如何從 dump 檔案中提取出 C# 原始碼？

一：背景

相信有很多朋友在遇到應用程式各種奇葩問題後，拿下來一個dump檔案，辛辛苦苦分析了大半天，終於在某一個執行緒的呼叫棧上找到了一個可疑的方法，但 windbg 常常是以 彙編 的方式顯示方法程式碼的，可惜的是，現如今的彙編，有多少像我們這些速成系碼農還看的懂呢？ ???

接下來尖銳的問題就來了，如何將這些彙編程式碼轉成 C# 原始碼，如果轉不成原始碼轉成 IL程式碼也好呀，起碼我努努力還是能試著看的懂的。。。

本篇我就來分享下如何把 dump 中的方法原始碼提取出來。

二： 從 dump 檔案中提取原始碼

1. 案例演示

為了能夠演示方便，我用 .netcore 3.1 寫了一個簡單的demo，程式碼如下：

namespace ConsoleApp6
{
    class Program
    {
        static void Main(string[] args)
        {
            Run();
        }

        static void Run()
        {
            Console.WriteLine("hello world!");
            Console.ReadLine();
        }
    }
}

將程式跑起來後，使用 工作管理員, adplus, procdump 隨便哪一個抓取 dump 都可以。

2. 使用 lm + savemodule 命令提取

如果你的程式足夠簡單，可以直接用 lm 獲取程式中所有的模組，然後使用 savemodule 將模組匯出為 exe/dll 物理檔案，如下所示：

• 使用 lm 提取出所有模組

0:000> lm
start             end                 module name
000002c2`264b0000 000002c2`264b8000   ConsoleApp6_2c2264b0000   (deferred)             
00007ff7`e4a50000 00007ff7`e4a7f000   ConsoleApp6   (deferred)             
00007ffa`a4b50000 00007ffa`a546d000   System_Private_CoreLib   (deferred)             
00007ffa`a5470000 00007ffa`a59df000   coreclr    (deferred)             
00007ffa`df070000 00007ffa`df1b2000   clrjit     (deferred)             
...

可以隱約的看到，我有一個名為 ConsoleApp6_2c2264b0000 的模組，這就是我要提取的 ConsoleApp6.exe，順便提一下，那個很礙眼的 ConsoleApp6 (deferred) 是 PE 檔案，要問我怎麼知道的？ 試一下就好啦?

• 使用 savemodule 提取

從上面第一行 start 列中可以看到 ConsoleApp6_2c2264b0000 的開始地址為 000002c2264b0000，接下來用 savemodule 匯出到 E:\dump。

0:000> !savemodule 000002c2`264b0000 E:\dump\ConsoleApp6.exe
3 sections in file
section 0 - VA=2000, VASize=6c4, FileAddr=200, FileSize=800
section 1 - VA=4000, VASize=564, FileAddr=a00, FileSize=600
section 2 - VA=6000, VASize=c, FileAddr=1000, FileSize=200

然後就可以看到 E:\dump 裡面多了一個 ConsoleApp6.exe ?，有了這玩意看原始碼就簡單多了，直接用 ILSpy 對其進行反編譯即可。

3. 使用 dumpdomain/module + savemodule 提取

實際開發中有可能你的程式非常複雜，使用 lm 直接提取模組是找不到的，最好的辦法就是 按圖索驥 的方式尋找你要的 module，還記得 CLR Via C# 上說過的 AppDomain，Assembly，Module 之間的關係嗎？如果要詳細瞭解，建議翻看一下，這裡我大概簡述一下， Assembly 一般包含若干個 Module + 資原始檔, Assembly 就是一個 dll/exe 檔案，程式跑起來後，Assembly是被妥善安置在 AppDomain 中的。

有了上面這個思想，是不是就可以通過這個流程 AppDomain -> Assembly -> Module 找到 module 啦？ 接下來看看如何去實現。

• 使用 !dumpdomain 找到 ConsoleApp6 所在的程式域

0:000> !dumpdomain
--------------------------------------
System Domain:      00007ffaa59996f0
LowFrequencyHeap:   00007FFAA5999C58
HighFrequencyHeap:  00007FFAA5999CE8
StubHeap:           00007FFAA5999D78
Stage:              OPEN
Name:               None
--------------------------------------
Domain 1:           000002c224b6ca80
LowFrequencyHeap:   00007FFAA5999C58
HighFrequencyHeap:  00007FFAA5999CE8
StubHeap:           00007FFAA5999D78
Stage:              OPEN
Name:               clrhost
Assembly:           000002c224bf1c00 [C:\Program Files\dotnet\shared\Microsoft.NETCore.App\3.1.12\System.Private.CoreLib.dll]
ClassLoader:        000002C224B61820
  Module
  00007ffa45984020    C:\Program Files\dotnet\shared\Microsoft.NETCore.App\3.1.12\System.Private.CoreLib.dll

Assembly:           000002c224bf1980 [E:\net5\ConsoleApp3\ConsoleApp6\bin\Debug\netcoreapp3.1\ConsoleApp6.dll]
ClassLoader:        000002C224BE3F80
  Module
  00007ffa45b5f7d0    E:\net5\ConsoleApp3\ConsoleApp6\bin\Debug\netcoreapp3.1\ConsoleApp6.dll

尷尬，記得不錯的話，在 .NET Framework 中預設會有三個應用程式域。

• System Domain
• Shared Domain
• Domain 1

咋到 .NET Core 上就丟了一個 Shard Domain 呢 ???，先不管啦，從圖中可以清楚的看到 Domian 1 上有我的dll E:\net5\ConsoleApp3\ConsoleApp6\bin\Debug\netcoreapp3.1\ConsoleApp6.dll，同時還有一個 module 的地址 00007ffa45b5f7d0。

• 使用 !dumpmodule 獲取 module 詳細資訊

0:000> !DumpModule /d 00007ffa45b5f7d0
Name: E:\net5\ConsoleApp3\ConsoleApp6\bin\Debug\netcoreapp3.1\ConsoleApp6.dll
Attributes:              PEFile SupportsUpdateableMethods 
Assembly:                000002c224bf1980
BaseAddress:             000002C2264B0000
PEFile:                  000002C224BF2300
ModuleId:                00007FFA45B5FB98
ModuleIndex:             0000000000000001
LoaderHeap:              0000000000000000
TypeDefToMethodTableMap: 00007FFA45B3C8D0
TypeRefToMethodTableMap: 00007FFA45B3C8E8
MethodDefToDescMap:      00007FFA45B3C958
FieldDefToDescMap:       00007FFA45B3C978
MemberRefToDescMap:      0000000000000000
FileReferencesMap:       00007FFA45B3C988
AssemblyReferencesMap:   00007FFA45B3C990
MetaData start address:  000002C2264B2078 (1304 bytes)

從上面的 BaseAddress: 000002C2264B0000 可以看出，module 的start 地址為 000002C2264B0000，是不是和剛才我用 lm 提取出來的地址一致哈，最後用 savemodule 匯出一下就可以啦,為了做區分，我取名為 ConsoleApp7.exe, 如下所示：

0:000> !savemodule 000002C2264B0000 E:\dump\ConsoleApp7.exe
3 sections in file
section 0 - VA=2000, VASize=6c4, FileAddr=200, FileSize=800
section 1 - VA=4000, VASize=564, FileAddr=a00, FileSize=600
section 2 - VA=6000, VASize=c, FileAddr=1000, FileSize=200

哈哈，剩下來的就是用 ILSpy 反編譯 CosoleApp7 啦。

更多高質量乾貨：參見我的 GitHub: dotnetfly