SoftICE for WIN95中文命令解说(十三)

SoftICE for WIN95中文命令解说(十三) Copyright (c) 1999 http://coobe.cs.hn.cninfo.net/~tianwei 命令: TABS 作用: 显示或修改在显示源文件时TAB键的宽度 语法: TABS [tab-setting] 用法: tab-setting : 从1到8,表示TAB键的跨度用TABs命令或SET TABS都可设置TAB键的跨度(列), 默认值是8. TAB 命令不加参数将显示当前的TAB键设置. 点评: 不过我用的3.20默认是4 命令: TASK 作用: 显示Windows任务列表 语法: TASK 用法: TASK 命令将显示当前机器中运行的所有任务. 当前的任务前面会有一个 * 号.这个命令在WINDOWS出现所谓的general protection fault 时可以帮助你确定是由哪个任务引起的.输出:Task Name :任务名SS:SP :该任务最后交出控制时的堆栈地址.StackTop :堆栈偏移的顶StackBot :堆栈偏移的底StackLow :当产生地址切换时最低的SP值TaskDB :任务数据基址的选择符hQueue :任务的队列句柄.Events :队列中事件 点评: 无. 命令: THREAD 作用: 显示线程信息 语法: THREAD [TCB | ID | task-name] 用法: TCB :线程控制块ID :线程IDtask-name :当前运行的32位过程.THREAD 命令将显示某个线程的信息.如果不带任何参数,将显示当前系统中所有活动的线程如果将某个进程名作为参数,将显示所有该进程的线程如果指定TCB或ID,则只显示指定的线程.Ring0TCB :Ring-0线程控制块的地址.ID :VMM线程IDContext :该线程所属进程的context句柄Ring3TCB :Ring-3线程控制块的地址ThreadID :Ring-3线程IDProcess :拥有该进程的KERNEL32进程数据库的地址TaskDB :任务数据的选择符PDB :程序数据的选择符(PSP)SZ :线程的大小(16,32)Owner :进程的所有者. 点评: 无. 命令: TRACE 作用: 进入或退出摹拟跟踪模式 语法: TRACE [b | off | start] 用法: start :16进制的值.用来表示回溯跟踪历史缓冲区中 指令的序号.1 表示最新的一条指令.TRACE 命令不带参数将显示当前摹拟跟踪的状态.TRACE OFF 将退出当前的摹拟跟踪模式,回到正常的跟踪模式下.TRACE B 从最老的一条指令开始摹拟跟踪. TRACE 加数字将从指定的序号开始摹拟跟踪.只有当回溯跟踪历史缓冲区不为空时才能用TRACE命令参见BPR命令的说明.回溯(摹拟)跟踪中可以用XT,XP,XG来跟踪程序,寄存器窗口中除了EIP改变外,其他的都不变,因为SoftICE 在回溯跟踪中不记录所有寄存器的值.SoftICE 的命令除了 X,T,G,P,HERE,XRSET不能在回溯跟踪模式下用外其他都可以使用. 点评: 无. 命令: TSS 作用: 显示任务状态段和I/O端口的挂接 语法: TSS [TSS-selector] 用法: TSS-selector :任何代表是个TSS的GDT选择符TSS命令通过读取TR命令来获得地址, 从而显示任务状态段的内容.用GDT命令可以看到TSS选择符.如果TSS命令不加参数,将显示当前的TSS.输出:TSS selector value :TSS选择符selector base :TSS的线性地址selector limit :TSS的大小下面四行显示TSS中寄存器的内容:LDT, GS, FS, DS, SS, CS, ES, CR3EAX, EBX, ECX, EDX, EIPESI, EDI, EBP, ESP, EFLAGSLevel 0, 1 and 2 stack SS:ESP下面将显示被VxD挂接的I/O端口port number :16位的端口号handler address :32位的I/O句柄地址handler name :句柄的符号名. 点评: 无. 命令: TYPES 作用: 列出当前内存区域(context)中的类型名 语法: TYPES [type-name] 用法: type-name : 显示指定的类型名TYPES 命令不加参数将显示当前所有的类型名.如果加参数将只显示所指定的类型.如果参数是个结构,TYPES将自动展开结构,并显示其成员. 点评: 无 命令: U 作用: 反汇编指令 语法: U [address [l length]] | [symbol-name] 用法: address : 段:偏移量或选择符:偏移量symbol-name : 将从指定的函数开始反汇编length : 反汇编的长度(字节)U 命令将从指定地址开始反汇编指定长度的指令.如果代码窗口可见,则显示结果将在代码窗口中, 否则在命令窗口中. U 命令跟symbol-name(符号名)如果当前符号表装载的话,U 命令可以从指定的符号地址开始反汇编. 点评: 可用U在命令窗口中反汇编,再用LOADER32存盘 命令: VCALL 作用: 显示VxD可调用例程的名字和地址 语法: VCALL [partial-name] 用法: partial-name:符号表的名字或开头的几个字符.VCALL 命令将显示Windows VxD API例程的名字和地址.这些例程是Windows本身的VxD提供的并为为其他VxD准备的.所显示的地址只有当VMM VxD初始化过后才有效,如果SoftICE的初始化字符串中没有一个 X;SoftICE将在Windows启动但VMM没有初始化时弹出. 点评: 无.