SoftICE for WIN95中文命令解说(三)
Copyright (c) 1999 http://coobe.cs.hn.cninfo.net/~tianwei
命令: BPINT
作用: 在某个中断向量上下断点
语法: BPINT int-number [IF expression]
[DO "command1;command2;..."]
用法:
int-number : 中断向量号,从0到FFH
IF expression: 条件表达式,只有条件为"真"时,Sof-
tICE才在断点处弹出
Do command : 当SICE弹出时,自动执行的一些命令.
当在硬中断和CPU异常出错的向量上下断点时,SoftICE
会在处理这个中断的过程的第一条语句时弹出.而软件
中断则停在INT XX处.注意:BPINT只对由中断描述符表
中的中断起作用(WIN95).如果在一个DOS虚拟机(DOS窗
口)中下此种断点, 控制是由保护模式转到虚拟机的中
断向量表中去.这时如果说停在INT XXH 处, 你用F8跟
下去,是一下子看不到对这个中断的实模式处理过程的
,要走很远,这时可用:G @ $ 0:int-number*4 来一下
子走到实模式处的处理过程.
点评:
注意! SoftICE30的命令手册(英文版PDF格式在此处写
错了!把$写成&了!)($意思是告诉SoftICE 后跟实模式
的段.以后有专门论及这些符号的文章.) 如果你是在
DOS窗口中用命令行调一个东西, 这时 G @ 0:intno*4
也可以,这时默认的SELECTOR就是实模式,选择符存在.
但如果在EXPLORER中直接双击一个程序, 拿INT 21H来
说,一开头是在KERNEL中,就非得用 $ 不行了!另外:由
于有了IF 子句,可以很方便地下各种INT XX断点,比如
在文件打开中断功能上下断点 bpint 21 if ah==3d
命令: BPIO
作用: 在输入输出端口上下断点
语法: BPIO [-h] port [verb] [IF expression]
[DO "command1;command2;..."]
用法:
port : 端口号
verb : 进行什么样的操作时弹出,R为读;W为
写 ;RW为读写
IF expression: 条件表达式,只有条件为"真"时,Sof-
tICE才在断点处弹出
Do command : 当SICE弹出时,自动执行的一些命令.
-h : 用硬件除错寄存器在VxD中下断点,只
在PENTIUM级的芯片上才行
当SoftICE弹出时,CS:EIP停在执行I/O操作的下一条指
令处.如果不带参数 verb,默认为RW.注意:在WIN95中,
若不带-h参数,则只能在RING 3中下断, 若要跟 VXD和
VMM的I/O操作,请加-h.
WIN95本身用VXD挂了很多I/O操作,用TSS可以看到
点评: 可以参看后面要讲的TSS命令.
命令: BPM
作用: 在内存单元上下断点
语法: BPM[size] address [verb] [debug-reg] [IF expression]
[DO "command1;command2;..."]
用法:
size : 内存单元大小,B 为字节(默认);W 为
字;D 为双字.
verb : 所进行的操作,R 为读;W为写;RW为读
写(默认); X 为执行.
debug-reg : 除错寄存器,DR0,DR1,DR2,DR3.
IF expression: 条件表达式,只有条件为"真"时,Sof-
tICE才在断点处弹出.
Do command : 当SICE弹出时,自动执行的一些命令.
当verb 为 R,W,RW时,一旦弹出,SoftICE停在刚才发生
内存操作的后一条指令处.为 X 时,停在将要执行的指
令处.一般没有必要,不要带 debug-reg 参数,SoftICE
一开始是自动带DR3的,以后按顺序为2,1,0 只有当你
调试一个DEBUGGER时,而此DEBUGGER也用到了DRx,才需
特别指定一个防止冲突.
BPM断点如果下在(400000-7FFFFFFF)内,那么只有你下
断点时当前的可寻址区域( 见ADDR的点评)被激活才能
发生中断.别的不行.但如果断点下在DLL中,这个DLL在
多个地址区域内都存在,那么在这多个地址区域内都可
能发生中断,简单的例子如KERNEL32.DLL另外,size 参
数要紧跟BPM写,成BPMD,BPMW之类.
点评: BPM用了DR3-DR0寄存器,所以最多只能设四个断点.
命令: BPR
作用: 在一个内存范围上下断点
语法: BPR start-address end-address [verb] [IF expression]
[DO "command1;command2;..."]
用法:
start-address: 起始地址
end-address : 终止地址
verb : R 读;W 写;RW 读写;T 回溯跟踪指令
;TW 回溯跟踪内存写
IF expression: 条件表达式,只有条件为"真"时,Sof-
tICE才在断点处弹出
Do command : 当SICE弹出时,自动执行的一些命令.
BPR 用来在一段内存区域上下断点它没有 X 参数, 但
可用 R 参数代替. T,TW是记录回溯跟踪的参数, 具体
可见TRACE命令.BPR 有时会极大地降低系统效能,因为
所有对断点所在页的内存操作都会被SoftICE截获分析
.如果程序中用到频繁的内存操作,机器就会相当慢.
当条件满足,SoftICE弹出时,CS:EIP停在发生内存操作
的那条指令上. BPR 断点是下在当前被激活的页表上,
如果你下的RANGE在物理4MB以下,断点就会在各虚拟机
中,这样,BPR就对LDT,GDT,IDTs,页表本身不起作用.
另外,VMM中0级堆栈和严重(?)内存区域(critical ar-
eas)也不允许下BPR,很有可能死机.在95中,BPR只能用
于RING 3,所以对RING 0的VXD无用.(v3.20)
点评:
BPR 有时真的很慢,机器就象死了一样, 原因上面都说
了.所以在知道内存单元的时侯最好用BPM,只有无路可
走才用BPR的范围来试试.(当然也有非要用BPR 不可的
地方)
命令: BPRW
作用: 在某个WINDOWS程序或代码段所在的内存区域上下范围断点
语法: BPRW module-name | selector [verb] [IF expression]
[DO "command1;command2;..."]
用法:
module-name : WINDOWS程序的模块名
selector : 选择符
verb : R 读;W 写;RW 读写;T 回溯跟踪指令
;TW 回溯跟踪内存写
IF expression: 条件表达式,只有条件为"真"时,Sof-
tICE才在断点处弹出
Do command : 当SICE弹出时,自动执行的一些命令.
BPRW是个在WIN程序的一个或多个可执行模块上下断点
的比较便捷的方法实际上它就是BPR, 不信你可以下一
个,再用BL 看看.它只不过比BPR更有目的性.用HEAP命
令可以帮助使用者看module-name和selector.BPRW 不
用你再费心找范围.BPRW 在回溯跟踪时很有用.
另外,BPRW 也是不能用于RING 0. 而且在跟 T 参数或
和CSIP命令配合使用时有可能会很慢.RW参数是缺省值
点评:
BPRW 有时侯很管用的, 因为你有可能不知道某个程序
在何时在内存中参与运行,用BPRW就可以在这个程序一
运行时就弹出.而且可以分不同的代码段.
命令: BPT
作用: 以前次的断点为模板,设定新的断点.
语法: BPT breakpoint_index
用法:
breakpoint_index: 断点序号.(用BL可以看到)
BPT 是以前次的断点为蓝本,进行修改,成为新的断点.
它为使用者定新的断点提供了方便.
点评: 参见第二部分的BPE 命令
命令: BPX
作用: 在可执行语句上设定(或清除)断点
语法: BPX [address] [IF expression] [DO "command1;command2;..."]
用法:
address : 断点所在的线性地址
IF expression: 条件表达式,只有条件为"真"时,Sof-
tICE才在断点处弹出.
Do command : 当SICE弹出时,自动执行的一些命令.
BPX 用来在指令处下断点,程序一旦执行到此,SoftICE
就会弹出.当光标在代码窗口中时,直接打入BPX就会在
光标所在语句处设断点,再打BPX 就取消. 当光标不在
代码窗口中时,BPX 必须跟参数(地址). 地址为标准的
"选择符:偏移",如果只输入偏移,当前的CS值默认为选
择符.
BPX 实际上是在你下的断点处加一个INT 3指令, 到这
条指令时就弹出来.这使得可以在一个程序中下多个断
点,而不必要使用少得可怜的寄存器.但当你在ROM中设
断点时,SoftICE自动用断点寄存器来设断.你也可以用
BPM 命令的X参数来强迫SoftICE用断点寄存器(DRx)来
设断.
BPX 也可用16位代码的模块名来作地址参数, 这样,模
块中每个出口函数都被设了断点. BPX 最多设256个断
点.(V3.20) BPX 有个快捷键 F9,当光标在代码窗口中
时,按F9就是设定(取消).
点评:
BPX 可能是用得最多的断点了. 有些ANTI-DEBUGGER的
程序就利用INT 3 来作文章,看了上面的东西我想你可
以闪过了吧!(不包括用DRx做文章的噢!)
命令: BSTAT
作用: 显示某个断点的状态
语法: BSTAT [breakpoint-index]
用法:
breakpoint-index :断点的序号,用BL 命令可以看到
用BSTAT 来显示某个断点的状态,各种统计参数.
BP # : 断点的序号.若前面有 "*" ,表示断点被禁止
在Total 栏目中:
Hits : SoftICE每经过一次断点,计数+1
Breaks: 在IF expression子句为真的情况下,SoftICE
就会产生动作,要么弹出,要么记录在内存中,
不管怎样,计数+1
Popups: 在Breaks中SoftICE弹出的次数
Logged: 在Breaks中SICE将情况记录到内存中的次数
Misses: 在IF expression子句为False的情况下,SICE
虽然经过这个断点但没有弹出行动的次数
Errors: 由于IF 子句中内存变量的问题或其他原因产
生的错误的次数.比如跟一个C写的程序,用变
量"IF mysymbol==1"来设断,而在断点处 my-
symbol 这个变量所在的内存由于释放或其他
操作而无法访问,就会产生Error.
在Current 栏目中:
Hits : 当前的在IF子句计算为True的情况下,但由于
BPCOUNT宏所定的次数未到而记录下的累计数
Misses: 当前在IF子句计算为False的情况下, 且(或)
BPCOUNT宏所定的次数未到而记录下的累计数
在杂项(misc)栏目中:
Status: SoftICE内部对最近一次断点进行计算的状态
代码.(错误代码)如果为0 的话,表示没有错.
Scode : SoftICE最近一个内部状态代码,如果为0的话
表示没有Errors.
Cond. : 如果断点带有附加判断(即有IF expression)
,则为Yes,否则为No
Action: 如果断点带有附加的动作(即有DO command),
则为Yes,否则为No
点评: 无