讲述内容：如何在内存中搜索数据

使用命令：

列出进程使用的模块

列出该进程的所有线程

列出堆信息

列出用户态空间所有区域

s 搜索内存命令

-u  指定搜索类型为Unicode字符串

10000  搜索的起始地址，16进制。使用这个地址可能是因为在这个例子中，10000以前的地址都没有使用（free）。

L8000000  搜索的范围，16进制。需要注意的是它的单位是根据搜索的对象类型而变化，可以是字节、字、双字、四字。在本例中由于使用Unicode类型（似乎是使用UTF-16），长度为2个字节，所以实际范围是8000000x2=256MB。

eb 001b5942-8 ff fe

e命令为内存编辑命令。

eb  按字节写入

001b5942-8  写入的起始地址。基地址+（-）偏移量

ff fe  写入的内容。如果忽略不写的话，WinDBG会启用交互式输入。（这个一试便知）

把内存内容写入文件。

L1458 长度。以字节为单位。其实本例中精确长度为 1b6d82+e - 1b5942 + 8 = 1456。