真巧,昨天刷到了大佬"一线码农"的视频,大概就是讲的有人找他破解一个混淆加密的数据库连接字符串,然后大佬也提供了方案就是用WinDebug查看内存中的数据。这其实本质上就是一个用WinDebug查看对象字符串字段具体内容的需求,为啥要取这个标题?当然是骗人点进来啦
目录
准备工作(环境)
- .net 8
- visual studio 2022
- sql server (非必须)
编写demo代码
SqlConnection sqlConnection = new SqlConnection();
sqlConnection.ConnectionString = "server=127.0.0.1;database=****;uid=sa;pwd=123456;Pooling=true;TrustServerCertificate=True;";
try
{
sqlConnection.Open();
SqlCommand command = sqlConnection.CreateCommand();
command.Connection = sqlConnection;
command.CommandText = "SELECT * FROM FAB_OHT";
var reader = command.ExecuteReader();
while (reader.Read())
{
Console.WriteLine(reader["OHT_ID"].ToString());
}
}
finally
{
sqlConnection.Close();
}
Console.Read();程序启动后转储为dump文件
WinDebug分析DUMP文件
在WinDebug中导入Dump文件
加载sos符号
.load C:\Users\bruce.qiu\.dotnet\sos\sos.dll寻找SqlConnection对象
!dumpheap -type Microsoft.Data.SqlClient.SqlConnection
可以看到Microsoft.Data.SqlClient.SqlConnection的类型方法表对应的地址为 7ff995723580 ,然后看到上面的类型只有一个对应的方法表是这个,可以断定这个类型实例就是代码中的SqlConnection实例。
查看实例细节
实例的地址为 017ce380b030
!do 017ce380b030
找到对象实例的连接字符的对象地址。
查看连接字符串
!do 000001bd757e04c0
可以看到字符串的基本结构,除了方法表和对象头之外,包含了字符串长度,首字符。
可以看到字符串首字符的偏移为c,也就是0xC,大概就是该对象的第12位开始就是字符串的具体内容。
.printf "%mu", 000001bd757e04c0+0xC
这个命令就是从字符串的地址开始,取内容的偏移,
后面的+0xC就是移动了相应的偏移,偏移则是图中的offset.
至于为什么正好取到字符串长度而不越界,是因为调试器会根据字符串对象存储的长度来安全的截取长度。