData\Local\Programs\Microsoft VS Code\bin;C:\Users\Administrator\AppData\Roaming\npm
        PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
        PROCESSOR_ARCHITECTURE=x86
        PROCESSOR_ARCHITEW6432=AMD64
        PROCESSOR_IDENTIFIER=Intel64 Family 6 Model 165 Stepping 2, GenuineIntel
        PROCESSOR_LEVEL=6
        PROCESSOR_REVISION=a502
        ProgramData=C:\ProgramData
        ProgramFiles=C:\Program Files (x86)
        ProgramFiles(x86)=C:\Program Files (x86)
        ProgramW6432=C:\Program Files
        PSModulePath=C:\Program Files\WindowsPowerShell\Modules;C:\Windows\system32\WindowsPowerShell\v1.0\Modules;C:\Program Files (x86)\Microsoft SQL Server\150\Tools\PowerShell\Modules\
        PUBLIC=C:\Users\Public
        SRCSRV_SHOW_TF_PROMPT=1
        SystemDrive=C:
        SystemRoot=C:\Windows
        TEMP=C:\Users\ADMINI~1\AppData\Local\Temp
        TMP=C:\Users\ADMINI~1\AppData\Local\Temp
        USERDOMAIN=SD-20210607OIBM
        USERDOMAIN_ROAMINGPROFILE=SD-20210607OIBM
        USERNAME=Administrator
        USERPROFILE=C:\Users\Administrator
        windir=C:\Windows
        WXDRIVE_START_ARGS=--wxdrive-setting=0 --disable-gpu --disable-software-rasterizer --enable-features=NetworkServiceInProcess
        ZES_ENABLE_SYSMAN=1

哈哈,这信息是不是相当多。。。。

4. 其他信息

很遗憾的是,我目前还不知道从 dump 中提取出当前机器的内存大小,如果有知道的,可以聊一聊。

dotNET跨平台
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一招制胜:C#Dump秘技,如何让对象无所遁形?
java专栏
06-08 307
Dump”就像是C#编程的X光扫描仪,让对象的每一个细胞都无所遁形。无论是初探编程世界的新人,还是经验丰富的老手,它都是值得信赖的伙伴,让代码的探索之旅充满乐趣和效率。下次当你在C#的世界迷路,不妨召唤Dump”,让它的魔法引领你穿越对象的迷雾,直达真相的核心!
红队系列-shellcode AV bypass Evasion免杀合集
aming小老弟
11-13 1178
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存,最后运行程序。加壳虽然对于特征码绕过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件文件通过杀软系统进行评判,得总评分,对于无结果的,进行鉴定系统评分,总共得结果返回给用户,并入云端库。比如可以远程读取png的shellcode。
C# Dump
zls365365的博客
12-18 244
dump,相信大家都不陌生吧!那它到底是什么呢?干什么用的呢?如何使用呢?接下来让我们一起看看吧。dump 文件是进程的内存镜像,可以看作是程序运行状态的快照。它主要用于在现问题时,保存进程的状态,方便后期进行分析和调试。对于驱动程序编写人员来说,dump 文件尤为重要,因为它可以用来调试驱动程序。同时,dump 文件也常用于数据备份和恢复,例如在 Oracle 和 SQL 数据库dump ...
使用Visual Studio 分析.NET Dump
最新发布
我是菜鸟
06-05 472
内存泄漏和高CPU使用率是在日常开发经常遇到的问题,它们可能会导致应用程序性能下降甚至崩溃。今天我们来讲讲如何使用Visual Studio 2022分析.NET Dump,快速找到程序内存泄漏问题。Dump文件又叫内存转储文件或者叫内存快照文件。用于存储程序运行时的状态信息文件,这些文件通常包含了程序运行时的内存内容、线程信息、堆栈调用信息、异常信息等数据。Dump文件可以在程序崩溃、失去响应、资源消耗过高或者性能不理想等情况下生成,以帮助开发人员进行故障排查和调试。
使用C#为进程创建DUMP文件
weixin_30746117的博客
08-15 782
作用 程序异常崩溃前使用此类为进程创建DUMP文件,之后可以使用WinDbg等工具进行分析。 辅助类代码 using System; using System.Diagnostics; using System.IO; using System.Runtime.InteropServices; namespace Infrastructure { ...
Visual Studio 高级调试-Dump分析
qq_40404477的博客
02-19 6987
dump分析命令非常复杂且低效,借助Visual Studio我们可以更加高效的分析dump所记录的数据。
Dump文件生成,内容,以及分析
记录 分享 成就
08-08 1万+
本文用到的工具只是简单介绍,让你有个感官认识,重点是核查思路的熟悉。
红队专题-内网横向-工作组Workgroup与 Domain Active Directory域渗透
aming小老弟
12-21 1226
通过使用活动目录,管理员能够心化、批量地更新和管理操作系统、应用、用户以及对数据的访问,而用户和管理员也能很容易地获取这些信息。而且因为活动目录具备心化的管理能力,攻击者一旦获得域管理员权限,即可控制域内所有用户和主机,因此活动目录域环境也备受攻击者青睐。实际上LSA保护不能抵御这些攻击,它只会让你在执行这些攻击前,需要做一些额外的操作,让攻击变得更加困难一些。此功能基于PPL技术,它是一种纵深防御的安全功能,旨在“防止非管理员非PPL进程通过打开进程之类的函数串改PPL进程的代码和数据”。
笔记,后期整理
weixin_30278237的博客
08-06 8203
VM 虚拟各种系统的工具 安装目录 不要放在C盘 需要下载的镜像Windows NT win7 xp server08R2 server12类Nnix centos 6/7/8 ubuntu 14/16/18 kali安装 win7 1g=1024M1M=1024KB1KB=1024bit1bit 是一个字节 一个字节就是8位由0或者1组成(二进制) 10 进制0-9组成的数字...
互联网服务端技术——如何学(上)
热门推荐
简单的老王
04-25 1万+
老王带你一起学习不一样的互联网服务器技术~
C# 异常内存信息Dump文件
06-19
背景:很多情况下程序崩溃我们只能看到程序抛来的异常信息,但是有时候异常信息不清不楚我们处理异常还是一头雾水,这种情况下我们就很希望能有种办法获取程序运行时的内存进行调试,查看其的变量、参数、方法执行情况等信息,这里就提供一种异常时将程序的异常时内存信息文件的方法,这是当初设计渲染监控日志时的一个初步设想,想错误内存导保存起来帮助分析处理异常,但是与渲染的同事接触后了解到渲染时内存达10G,导太占资源便放弃了,这里只抛砖引玉跟大家介绍有这种东西如有需要再进行深入研究,这种方法在C++很常见,但在C#却鲜为人知,如有这方面深入研究的同事欢迎大家留言交流。如果将来遇到异常无法调试时就可以考虑将目标机器上异常现场内存导Dump文件,然后通过Dump文件操作达到分析处理异常的目的,具体关于Dump的操作请参看如下文章http://blog.csdn.net/icandoit_2014/article/details/78739962
网络安全资料汇总!
weixin_46159811的博客
01-07 3841
1.网络安全资料汇总 web security: 《http权威指南》【图灵品】   深入理解web http/https协议 ,了解超文本传输协议是如何进行传输和编译的。 《javascript权威指南》   淘宝前端团队翻译,深入了解前端js变量,注释,函数,表达式等,学习xss必备书籍。还提及了jquery类库。 《xs...
内存泄漏&获取dump文件
HKpeng的学习记录
10-24 654
在我们编写代码的过程,避免不了内存泄漏问题和程序崩溃问题,常常为寻找程序崩溃点而烦恼。这篇文章主要为解决程序崩溃而写。以下是代码头文件getDump.h。
如何从 dump 文件提取 C# 源代码
chinaherolts2008的博客
07-19 455
一:背景 相信有很多sql教程朋友在遇到应java基础教程用程序各种奇葩问题后,拿下python基础教程来一个dump文件,辛辛c#教程苦苦分析了大半天,终于在某一个线程vb.net教程的调用栈上找到了一个可疑的方法,但 windbg 常常是以汇编的方式显示方法代码的,可惜的是,现如今的汇编,有多少像我们这些速成系码农还看的懂呢? ???????????? 接下来尖锐的问题就来了,如何将这些汇编代码转成 C# 源代码,如果转不成源代码转成 IL代码也好呀,起码我努努力还是能试着看的懂的。。。 本篇我就
已解决 0x0000XXXX (ucrtbase.dll) (XXX.exe )处有未经处理的异常: 请求了严重的程序退
DSK_981029的博客
04-20 1万+
解析运行IFC++工程现的一些问题。
VS调试C#程序产生的dump
chqj_163的专栏
01-30 1932
将二进制文件(exe、dll)、符号文件(pdb)、转储文件(dmp)放在同一个目录。 如果可能的话,源码也要备份。有源码可以看到源文件的具体行,没源文件,只能定位到函数。 二进制文件和符号文件必须备份,事后生成的没用,哪怕源码没改过。 启动VS2013,以打开文件的方式打开转储文件, 点击右上的“混合调试” 附: 1,此方式和调试C++程序产生的崩溃文件十分类似。 2,昨天有个简...
dump文件生成和分析查看
weixin_34248487的博客
06-25 9907
1,生成dump文件: 1.1手动生成dump文件: 如图: 命令如下: ps -ef | grep list-app | grep -v grep jmap -dump:file=test.hprof,format=b 3307 1.2自动生成dump文件: 1. -XX:+HeapDumpOnOutOfMemoryError ...
分析windows .net程序dump文件的两种方式
weixin_30919235的博客
05-06 203
1、WinDbg按照自己系统版本下载对应windbg(https://debugging.wellisolutions.de/windbg-versions/),win10版本自动下载文件符号,体验好。使用windbg打开dump文件,在命令行输入.load sos coreclr(coreclr针对.net core程序)。参考https://blog.csdn...
mysqldump,从mysqldump数据到本地
06-03
要将 MySQL 数据库的数据导到本地,可以使用 MySQL 自带的 `mysqldump` 工具。 以下是一些基本的使用示例: 1. 导整个数据库: ``` mysqldump -u [username] -p [database_name] > [backup_file].sql ``` 其,`[username]` 是您的 MySQL 用户名,`[database_name]` 是要备份的数据库名称,`[backup_file]` 是要保存备份的文件名。 2. 导特定表: ``` mysqldump -u [username] -p [database_name] [table_name] > [backup_file].sql ``` 其,`[table_name]` 是要备份的表名称。 3. 导特定列: ``` mysqldump -u [username] -p [database_name] [table_name] --where="column_name='value'" > [backup_file].sql ``` 其,`[table_name]` 是要备份的表名称,`column_name` 是要备份的列名称,`value` 是要备份的列值。 要将备份的数据导入到本地 MySQL ,可以使用以下命令: ``` mysql -u [username] -p [database_name] < [backup_file].sql ``` 其,`[username]` 是您的 MySQL 用户名,`[database_name]` 是要恢复的数据库名称,`[backup_file]` 是备份文件的路径。 请注意,在备份和恢复数据时,请务必小心,以免意外删除或覆盖重要的数据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值