在大型 MEMORY.DMP 文件中搜索字符串

Question

如何在 Windows BSOD（Windows 8.1 64 位）生成的大 MEMORY.DMP 文件中搜索字符串？

在 32 位 Windows 上，命令

s -a 0 ffffffff "my pattern"

似乎工作。

但是对于 64 位窗口，

s -a 0 ffffffff`ffffffff "my pattern"

花费几乎无限的时间，即使 MEMORY.DMP 的总大小只有大约 400MB，而简单的grep可以在几秒钟内找到模式。

我的目标是找到字符串的虚拟地址，以确定哪个堆栈/堆/文本区域被它覆盖。

如果文件格式的参考或规范可用，我最终会求助于手动解释 MEMORY.DMP 的文件格式。 任何提示？

Answer 1

目前我是这样做的：

1. !heap -a

这将提供一些输出，如下所示：

HEAPEXT: Unable to get address of ntdll!RtlpHeapInvalidBadAddress. Index   Address  Name      Debugging options enabled   1:   1b9be450000 
    Segment at 000001b9be450000 to 000001b9be54f000 (0008b000 bytes committed)   2:   1b9be1f0000 
    Segment at 000001b9be1f0000 to 000001b9be200000 (00001000 bytes committed)   3:   1b9bfe10000 
    Segment at 000001b9bfe10000 to 000001b9bfe1f000 (0000f000 bytes committed)
    Segment at 000001b9c3a40000 to 000001b9c3b3f000 (00005000 bytes committed)   4:   1b9be440000 
    Segment at 000001b9be440000 to 000001b9be44f000 (00007000 bytes committed)

2. 在每个段的起始地址和结束地址之间搜索，直到找到你的数据
3. 例如：s -a 000001b9be450000 000001b9be54f000 “我的模式”

这可能不适用于所有场景，但对我来说，它允许我找到我正在寻找的数据。