解密教学－－-第3章 动态分析技术

核心提示： 6、程序领空所谓领空，实际上是指：在某一时刻，解密教学－－-第3章 动态分析技术(10)，CPU 的 CS:IP(EIP) 所指向的某一段代码的所有者所在的区域，此例中SoftICE所停下来时光标所指的那一句代码是属于KERNEL32.DLL的，所以当你在底层函数上下断点，再用F12，因此

6、程序领空

所谓领空，实际上是指：在某一时刻，CPU 的 CS:IP(EIP) 所指向的某一段代码的所有者所在的区域。此例中SoftICE所停下来时光标所指的那一句代码是属于KERNEL32.DLL的，因此就叫KERNEL32.DLL领空，在图2.14中，可看到的领空名是KERNEL32!.text，那我怎么知道它就是KERNEL32.DLL文件呢？这个主要是经验，KERNEL32.DLL是Windows系统文件，在SoftICE里显示领空名时不显示扩展名，只是显示前一部份。

二、SoftICE常用命令简介

由于SoftICE命令操作较多，在此就把几个常用的命令介绍一下，其它详细说明请参考附录的"SoftICE手册"。

1、 G命令

语法：G [=start-address] [break-address]

作用：执行程序，后面如果加地址，则执行到该地址为止。

注意： TRW2000 中G命令与SoftICE稍有不同，SoftICE中G命令必须是在当前段中，这时IP（EIP）为指定值才中断；而TRW2000则不管段址如何，只要IP（EIP）是指定的值便停下，TRW2000这个特性大大方便我们的操作。

2、P命令

语法: P [ret]

作用：单步执行程序。

只执行P时，相当于按下F10键。在汇编模式中，当遇到 CALL、INT、LOOP、REP指令时，P将不跟踪进去，直到这些指令执行完毕，控制才返回SoftICE，换句话说，P命令是"跨"过这些指令的。

P RET 命令相当于快捷键 F12。SoftICE将一直单步执行直到它找到一条返回语句(RET、RETF)，也就是说让SoftICE一直执行代码，直到出现 RET (XXXX) 命令，再跳出来拦截，这时，当前 IP(EIP) 会是停在 RET (XXXX) 后的某一条语句上，通常是在某一个CALL XXXXXXXX 后面。由于我们通常用SoftICE在某些底层的Windows函数上设置断点，所以 F12 是很管用的。因为程序的作者用的是高级语言，Windows又是提倡"透明"，不希望程序员知道底层的操作，而只提供给他们高层的接口，而相当多的高级函数调用某个一定的底层函数，所以当你在底层函数上下断点，再用F12，就可以知道他用的是什么函数了。