WEB开发网
开发学院网络安全黑客技术 解密教学---第3章 动态分析技术 阅读

解密教学---第3章 动态分析技术

 2006-12-04 20:11:16 来源:WEB开发网   
核心提示: SoftICE的所有操作都发生在一个可以随时可激活的调试窗口中,在这个窗口中可以监视Windows应用程序和系统的运行,解密教学---第3章 动态分析技术(8),一、 调试窗口简介我们假设你的SoftICE己经正常运行,此时在Windows里按"Ctrl+D"键就可以呼

SoftICE的所有操作都发生在一个可以随时可激活的调试窗口中,在这个窗口中可以监视Windows应用程序和系统的运行。

一、 调试窗口简介

我们假设你的SoftICE己经正常运行,此时在Windows里按"Ctrl+D"键就可以呼出SoftICE的调试窗口,当需要返回到Windows系统时,再按"Ctrl+D"键,也可使用X命令或按F5键。激活的调试窗口如图2.14所示,分为寄存器窗口、数据窗口、代码窗口、浮点窗口和命令窗口等部分。

如是在TRW2000环境下,激活是按"CTRL+N",和SoftICE不同的是TRW2000中没有浮点窗口,不过有一个堆栈窗口。

(图一)SoftICE或TRW2000调试截图

1、寄存器窗口

在这里可以观察到各种寄存器的当前值,如数据寄存器EAX、EBX、ECX、EDX和控制寄存器(EIP和PSW)等,有一点要注意了,由于我们是在Windows平台下,所以看到的都是80386寄存器集,其与16位寄存器差别在前多了一字符"E",意为16位寄存器扩展。

2、数据窗口

在数据窗口显示指定内存处中的数据,以十六进制和ASCII同时显示,这可以说是我们的眼睛,因此有必要了解一下各部分的含义。

(图二)

①号位置的0030:这是段选择器。

在Windows的保护模式下CS、DS、ES、SS、FS和GS不叫段寄存器,叫段选择器。在保护模式中,内存分为了好多的段,在TRW200下用GDT就可以看到段的编号、类型、开始物理地址、大小、属性。让我们看看编号0030是什么东西:

上一页  3 4 5 6 7 8 9 10  下一页

Tags:解密 教学 动态

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接