解密教学－－-第3章 动态分析技术

核心提示： （图三）这个段是32位数据类型，长度为4G ，解密教学－－-第3章 动态分析技术(9)，我们还可以看到很多的段，它们有可能会指向同一个物理地址，5、命令窗口这是各种命令执行的地方，在屏幕底部的动作状态行显示执行命令的各种提示，但它们的类型，属性可能不同

（图三）

这个段是32位数据类型，长度为4G ，我们还可以看到很多的段，它们有可能会指向同一个物理地址，但它们的类型，属性可能不同。如一些段指向的地址是不可读写的，但另外一个段指向的同一物理地址是可读写的！如果我们通过不可写的那段的编号放到段选择器，然后进行读写操作，肯定死掉了。 但换了另外一个段对同一个地方读写那就没问题！保护模式的内存管理挺有趣的，感兴趣的不妨看看这方面的书，当然作为初学者只需稍微了解就可。

②号位置00000000：此处表示内存的虚拟地址。

③号位置的值是当前内存的数据，以十六进制表示。

④号位置的值是"③"处值的另一种表示方法：ASCII码。

3、代码窗口

此处显示的是当前程序的代码，因为不管是什么程序，最终在CPU执行时都是以机器语言方式，而汇编语言和机器语言是一一对应的，因此SoftICE为了方便我们理解，把所监视的代码以汇编代码形式显示在我们面前。例如：

（图四）

①段选择器；

②虚拟地址；

③机器码：这就是CPU执行的机器代码，此处是以十六进制表示。你可用Code on/off打开或关闭这项的显示。

④汇编指令：和机器码对应的程序代码。

4、堆栈窗口

这个是TRW2000特有的，通过它很方便监视堆栈的状况。

5、命令窗口

这是各种命令执行的地方，在屏幕底部的动作状态行显示执行命令的各种提示，以及可提供指令语法帮助。