softice手册.doc

SOFTICE 操作手册 BPMEHEAP32PSRCWMSGBPRECHWNDPAGESSWRABPRWEXITIPAUSESTACK1叽VADDRBPTEXPI1HEREPCISYMXALTKEYBPXF13HEREPEEKSYMLOCXFR且1EALTSCRBSTATFAULTSIDTPHYSTXGANSWERCFILELDTPOKETABLEXP BC CLASS FKEY LHEAPPRINT SCREEN键 TABS XRSETBDCLSFLASHLINESPROCTASKXTBECODEFORMATLOCALSQUERYTHREADZAPBHCOLORGMRTRACEBLCPUGDTMACRORSTSSBMSGCSIPGENINTMAP32STYPESBPEDATAHMAPV86SERIALUBPINTDEXHBOOTMODSETVCALLBPIODIALHEAPSHOWWL 。 。 在代码窗口中定位当前指令  用法: 点评: 当代码窗口可见时命令(点命令)使得当前的CS:EIP 所指向的指令可见，并且高亮显示.另外，此命令也把 SoftICE 从其他内存区域中切回原先弹出的内存区域. 详见后面的ADDR命令. 当你在代码窗口中上下浏览时，有可能走得很远，那么 这时个气命令会让你在下瞬间回到SOFTICE当前 所在的CS:EIP处，再也用不着按PGUP，PGDOWN很多次了!  命令: ? 作用:计算个表达式的值 语法: ?表达式 用法:计算 个表达式的值.并以十六进制，十进制，带符号的 十进制(0时有)和ASCII 值多种形式显示计算结果. 点评: 个非常高级的计算器，诸如46578*1999+ESI 之类的 计算不会再让你烦恼，另外由于可以显示ASCII，所以可 以很方便地在各种数制之间察看.  命令: A 作用: 写入汇编代码 语法: A [地址] 用SICE内置的汇编器在内存中写入汇编代码.汇编器支 持标准的80x86指令集.包括386，486，Pentium，Pentium Pro，MMX，协处理器，新版的SICE还支持AMD的3D Now!， PII，PIII 的特有指令集.汇编将在A后的地址处开始.如 用法:果在A后没??加地址，那么汇编将在你上次汇编结束处 开始.如果你是第一次键入A命令，且没有追加地址那么 汇编将在当前CS:EIP处开始.另外，键入A命令后，在单 独一行指令栏中键入USE16或USE32，将告诉汇编器是采 用16位还是32位指令，默认是和当前的CS寄存器的模式 一致. 这是和DOS下DEBUG.EXE的用法样的命令. 般改程序 点评: 时，用A命令写入，再用CODE ON(见稍后)命令看代码，记 录原来的代码和改过的代码后再用工具软件如PCTOOLS HACKVIEW之类查找修改 命令: ADDR 作用:在SoftICE中显示或是切换内存区域 语法: ADDR [内存区域句柄|过程名] 用来察看某一个任务的私有内存区域，或是加参数[内 存区域句柄|过程名]在SoftICE中切换某一任务的私有 内存区域为当前可寻址的内存区域. 一些参数的显示. . HANDLE内存区域控制块的地址. PGTPTR每个任务私有页表的起址. TABLES每个私有页表中的表项数目用法:.MINADDR每个任务的线性地址的起址. MAXADDR每个任务的线性地址的终址. MUTEXv1刷用于页表管理的句柄.OWNER使用这块内存区域的实例的名字 如果有多个相同名字的实例运行， ADDR带OWNER名字切 换的话，切到表中的第一个有此NAME的实例所占的内存 区域.所以带HANDLE切换的话比较精确.当用ADDR加参 数后，可以用上面提到过的气命令来回到SoftIC因单出 时所属的任务内存区域  点评: 这个牵涉到CPU的保护模式寻址方式和WINDOWS 的内存 管理，由分段机构产生的32位线性地址要经过分页机构 再转化为物理地址 J主要牵涉到两个表的寻址.WINDOWS 每次切换都将每个任务的私有页表拷贝到CR3寄存器所 指的当前页表中而ADDR所作的和WINDOWS所作的样. 所以当你在 个任务中弹出时，可以通过ADDR 可以来看 别的任务的私有内存区域. 命作语 令用法 用法: 点评: 用法: 点评: 用法: ALTKEY 改变用来呼叫So