📄 chap8-5-3.htm.primary
字号:
<html>
<head>
<title>Crack Tutorial</title>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<link rel="stylesheet" href="style/css.css" type="text/css">
<link rel="stylesheet" href="../STYLE/Css.css" type="text/css">
</head>
<body bgcolor="white" text="#000000" link="#004080" vlink="#004080" background="../image/Back.gif">
<p><a href="../catalog.htm">目录</a>>>第8章</p>
<p align="center" class="shadow1Copy"><b class="p3">第8章 压缩与脱壳</b></p>
<table width="80%" border="0" cellspacing="0" cellpadding="3" align="center" bgcolor="#bcbcbc" bordercolor="#111111" class="shadow1">
<tr>
<td class="shadow1" width="20%">
<div align="center"><a href="Chap8-1.htm"><font color="#FFFFFF">第一节 PE文件格式</font></a></div>
</td>
<td class="shadow1" width="20%">
<div align="center"><a href="Chap8-2.htm"><font color="#FFFFFF">第二节 认识脱壳</font></a></div>
</td>
<td class="shadow1" width="20%">
<div align="center"><a href="Chap8-3-1.htm"><font color="#FFFFFF">第三节 自动脱壳</font></a></div>
</td>
<td class="shadow1" width="20%">
<div align="center"><a href="Chap8-4.htm"><font color="#FFFFFF">第四节 手动脱壳</font></a></div>
</td>
<td class="shadow1" width="20%">
<div align="center"><a href="Chap8-5.htm"><font color="#FFFFFF">第五节 脱壳高级篇</font></a></div>
</td>
</tr>
</table>
<p align="center"><span class="p9"><b>第五节 脱壳高级篇</b></span></p>
<table border="1" width="80%" cellpadding="5" bordercolor="#111111" bgcolor="#efefef" align="center" cellspacing="0">
<tr>
<td width="33%" valign="middle" align="center" class="p9" height="23">
<div align="left"><span class="p9"><span class="p9"> <span class="p9">1、<a href="Chap8-5-1.htm">认识Import表</a></span></span></span></div>
</td>
<td valign="middle" align="center" class="p9" height="23" width="34%">
<div align="left"><span class="p9"><span class="p9"><span class="p9"> </span>2、<a href="Chap8-5-2.htm">Import表的重建</a></span></span></div>
</td>
<td valign="middle" align="center" class="p9" height="23" width="33%">
<div align="left"><span class="p9"><span class="p9"> 3、<a href="Chap8-5-3.htm">IceDump和NticeDump使用</a></span></span></div>
</td>
</tr>
<tr>
<td width="33%" valign="middle" align="center" class="p9" height="23">
<div align="left"><span class="p9"><span class="p9"> <span class="p9"></span></span></span>4、<a href="Chap8-5-4.htm">Import
REConstructor使用</a></div>
</td>
<td valign="middle" align="center" class="p9" height="23" width="34%">
<div align="left"><span class="p9"><span class="p9"><span class="p9"> </span>5、<a href="Chap8-5-5.htm">ASProtect保护</a></span></span></div>
</td>
<td valign="middle" align="center" class="p9" height="23" width="33%">
<div align="left"><span class="p9"> </span></div>
</td>
</tr>
</table>
<p align="center"><b>3、<span class="p9"><span class="p9">IceDump和NticeDump使用</span></span></b></p>
<p> <span class="p9"> </span>IceDump和NticeDump是一款配合SoftICE扩展其内存操作的工具,IceDump支持Windows
9x、Windows Millennium系统,NticeDump支持Windows NT/2000。它们的出现,使SoftICE如虎添翼,TRW2000的许多特色功能在SoftICE里也可实现了。</p>
<p>1.Icedump操作简介<br>
<span class="p9"> </span>运行IceDump前,首先要确定SoftICE版本号,按Ctrl+D切换到SoftICE下命令:VER,查看版本号。然后在相应SoftICE版本号目录下运行icedump.exe文件,它会调用自身的VXD文件,装载成功出现图7.16所示画面。如果发现SoftICE没运行或版本不符,就拒绝运行。
如果想从内存中卸载它,可以在DOS下键入"icedump u"。</p>
<p>1)/DUMP <起始地址> [<长度> <文件名>]<br>
<span class="p9"> </span>抓取内存中的数据到文件里,类似TRW2000中的W命令。<文件名>参数可以指定盘符和路径,当在Ring-0下还原时最好清除还原区域内的全部断点,否则会给SoftICE带来不必要麻烦。(这一点在所有的IceDump命令里都应该值得注意)<br>
在Win32系统下读者可能会想到用/BHRAMA或/PEDUMP从内存内中重建一个可用的PE镜像。请看下面关于/OPTION命令的说明。<br>
<br>
<font color="#FF3366"><i> 注意: IceDump 6.015以前类似的命令是PAGEIN D <address>
[<length> <filename>]</i></font></p>
<p>2)/LOAD <地址> <长度> <文件名><br>
<span class="p9"> </span>把<文件>指定长度的字节内容调入到内存中的<地址>处。与/DUMP的作用相反,同样需要注意的是不要设置断点。</p>
<p>3)/BHRAMA <Bhrama dumper server 窗口名><br>
<span class="p9"> </span>用Procdump的Bhrama(由G-Rom出品的著名脱壳工具)来初始化dumping。用户必须提供窗口的名称,可以从标题条找到它。为了使工作简单化,可以在winice.dat里设置F3键:<br>
F3="/BHRAMA ProcDump32 - Dumper Server;"</p>
<p>4) /TRACEX <low EIP> [<high EIP>]<br>
<span class="p9"> </span>控制跟踪器并退出SoftICE。注意该命令只能用于跟踪当前线程,如果要跟踪其它线程,请使用/TRACE命令。<br>
</p>
<p><span class="p9"> </span>/TRACEX <low EIP>: 跟踪当前线程。注意,如果跟踪当前线程弹出SoftICE窗口后想继续跟踪,必须使用/TRACEX命令,否则跟踪器会失去对当前线程的控制。<br>
<span class="p9"> </span> 当线程的EIP到达<low EIP>时,跟踪停止并弹出SoftICE窗口。这也要求EIP真正可以到达,否则SoftICE不会弹出。<br>
</p>
<p><span class="p9"> </span>/TRACEX <low EIP> <high EIP> 跟踪当前线程,注意事项同上。<br>
<span class="p9"> </span>当线程的EIP到达<low EIP>与<high EIP>之间的区域内时停止并弹出SoftICE窗口。注意这里没有作<low
EIP>和<high EIP>的边界检查,所以错误的参数地址会使SoftICE不能中断。</p>
<p>5) /SCREENDUMP [<文件名>]<br>
<span class="p9"> </span>把SoftICE屏幕内容保存到一个文件中。注意该功能只支持通用显示驱动模式。这个命令的用法类似于/DUMP,如果没有指定<文件名>,IceDump将在模式0、1、2、3和4中切换。<br>
<span class="p9"> </span>模式1:默认模式,将以ASCII格式输出。<br>
<span class="p9"> </span>模式0:字节属性也将被抓取。<br>
<span class="p9"> </span>模式2:可以把屏幕内容保存成一个HTML文件。<br>
<span class="p9"> </span>模式3:会把屏幕内容保存成LaTeX格式的文件。<br>
<span class="p9"> </span>模式4 :把屏幕内容保存为EPS (encapsulated Postscript)格式。</p>
<p>2.NticeDump操作简介<br>
<span class="p9"> </span>Nticedump远不如IceDump功能强大,并且Nticedump装载方式不同于IceDump,它是通过给SoftICE打补丁来实现0特权级控制权的,这是因为在Windows
2000上,要切换到0特权级不象Windows9x那么容易了。<br>
<span class="p9"> </span>要打补丁的文件是\WINNT\SYSTEM32\DRIVERS\Ntice.sys,在Nticedump目录里有一补丁工具ntid.exe,把安装目录下相应SoftICE版本的Icedump文件与ntid.exe一同复制到\WINNT\SYSTEM32\DRIVERS\目录下,然后运行ntid.exe程序就能正确补丁Ntice.sys。这样Nticedump和SoftICE就完全结合了。</p>
<p>1) 抓取内存数据:PAGEIN D 基地址 长度 文件名<br>
例: PAGEIN D 400000 512 \??\C:\memory.dmp<br>
</p>
<p><font color="#FF3366">注意: 在NT输入输出管理系统中,象"C:\memory.dmp"不是合法路径。"\??\C:\filename.dmp"是在C盘根目录下创建"filename.dmp"文件。</font></p>
<p> 2) 抓取进程: PAGEIN B <Bhrama窗口名><br>
例: PAGEIN B ProcDump32 - Dumper Server</p>
<p>3) 导入文件: PAGEIN L 基地址 长度 文件名<br>
Example: PAGEIN L 400000 512 \??\C:\memory.dmp<br>
</p>
<p>4) 帮助: PAGEIN 例: PAGEIN </p>
<p align="center"><a href="../Catalog.htm"><img src="../image/navtoc.gif" width="84" height="23" border="0"></a><a href="Chap8-5-2.htm"><img src="../image/Navprev.gif" width="80" height="23" border="0"></a><a href="Chap8-5-4.htm"><img src="../image/navnext.gif" width="83" height="23" border="0"></a></p>
<hr width=735>
<div align="center"><span class="p9"><font size="2"><span class="p9"><font size="2"><span class="p9">Copyright
© 2000-2001 <a href="http://www.pediy.com/">KanXue Studio</a> All Rights
Reserved.</span></font></span></font></span></div>
</body>
</html>
⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -