解密教学－－-第3章 动态分析技术

核心提示： SoftICE的所有操作都发生在一个可以随时可激活的调试窗口中，在这个窗口中可以监视Windows应用程序和系统的运行，解密教学－－-第3章 动态分析技术(8)，一、 调试窗口简介我们假设你的SoftICE己经正常运行，此时在Windows里按"Ctrl+D"键就可以呼

SoftICE的所有操作都发生在一个可以随时可激活的调试窗口中，在这个窗口中可以监视Windows应用程序和系统的运行。

一、 调试窗口简介

我们假设你的SoftICE己经正常运行，此时在Windows里按"Ctrl+D"键就可以呼出SoftICE的调试窗口，当需要返回到Windows系统时，再按"Ctrl+D"键，也可使用X命令或按F5键。激活的调试窗口如图2.14所示，分为寄存器窗口、数据窗口、代码窗口、浮点窗口和命令窗口等部分。

如是在TRW2000环境下，激活是按"CTRL+N"，和SoftICE不同的是TRW2000中没有浮点窗口，不过有一个堆栈窗口。

（图一）SoftICE或TRW2000调试截图

1、寄存器窗口

在这里可以观察到各种寄存器的当前值，如数据寄存器EAX、EBX、ECX、EDX和控制寄存器（EIP和PSW）等，有一点要注意了，由于我们是在Windows平台下，所以看到的都是80386寄存器集，其与16位寄存器差别在前多了一字符"E"，意为16位寄存器扩展。

2、数据窗口

在数据窗口显示指定内存处中的数据，以十六进制和ASCII同时显示，这可以说是我们的眼睛，因此有必要了解一下各部分的含义。

（图二）

①号位置的0030：这是段选择器。

在Windows的保护模式下CS、DS、ES、SS、FS和GS不叫段寄存器，叫段选择器。在保护模式中，内存分为了好多的段，在TRW200下用GDT就可以看到段的编号、类型、开始物理地址、大小、属性。让我们看看编号0030是什么东西：