WEB开发网
开发学院网络安全黑客技术 解密教学---第3章 动态分析技术 阅读

解密教学---第3章 动态分析技术

 2006-12-04 20:11:16 来源:WEB开发网   
核心提示: 6、程序领空所谓领空,实际上是指:在某一时刻,解密教学---第3章 动态分析技术(10),CPU 的 CS:IP(EIP) 所指向的某一段代码的所有者所在的区域,此例中SoftICE所停下来时光标所指的那一句代码是属于KERNEL32.DLL的,所以当你在底层函数上下断点,再用F12,因此

6、程序领空

所谓领空,实际上是指:在某一时刻,CPU 的 CS:IP(EIP) 所指向的某一段代码的所有者所在的区域。此例中SoftICE所停下来时光标所指的那一句代码是属于KERNEL32.DLL的,因此就叫KERNEL32.DLL领空,在图2.14中,可看到的领空名是KERNEL32!.text,那我怎么知道它就是KERNEL32.DLL文件呢?这个主要是经验,KERNEL32.DLL是Windows系统文件,在SoftICE里显示领空名时不显示扩展名,只是显示前一部份。

二、SoftICE常用命令简介

由于SoftICE命令操作较多,在此就把几个常用的命令介绍一下,其它详细说明请参考附录的"SoftICE手册"。

1、 G命令

语法:G [=start-address] [break-address]

作用:执行程序,后面如果加地址,则执行到该地址为止。

注意: TRW2000 中G命令与SoftICE稍有不同,SoftICE中G命令必须是在当前段中,这时IP(EIP)为指定值才中断;而TRW2000则不管段址如何,只要IP(EIP)是指定的值便停下,TRW2000这个特性大大方便我们的操作。

2、P命令

语法: P [ret]

作用:单步执行程序。

只执行P时,相当于按下F10键。在汇编模式中,当遇到 CALL、INT、LOOP、REP指令时,P将不跟踪进去,直到这些指令执行完毕,控制才返回SoftICE,换句话说,P命令是"跨"过这些指令的。

P RET 命令相当于快捷键 F12。SoftICE将一直单步执行直到它找到一条返回语句(RET、RETF),也就是说让SoftICE一直执行代码,直到出现 RET (XXXX) 命令,再跳出来拦截,这时,当前 IP(EIP) 会是停在 RET (XXXX) 后的某一条语句上,通常是在某一个CALL XXXXXXXX 后面。由于我们通常用SoftICE在某些底层的Windows函数上设置断点,所以 F12 是很管用的。因为程序的作者用的是高级语言,Windows又是提倡"透明",不希望程序员知道底层的操作,而只提供给他们高层的接口,而相当多的高级函数调用某个一定的底层函数,所以当你在底层函数上下断点,再用F12,就可以知道他用的是什么函数了。

上一页  5 6 7 8 9 10 

Tags:解密 教学 动态

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接