从堆里抢救丢失的博客
案例场景:编写博客的当前窗口还在,只不过内容丢失了,明确知道是哪个进程
(1)attach to process到iexplore.exe(多进程的情况,可以分别使用attach到每一个进程,看哪个无法切换到当前窗口)
(2)s -u 10000 L8000000 "要搜索的内容"
(3)!address 0x3fcd...确认一下内存属性是堆
(4)s -u 0x3fcd... L10000 "要搜索的内容结尾",然后计算博客大小
(5)db 0x3fcd... - 8,查看前8字节内容
(6)eb 0x3fcd... - 8 ff fe,在前8字节中,插入unicode标记位
(7)db 0x3fcd... - 8,确认标记位加入成功
(8).writemem c:\blog.txt 0x3fcd... - 8 L1435
