Tips of Ollydbg 搜索内存
最近来研究堆喷相关的技术,再实验查看IE内存申请的BSTR内存字符串时,总找不到那个BSTR结构的字符串。
CORELAN官方在堆喷揭秘这篇文章中给出了两种搜索内存方法,一种是使用 Immunity Debugger 加mona插件
!mona find -s "CORELAN!" -unicode -x *
第二种是windbg的搜索命令
s -u 0x00000000 L?0x7fffffff "CORELAN!"
第三种,使用OD自带的内存搜索命令CTRL+B,但是要在内存布局页面使用,才能发挥出它的强大。