dump内存记录

最新推荐文章于 2024-09-24 16:27:46 发布
原创 最新推荐文章于 2024-09-24 16:27:46 发布 · 1.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

File选项中找到script command

//单行也需要用{}括起来

//IDC
static main()
{
    auto i,fp;
    fp = fopen("d:\\dump","wb");
    auto start = 0x47e060;
    auto size = 90000;
    for(i=start;i<start+size;i++)
    {
        fputc(Byte(i),fp);
    }
    fp.close();
}

//python
import idaapi
start_address = 0x47e060
data_length = 90000
data = idaapi.dbg_read_memory(start_address , data_length)
fp = open('d:\\dump1', 'wb')
fp.write(data)
fp.close()
    
    
    
dump出来得到是一个odex文件,通过下面的命令可以转成对应的smali文件:

java -jar baksmali.jar -x dump.odex -d .


如何dump内存,生成的文件为odex格式,需要进一步反编译才能查阅。先是通过baksmali工具转成smali格式文件,然后再通过smali工具把smali格式逆向dex。


通过java命令运行baksmali包把odex格式逆向输出到随意命名out文件夹下

    java -jar  baksmali-2.2.2.jar d dump.odex -o out
    
同样命令把out下内容转成dex
    java -jar smali-2.2.2.jar a out -o classes.dex

这时候就可以把classes.dex通过工具直接查看反编译内容了。

cjwsimple
关注
frida java层加密自吐,修改str ,dlopen,内存读写,so内存dump
qq_42423940的博客
01-23 605
操作字符串的返回值1。操作字符串的返回值2。操作字符串的返回值3。
Linux中使用gdb dump内存
热门推荐
谢公子的博客
07-19 1万+
在应急响应中,我们往往会有dump出某一块内存下来进行分析的必要。今天要讲的是利用gdb命令dump出sshd进程的内存。 按照 Linux 系统的设计哲学,内核只提供dump内存机制,用户想要dump什么样的内存dump多少内存是属于策略问题,由用户来决定。 在真实的使用场景中,主要有两种使用方式: 一种是dump某一个进程的地址空间来供用户在进程挂掉之后debug分析,也就是通常所说...
frida dump android手机内存数据工具
someby的博客
03-13 1万+
frida dumpandroid手机内存数据工具
记录dump
mangshe0的专栏
01-31 145
    SetErrorMode(SEM_NOGPFAULTERRORBOX);    ::SetUnhandledExceptionFilter( XXX);    LONG XXXX::XXX( struct _EXCEPTION_POINTERS *pExceptionInfo )或者直接开启 华生医生  Dr. Watson
dump内存文件的方法
qqqq0199181的博客
08-28 6836
在jvm启动的参数中,新增-XX:+HeapDumpOnOutOfMemoryError -XX:HeapDumpPath=/home/admin/logs/java.hprof jvm参数。这样在发生jvm 内存溢出时,就会直接dump出java.hprof 文件了。 直接导出jvm内存信息。 jmap -dump:format=b,file=/home/admin/logs/heap...
dump内存
渣渣瑞
11-17 1087
1、查看java应用pid top | grep java 2、输出内存信息 jmap -dump:live,format=b,file=out.hprof pid 3、使用MAT等工具对内存进行分析
Java内存dump分析工具 MemoryAnalyzer
02-26
除了直观的分析视图,MemoryAnalyzer还支持生成报告功能,这些报告可以详细记录内存分析的过程和结果,便于团队成员之间的交流和问题的追踪。MemoryAnalyzer支持多种不同的报告格式,如HTML和PDF,方便用户根据需要...
C++ Dump 内存快照的实现
04-21
内存快照是程序在特定时间点的内存状态记录,包括已分配的内存块、它们的大小、分配位置以及相关联的信息。获取内存快照可以帮助开发者追踪内存分配和释放的轨迹,从而找到可能存在的问题。 要实现C++的内存快照,...
upx3.94 x64加壳后dump内存并修复过程记录
chilu6000的博客
07-03 1624
最近因为公司的一些事情,要面临重新找工作,希望可以找找逆向相关的工作,但是我以前也只做过反编译的工作,破解之类的工作中完全没有接触过,就想学习学习脱壳。就先从upx下手。 upx壳是种压缩壳,是将原有程序image进行压缩,在生成的可执行程序的entrypoint处代码进行解压,在解压完全后...
程序异常时通过dump文件记录下异常的详细信息
lougd的专栏
10-30 4357
在开发过程中j
FRIDA-DEXDump:快速搜索并在内存中转储dex
04-28
FRIDA-DEX转储 特征 支持模糊搜索损坏的标头dex。 修复dex-header的结构数据。 与所有android版本兼容(支持frida)。 支持加载为异议插件〜 pypi包已经发布了〜 需要 : pip install frida [可选]pip install click 安装 来自pypi pip3 install frida-dexdump frida-dexdump -h 从来源 git clone https://github.com/hluwa/FRIDA-DEXDump cd FRIDA-DEXDump/frida-dexdump python3 main.py -h 用法 运行frida-dexdump或python3 main.py来附加当前最前端的应用程序并转储dexs。 或者,使用命令参数: -n: [Optional] Specify t
DOTNET程序集的内存dump(profile篇)
05-25
在DOTNET加解密过程中,我们经常会碰到从内存中转贮.NET程序集的场景。会经常使用那些神奇的DUMP工具,特别是分析整体加解密保护的程序集时,感觉很爽,当然这是因为它的保护很弱。于是我们想了解和学习如何完成类似的功能。本文将简单地介绍Profiling API的一些概念并通过它完成相同的工作。 (附源代码及文档)
Java jmap与jcmd命令dump内存heap堆
Zhang Phil
10-31 2526
//获取当前Java程序的进程id long pid = ProcessHandle.current().pid(); //jmap与jcmd两种命令方式效果相同,均为dump内存 String[] cmd1 = {"jmap", "-dump:live,formt=b,file=D:/dump/jmap.hprof", String.valueOf(pid)}; String[] cmd2 = {"jcmd", Strin...
dump指定内存地址
qq_19550657的博客
12-08 536
dump指定内存地址
linux dump 命令
m0_70227811的博客
08-03 681
举个列子,当我们备份一份数据时,第一次备份应该使用 0 级别,会把所有数据完全备份一次;第二次备份就可以使用 1 级别了,它会和 0 级别进行比较,把 0 级别备份之后变化的数据进行备份;第三次备份使用 2 级别,2 级别会和 1 级别进行比较,把 1 级别备份之后变化的数据进行备份,以此类推。dump 命令使用“备份级别”来实现增量备份,它支持 0~9 共 10 个备份级别。其中,0 级别指的就是完全备份,1~9 级别都是增量备份级别。...
根据设定的内存抓取dump
kimBlog
02-15 1058
根据条件抓取dump
dump java内存并进行分析
fusugongzi的博客
09-24 1200
mac进入/usr/bin/,执行jvisualvm ./jvisualvm。其中2853是java的PID,将其改为自己想要dump的java进程ID。如果不存在,可以从其他机器将完整的jdk拷贝过来,然后进行使用。点击左上角的装入快照,就可以查看对象数目及占用的空间大小了。三、分析,将hprof文件下载到本地。一、确保机器存在jmap命令。
内存溢出自动生成DUMP文件
04-27 3064
如果发生了内存泄露,如果好重现,使用JVisualvm,或者jmap,Jprofiler进行Heap Dump,使用MAT进行分析。快照格式为java_pid2821.hprof(2821为Java进程号)-XX:+HeapDumpOnOutOfMemoryError :当内存溢出时触发java.lang.OutOfMemo: Java heap space。-XX:HeapDumpPath=/opt/heap·: 内存溢出时,保存内存快照文件。VisualVm和MAT。
Linux: pahole: 如何使用命令dump内核内存
mzhan017的博客
03-31 1002
pahole属于dwarves。这个命令可以局部dump内存,不需要整个dump。或者实时使用crash命令。第一行是符号的地址;
dump内存时间怎么看
最新发布
11-14
<think> 首先,用户的问题是:“dump内存时间怎么看”,翻译成英文是“how to view dump memory time”。这似乎是在问如何查看或分析内存转储(dump)的时间信息。内存转储通常指的是进程崩溃时生成的核心转储文件(core dump),或者是系统级别的内存转储。 关键点是“时间”,所以我需要解释如何从内存转储中获取时间相关信息。时间可能包括: - **转储的创建时间**:文件系统时间戳。 - **事件时间**:如崩溃发生的时间。 - **进程运行时间**:进程启动时间、运行时长等。 我的回答应该用中文,因为用户指定了“请使用中文回答问题”。 回答结构: 1. **解释含义**:简要说明什么是内存转储及其时间相关方面。 2. **方法**:提供实际查看时间的方法。 - 对于文件时间:使用操作系统命令(如Linux的 `ls -l` 或Windows的文件属性)。 - 对于事件时间:使用工具分析转储文件(如 `gdb` 用于core dumps,或WinDbg用于Windows minidumps)。 - 对于进程时间:在分析工具中查看。 在回答末尾,必须添加3-5个相关问题,第一行必须是“§§相关问题§§”,并且禁止换行分散;所有相关问题在一行或连续列出。 相关问题示例: - 需要基于用户的问题和我的回答来提出。 - 用户问题焦点在“时间”,所以问题可以扩展到时区、分析工具、常见问题等。 确保回答完整: - 用户问题是“dump内存时间怎么看”,我会覆盖如何查看内存转储的时间信息。 - 用中文响应。 最终回答结构: 1. 回答问题。 2. 提供相关命令或工具示例(可选代码,但不是必须;用户问题中没有指定语言)。 3. 以“§§相关问题§§”开头的问题列表。 相关问题想法: 1. 如何确定内存转储事件的确切时间? 2. 在分析内存转储时,时间信息对故障排除有何帮助? 3. 不同操作系统下查看内存转储时间的方法有何不同? 4. 如何查看内存转储中进程的运行时间? 5. 时间戳是否受时区影响?如何转换? 确保相关问题有3-5个,数字列表形式。 现在,构建回答: - 开头:解释问题。 - 方法部分: - Linux/Unix:使用 `stat` 或 `ls -l` 查看文件时间;使用 `gdb` 查看内部时间。 - Windows:文件属性;使用WinDbg。 - 通用:提及工具如 `strings` 或日志。 - 结束:问题列表。 </think>### 如何查看内存转储(dump)的时间信息 内存转储(dump)是系统或进程崩溃时生成的文件,用于记录内存状态。时间信息通常包括: - **文件创建时间**:转储文件的生成时间(文件系统时间戳)。 - **事件时间**:如崩溃发生的时间(记录在转储文件内部)。 - **进程相关时间**:进程启动时间或运行时长(通过分析工具获取)。 #### 查看方法(以常见操作系统为例): 1. **文件系统时间(创建时间)**: - **Linux/Unix**:使用终端命令查看文件时间戳: ```bash ls -l /path/to/core.dump # 显示创建时间(例如:-rw------- 1 user user 256M Jun 5 14:30 core.dump) ``` 或使用 `stat` 命令获取更详细信息: ```bash stat /path/to/core.dump ``` - **Windows**:通过文件属性查看: - 右键点击转储文件(如 `memory.dmp`)→ “属性” → “常规”标签,查看“创建时间”。 - 或使用 PowerShell: ```powershell Get-ItemProperty -Path "C:\path\to\memory.dmp" | Select CreationTime ``` 2. **事件时间(崩溃发生时间)**: - 需要分析转储文件内容: - **Linux/Unix(使用 GDB)**: ```bash gdb -c /path/to/core.dump # 加载转储文件 (gdb) info registers # 查看寄存器,可能包含时间线索 (gdb) bt # 查看调用栈,部分系统会记录时间 ``` 结合系统日志(如 `/var/log/syslog`)匹配时间。 - **Windows(使用 WinDbg)**: 安装 WinDbg 后: ```cmd windbg -y SymbolPath -i ImagePath -z DumpFile.dmp !analyze -v # 分析报告通常会显示崩溃时间 ``` 3. **进程相关时间**: - 在分析工具中查看: - 在 GDB 或 WinDbg 中,使用命令如 `!peb`(Windows)或 `info proc`(Linux)获取进程启动时间。 - 例如,在 WinDbg: ```cmd !peb # 显示进程环境块,包含创建时间戳 ``` #### 注意事项: - 时间可能基于 UTC 或本地时区,需检查系统设置。 - 如果转储文件不完整,时间信息可能缺失;建议结合系统日志(如 Linux 的 `dmesg` 或 Windows 的事件查看器)。 - 工具推荐:Linux 使用 `coredumpctl`,Windows 使用 Event Viewer(事件查看器)辅助分析。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值