SoftICE for WIN95中文命令解說(十三) Copyright (c) 1999 http://coobe.cs.hn.cninfo.net/~tianwei 命令: TABS 作用: 顯示或修改在顯示源文件時(shí)TAB鍵的寬度 語法: TABS [tab-setting] 用法: tab-setting : 從1到8,表示TAB鍵的跨度用TABs命令或SET TABS都可設(shè)置TAB鍵的跨度(列), 默認(rèn)值是8. TAB 命令不加參數(shù)將顯示當(dāng)前的TAB鍵設(shè)置. 點(diǎn)評(píng): 不過我用的3.20默認(rèn)是4 命令: TASK 作用: 顯示W(wǎng)indows任務(wù)列表 語法: TASK 用法: TASK 命令將顯示當(dāng)前機(jī)器中運(yùn)行的所有任務(wù). 當(dāng)前的任務(wù)前面會(huì)有一個(gè) * 號(hào).這個(gè)命令在WINDOWS出現(xiàn)所謂的general protection fault 時(shí)可以幫助你確定是由哪個(gè)任務(wù)引起的.輸出:Task Name :任務(wù)名SS:SP :該任務(wù)最后交出控制時(shí)的堆棧地址.StackTop :堆棧偏移的頂StackBot :堆棧偏移的底StackLow :當(dāng)產(chǎn)生地址切換時(shí)最低的SP值TaskDB :任務(wù)數(shù)據(jù)基址的選擇符hQueue :任務(wù)的隊(duì)列句柄.Events :隊(duì)列中事件 點(diǎn)評(píng): 無. 命令: THREAD 作用: 顯示線程信息 語法: THREAD [TCB | ID | task-name] 用法: TCB :線程控制塊ID :線程IDtask-name :當(dāng)前運(yùn)行的32位過程.THREAD 命令將顯示某個(gè)線程的信息.如果不帶任何參數(shù),將顯示當(dāng)前系統(tǒng)中所有活動(dòng)的線程如果將某個(gè)進(jìn)程名作為參數(shù),將顯示所有該進(jìn)程的線程如果指定TCB或ID,則只顯示指定的線程.Ring0TCB :Ring-0線程控制塊的地址.ID :VMM線程IDContext :該線程所屬進(jìn)程的context句柄Ring3TCB :Ring-3線程控制塊的地址ThreadID :Ring-3線程IDProcess :擁有該進(jìn)程的KERNEL32進(jìn)程數(shù)據(jù)庫的地址TaskDB :任務(wù)數(shù)據(jù)的選擇符PDB :程序數(shù)據(jù)的選擇符(PSP)SZ :線程的大小(16,32)Owner :進(jìn)程的所有者. 點(diǎn)評(píng): 無. 命令: TRACE 作用: 進(jìn)入或退出摹擬跟蹤模式 語法: TRACE [b | off | start] 用法: start :16進(jìn)制的值.用來表示回溯跟蹤歷史緩沖區(qū)中 指令的序號(hào).1 表示最新的一條指令.TRACE 命令不帶參數(shù)將顯示當(dāng)前摹擬跟蹤的狀態(tài).TRACE OFF 將退出當(dāng)前的摹擬跟蹤模式,回到正常的跟蹤模式下.TRACE B 從最老的一條指令開始摹擬跟蹤. TRACE 加數(shù)字將從指定的序號(hào)開始摹擬跟蹤.只有當(dāng)回溯跟蹤歷史緩沖區(qū)不為空時(shí)才能用TRACE命令參見BPR命令的說明.回溯(摹擬)跟蹤中可以用XT,XP,XG來跟蹤程序,寄存器窗口中除了EIP改變外,其他的都不變,因?yàn)镾oftICE 在回溯跟蹤中不記錄所有寄存器的值.SoftICE 的命令除了 X,T,G,P,HERE,XRSET不能在回溯跟蹤模式下用外其他都可以使用. 點(diǎn)評(píng): 無. 命令: TSS 作用: 顯示任務(wù)狀態(tài)段和I/O端口的掛接 語法: TSS [TSS-selector] 用法: TSS-selector :任何代表是個(gè)TSS的GDT選擇符TSS命令通過讀取TR命令來獲得地址, 從而顯示任務(wù)狀態(tài)段的內(nèi)容.用GDT命令可以看到TSS選擇符.如果TSS命令不加參數(shù),將顯示當(dāng)前的TSS.輸出:TSS selector value :TSS選擇符selector base :TSS的線性地址selector limit :TSS的大小下面四行顯示TSS中寄存器的內(nèi)容:LDT, GS, FS, DS, SS, CS, ES, CR3EAX, EBX, ECX, EDX, EIPESI, EDI, EBP, ESP, EFLAGSLevel 0, 1 and 2 stack SS:ESP下面將顯示被VxD掛接的I/O端口port number :16位的端口號(hào)handler address :32位的I/O句柄地址handler name :句柄的符號(hào)名. 點(diǎn)評(píng): 無. 命令: TYPES 作用: 列出當(dāng)前內(nèi)存區(qū)域(context)中的類型名 語法: TYPES [type-name] 用法: type-name : 顯示指定的類型名TYPES 命令不加參數(shù)將顯示當(dāng)前所有的類型名.如果加參數(shù)將只顯示所指定的類型.如果參數(shù)是個(gè)結(jié)構(gòu),TYPES將自動(dòng)展開結(jié)構(gòu),并顯示其成員. 點(diǎn)評(píng): 無 命令: U 作用: 反匯編指令 語法: U [address [l length]] | [symbol-name] 用法: address : 段:偏移量或選擇符:偏移量symbol-name : 將從指定的函數(shù)開始反匯編length : 反匯編的長(zhǎng)度(字節(jié))U 命令將從指定地址開始反匯編指定長(zhǎng)度的指令.如果代碼窗口可見,則顯示結(jié)果將在代碼窗口中, 否則在命令窗口中. U 命令跟symbol-name(符號(hào)名)如果當(dāng)前符號(hào)表裝載的話,U 命令可以從指定的符號(hào)地址開始反匯編. 點(diǎn)評(píng): 可用U在命令窗口中反匯編,再用LOADER32存盤 命令: VCALL 作用: 顯示VxD可調(diào)用例程的名字和地址 語法: VCALL [partial-name] 用法: partial-name:符號(hào)表的名字或開頭的幾個(gè)字符.VCALL 命令將顯示W(wǎng)indows VxD API例程的名字和地址.這些例程是Windows本身的VxD提供的并為為其他VxD準(zhǔn)備的.所顯示的地址只有當(dāng)VMM VxD初始化過后才有效,如果SoftICE的初始化字符串中沒有一個(gè) X;SoftICE將在Windows啟動(dòng)但VMM沒有初始化時(shí)彈出. 點(diǎn)評(píng): 無.

最新評(píng)論