intrspy.txt

系统中断剖析器INTRSPY的及其C源程序

(个人开发软件系列之动态系统剖析器 Intrspy                研制人:龙云亮)

                     INTRSPY 3.0 动态系统剖析分析器

一  性能分析
    INTRSPY 本质上是一个由Ｃ语言和汇编语言写成的TSR.主要用于分析程序的内部结
构. 它接管中断多达十一个,并接管了DOS的大部分功能.尤其突出的是,它还具有了动态
安装卸出的功能, 使之可以直观方便地观察DOS及BIOS的状态.
    本系统一经装入, 便常驻内存.它可在各种环境下使用.无论是DOS下,还是各种调试
工具下,甚至在极为复杂的环境下,都可正常工作.其分析的对象将系统与程序等同对待,
可对DOS本身进行一系列深入的分析. 对程序来说,不论它是否加密,调用方式如何,一经
调用,即有响应.因为它本质上是操作系统的一个外壳(SHELL).
    有兴趣的读者可参阅<<未公开的DOS核心技术>>一书.
二  使用方法
    INTRSPY的功能全部由菜单完成,并且可以配合DEBUG等软件工作.无论跟踪到何处,
都可按Alt-Shift将INTRSPY"唤出",十分方便.监测的所有中断都可通过主配置菜单动态
地装入或卸出.在命令菜单中,选择项有√表示已安装,无√表示卸出.选择时用↑↓←→
光标键移动至欲选项, 按回车键选中,即可安装或卸出.
    菜单中间四个功能项是DOS(INT 21) 的配置,内容十分丰富.第一项Option用于改变
输出内容的参数. 其默认的输出文件为REPORT,可用任何文本编辑器阅读,也可直接运行
系统提供的READ.COM 来阅读.若关闭Option菜单下的Output File选项,则输出内容直接
显示在屏幕上.在Option菜单下的Active选项为整个系统是否活动的开关,系统给每一个
程序分配了10K的缓冲区, 若一个复杂的程序的分析结果大于10K, 则显示Overflow. 开
Large Buffer选项, 则缓冲区不会溢出.其余选项都是只改变输出的表示方式.最后一项
DOS/BIOS是除INT 21外的其它中断,其中比较重要的是INT 13中断,它在解密中可以起很
大作用.