压缩与脱壳-脱壳高级篇 上

核心提示： 3、IceDump和NticeDump使用IceDump和NticeDump是一款配合SoftICE扩展其内存操作的工具，IceDump支持Windows 9x、Windows Millennium系统，压缩与脱壳-脱壳高级篇 上(10)，NticeDump支持Windows NT/200

3、IceDump和NticeDump使用

IceDump和NticeDump是一款配合SoftICE扩展其内存操作的工具，IceDump支持Windows 9x、Windows Millennium系统，NticeDump支持Windows NT/2000。它们的出现，使SoftICE如虎添翼，TRW2000的许多特色功能在SoftICE里也可实现了。

1．Icedump操作简介

运行IceDump前，首先要确定SoftICE版本号，按Ctrl+D切换到SoftICE下命令：VER，查看版本号。然后在相应SoftICE版本号目录下运行icedump.exe文件，它会调用自身的VXD文件，装载成功出现图7.16所示画面。如果发现SoftICE没运行或版本不符，就拒绝运行。 如果想从内存中卸载它，可以在DOS下键入"icedump u"。

1）/DUMP <起始地址> [<长度> <文件名>]

抓取内存中的数据到文件里，类似TRW2000中的W命令。<文件名>参数可以指定盘符和路径，当在Ring-0下还原时最好清除还原区域内的全部断点，否则会给SoftICE带来不必要麻烦。（这一点在所有的IceDump命令里都应该值得注意）

在Win32系统下读者可能会想到用/BHRAMA或/PEDUMP从内存内中重建一个可用的PE镜像。请看下面关于/OPTION命令的说明。

注意： IceDump 6.015以前类似的命令是PAGEIN D <address> [<length> <filename>]

2）/LOAD <地址> <长度> <文件名>

把<文件>指定长度的字节内容调入到内存中的<地址>处。与/DUMP的作用相反，同样需要注意的是不要设置断点。

3）/BHRAMA <Bhrama dumper server 窗口名>

用Procdump的Bhrama(由G-Rom出品的著名脱壳工具）来初始化dumping。用户必须提供窗口的名称，可以从标题条找到它。为了使工作简单化，可以在winice.dat里设置F3键：