从堆里找回“丢失”的代码

前言

前一阵子，使用小乌龟（TortoiseGit）提交代码的时候，错误的 Revert 了部分代码，本文记录了找回这部分代码的过程。文章标题致敬张银奎老师《格蠹汇编》的第一章 —— 从堆里抢救丢失的博客。

说明： 本文的截图都是我用新建的示例工程截取的。

缘起

最近，程序运行的时候，执行某个功能会崩溃，根据经验猜测，应该是序列化，反序列化的问题。由于手里没有关键的 pdb，调试起来比较费劲，而且项目比较急，暂时先不使用这个功能。准备先提交其它功能的代码。

大意失荆州

按照惯例，提交之前先检查一下提交内容。（p.s. 这是个好习惯）

发现有一部分代码会导致序列化有问题。一激动（当时被那个崩溃问题搞得很烦躁），点击了Revert...。

点完了就后悔了 —— 这段代码是为其它功能写的，应该保留。由于在提交代码前，关闭了vs ，没办法通过 vs 找回了。

说明：如果文件在 vs 外部被修改，vs 会给出类似下图的提示，这时候我们选 No 不重新加载就可以了。

这可是我辛辛苦苦，一行一行敲出来的啊。就这么 “丢了” 吗？丢是不可能丢的，这辈子都不可能丢的。

峰回路转

幸亏没有烦躁到直接干掉小乌龟。想起张老师的《格蠹汇编》第一章就是 “从堆里抢救丢失的博客”，讲的是使用 windbg 从浏览器中找回未能成功发表的博文的故事。赶紧使用 windbg 附加到小乌龟上。先用 .dump /ma e:\dumps\tortoisegit.dmp 保存一份完整转储。

有了转储文件，即使关闭小乌龟也不怕了！稍微平复下我跌宕起伏的内心，应该用哪个命令搜索内存呢？很早之前从张老师的文章里了解到 s 命令可以搜索内存。加之，前一段日志刚好尝试解决过类似的问题，做了笔记。很快就把上次整理好的命令粘贴到 windbg 中进行查找。

搜寻关键字

有印象的关键字是 args.Contains("--all")。在 windbg 中输入 !address -f:heap,PAGE_READWRITE -c:"s -u %1 %2 args.Contains(\"--all\")"

搜到两处，分别使用 du 命令查看这两处的内容。

明显第一处的内容比较全，选用第一处的地址进行进一步的搜索。如果能找到文件的开始和结束就最好了。经过简单的尝试，找到了开始和结束的地址。截图的话会比较长，这里就不截图了。开始地址是 0000022f``dae8e5f8-0x3538，结束地址是 0000022f``dae8f030。

说明： 也可以直接使用命令 s -u 0x0 L?0xffffffff`ffffffff "args.Contains(\"--all\")"，更简单明了。

保存到文件

知道开始地址和结束地址了，剩下的就是如何把对应的内容保存到文件中了。windbg 已经为我们准备好了一条命令 —— .writemem。输入：.writemem e:\dumps\tortoisegit.cs 0000022f``dae8e5f8-0x3538 0000022f``dae8f030 即可把指定范围的数据保存到文件中。

查看保存的文件，果然是对应的文件内容！比较长，这里就不放截图了。

反思

• 一定要养成一个良好的版本管理习惯。开发新功能的时候，最好建立一个新分支，并且随时把变更提交。等开发完了，再合并回主分支，并删掉功能分支。如果我遵循了这个原则的话，就不会出现这种问题了。当然，也不会有本篇总结了。

• 遇到问题，一定不要鲁莽，保持冷静。如果我关了小乌龟，那么丢失的代码就真的没办法找回来了。

• 一定要养成总结问题，记录问题的好习惯！之前，有同事也遇到了类似的问题，代码不小心弄丢了。不幸的是，没能通过这种办法找回来。幸运的是，当时调查的结果都有记录，所以这次查这个问题的时候，翻出笔记。复制粘贴，回车，搞定！一气呵成，相当舒爽！

总结

• 使用 !address -f:heap, PAGE_READWRITE -c:"s -u %1 %2 \"unicode_string_to_search\"" 可以在堆上搜索 unicode_string_to_search。

• 可以使用更简单的 s -u start_address end_address 或者 s -u start_address L?length 搜索。

• 使用 .writemem 可以把指定范围的数据保存到文件中。

参考资料

• 《格蠹汇编》
• https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/-address
• https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/-writemem--write-memory-to-file-
• https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/address-and-address-range-syntax
• https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/s--search-memory-