📄 lesson701.htm
字号:
</tr>
<tr>
<td width="46" bgcolor="#CCCCFF" class="p9" height="19">作用:</td>
<td width="704" bgcolor="#E1F1F1" class="p9" height="19"><span class="p9">定义指定地址的新符号名</span></td>
</tr>
<tr>
<td width="46" bgcolor="#CCCCFF" class="p9">用法:</td>
<td width="704" bgcolor="#E1F1F1" class="p9"> </td>
</tr>
<!--之一--> <!--之一--> <!--之一--> <!--之一--> <!--之一--> <!--之一--> <!--之一-->
</table>
<table border="0" cellpadding="1" cellspacing="1" width="100%">
<tr bgcolor="#FFFFFF">
<td colspan="2" class="p9"><img src="tri1.gif" tppabs="http://toye.dihou.org/tri1.gif" width="11" height="8"></td>
</tr>
<!--之一-->
<tr>
<td width="46" bgcolor="#CCCCFF" class="p9">命令:</td>
<td width="704" bgcolor="#E1F1F1" class="p9"><span class="p9"><a name="c_PDLL32">PDLL32</a></span></td>
</tr>
<tr>
<td width="46" bgcolor="#CCCCFF" class="p9" height="19">作用:</td>
<td width="704" bgcolor="#E1F1F1" class="p9" height="19"><span class="p9">运行到32位的
DLL 的入口。</span></td>
</tr>
<tr>
<td width="46" bgcolor="#CCCCFF" class="p9">用法:</td>
<td width="704" bgcolor="#E1F1F1" class="p9"><span class="p9">PDLL32 mydll32.dll</span></td>
</tr>
<!--之一--> <!--之一--> <!--之一--> <!--之一--> <!--之一--> <!--之一--> <!--之一-->
</table>
<table border="0" cellpadding="1" cellspacing="1" width="100%">
<tr bgcolor="#FFFFFF">
<td colspan="2" class="p9"><img src="tri1.gif" tppabs="http://toye.dihou.org/tri1.gif" width="11" height="8"></td>
</tr>
<!--之一-->
<tr>
<td width="46" bgcolor="#CCCCFF" class="p9">命令:</td>
<td width="704" bgcolor="#E1F1F1" class="p9"><span class="p9"><a name="c_PEDUMP">PEDUMP</a></span></td>
</tr>
<tr>
<td width="46" bgcolor="#CCCCFF" class="p9" height="19">作用:</td>
<td width="704" bgcolor="#E1F1F1" class="p9" height="19"><span class="p9">将PE文件的内存映像直接映像到文件'DUMP1.EXE',</span></td>
</tr>
<tr>
<td width="46" bgcolor="#CCCCFF" class="p9">用法:</td>
<td width="704" bgcolor="#E1F1F1" class="p9"><span class="p9">您只要使用 <a
href="#MakePE.exe">MakePE</a> 命令就可以重新整理出一个可用的 PE 可执行文件来。</span></td>
</tr>
<!--之一--> <!--之一--> <!--之一--> <!--之一--> <!--之一--> <!--之一--> <!--之一-->
</table>
<table border="0" cellpadding="1" cellspacing="1" width="100%">
<tr bgcolor="#FFFFFF">
<td colspan="2" class="p9"><img src="tri1.gif" tppabs="http://toye.dihou.org/tri1.gif" width="11" height="8"></td>
</tr>
<!--之一-->
<tr>
<td width="46" bgcolor="#CCCCFF" class="p9">命令:</td>
<td width="704" bgcolor="#E1F1F1" class="p9"><span class="p9"><a name="BP_condition">BP
if condition</a></span></td>
</tr>
<tr>
<td width="46" bgcolor="#CCCCFF" class="p9" height="19">作用:</td>
<td width="704" bgcolor="#E1F1F1" class="p9" height="19"><span class="p9">条件断点,当条件满足时产生中断</span></td>
</tr>
<tr>
<td width="46" bgcolor="#CCCCFF" class="p9">用法:</td>
<td width="704" bgcolor="#E1F1F1" class="p9"><span class="p9">例: bp if (eax>=3456787)</span><br>
<span class="p9">bp if (dx<543)</span><br>
<span class="p9">bp if (ch==23)</span><br>
<span class="p9">go if (ah!=34)</span> </td>
</tr>
<!--之一--> <!--之一--> <!--之一--> <!--之一--> <!--之一--> <!--之一--> <!--之一-->
</table>
<table border="0" cellpadding="1" cellspacing="1" width="100%">
<tr bgcolor="#FFFFFF">
<td colspan="2" class="p9"><img src="tri1.gif" tppabs="http://toye.dihou.org/tri1.gif" width="11" height="8"></td>
</tr>
<!--之一-->
<tr>
<td width="46" bgcolor="#CCCCFF" class="p9">命令:</td>
<td width="704" bgcolor="#E1F1F1" class="p9"><span class="p9"><a name="P">P</a>
单步跟踪指令</span></td>
</tr>
<tr>
<td width="46" bgcolor="#CCCCFF" class="p9" height="19">作用:</td>
<td width="704" bgcolor="#E1F1F1" class="p9" height="19"><span class="p9">
P 命令将单步执行程序。在汇编模式中,当遇到 CALL,INT,LOOP,REP指令时,P将不跟踪进去,直到这些指令执行完毕,控制才返回TRW2000。换句话说,P命令是"跨"过这些指令的。
<br>
P 后加RET 参数,SoftICE将一直单步执行直到它找到一条返回语句(RET,RETF)。在源程序模式中,P 命令将执行一个源程序表达式,但也不跟踪到子例程中去。<br>
P 命令实际上是利用了单步标志。 大多数情况下是如此.但碰到CALL,INT,LOOP,REP指令时,就用INT 3(一次性)在这些指令的后面设一下。
</span></td>
</tr>
<tr>
<td width="46" bgcolor="#CCCCFF" class="p9">用法:</td>
<td width="704" bgcolor="#E1F1F1" class="p9"><span class="p9"> P 命令对应的有快捷键
F10</span></td>
</tr>
<!--之一--> <!--之一--> <!--之一--> <!--之一--> <!--之一--> <!--之一--> <!--之一-->
</table>
<table border="0" cellpadding="1" cellspacing="1" width="100%">
<tr bgcolor="#FFFFFF">
<td colspan="2" class="p9"><img src="tri1.gif" tppabs="http://toye.dihou.org/tri1.gif" width="11" height="8"></td>
</tr>
<!--之一-->
<tr>
<td width="46" bgcolor="#CCCCFF" class="p9">命令:</td>
<td width="704" bgcolor="#E1F1F1" class="p9"><span class="p9"><a name="c_PNEWSEC">PNEWSEC</a></span></td>
</tr>
<tr>
<td width="46" bgcolor="#CCCCFF" class="p9" height="19">作用:</td>
<td width="704" bgcolor="#E1F1F1" class="p9" height="19"><span class="p9">运行直到进入一个
PE 程序内存的新的 section (这个词不知如何描述:D)时产生断点</span></td>
</tr>
<tr>
<td width="46" bgcolor="#CCCCFF" class="p9">用法:</td>
<td width="704" bgcolor="#E1F1F1" class="p9"> </td>
</tr>
<!--之一--> <!--之一--> <!--之一--> <!--之一--> <!--之一--> <!--之一--> <!--之一-->
</table>
<table border="0" cellpadding="1" cellspacing="1" width="100%">
<tr bgcolor="#FFFFFF">
<td colspan="2" class="p9"><img src="tri1.gif" tppabs="http://toye.dihou.org/tri1.gif" width="11" height="8"></td>
</tr>
<!--之一-->
<tr>
<td width="46" bgcolor="#CCCCFF" class="p9">命令:</td>
<td width="704" bgcolor="#E1F1F1" class="p9"><span class="p9"><a name="c_PMODULE">PMODULE</a></span></td>
</tr>
<tr>
<td width="46" bgcolor="#CCCCFF" class="p9" height="19">作用:</td>
<td width="704" bgcolor="#E1F1F1" class="p9" height="19"><span class="p9">'pret'(相当于按<F12>)
直至CS:EIP位于模块中。</span></td>
</tr>
<tr>
<td width="46" bgcolor="#CCCCFF" class="p9">用法:</td>
<td width="704" bgcolor="#E1F1F1" class="p9"> </td>
</tr>
<!--之一--> <!--之一--> <!--之一--> <!--之一--> <!--之一--> <!--之一--> <!--之一-->
</table>
<table border="0" cellpadding="1" cellspacing="1" width="100%">
<tr bgcolor="#FFFFFF">
<td colspan="2" class="p9"><img src="tri1.gif" tppabs="http://toye.dihou.org/tri1.gif" width="11" height="8"></td>
</tr>
<!--之一-->
<tr>
<td width="46" bgcolor="#CCCCFF" class="p9">命令:</td>
<td width="704" bgcolor="#E1F1F1" class="p9"><span class="p9"><a name="c_PRET">PRET</a></span></td>
</tr>
<tr>
<td width="46" bgcolor="#CCCCFF" class="p9" height="19">作用:</td>
<td width="704" bgcolor="#E1F1F1" class="p9" height="19"><span class="p9">运行到遇到
RET,RETF,IRET指令时停下。</span></td>
</tr>
<tr>
<td width="46" bgcolor="#CCCCFF" class="p9">用法:</td>
<td width="704" bgcolor="#E1F1F1" class="p9"><span class="p9">快捷键: F12</span></td>
</tr>
<!--之一--> <!--之一--> <!--之一--> <!--之一--> <!--之一--> <!--之一--> <!--之一-->
</table>
<table border="0" cellpadding="1" cellspacing="1" width="100%">
<tr bgcolor="#FFFFFF">
<td colspan="2" class="p9"><img src="tri1.gif" tppabs="http://toye.dihou.org/tri1.gif" width="11" height="8"></td>
</tr>
<!--之一-->
<tr>
<td width="46" bgcolor="#CCCCFF" class="p9">命令:</td>
<td width="704" bgcolor="#E1F1F1" class="p9"><a name="proc"></a>PROC</td>
</tr>
<tr>
<td width="46" bgcolor="#CCCCFF" class="p9" height="19">作用:</td>
<td width="704" bgcolor="#E1F1F1" class="p9" height="19">显示进程列表</td>
</tr>
<tr>
<td width="46" bgcolor="#CCCCFF" class="p9">用法:</td>
<td width="704" bgcolor="#E1F1F1" class="p9">
<p>output:</p>
<pre>
:proc
Process pProcess ID Threads Context
-------- -------- -------- ------- --------
Trw2k 81641D9C FFFB0415 1 C8070F70
Iexplore 81638644 FFFC9FCD 4 C80EA130
WINOLDAP 81636FE0 FFFC7669 1 C17D9E80
Spool32 8162C990 FFFDD019 2 C80711A0
KERNEL32 81702204 FFEF3B8D 8 C151CEA0
Mdm 8161B708 FFFEAE81 2 C17E4DC0
Osa 81615458 FFFE4DD1 1 C17DC0D0
RUNDLL 816239D8 FFFD2051 1 C807C010
Internat 8161A9A4 FFFEB02D 1 C17D5140
Systray 81616B5C FFFE72D5 1 C17C1E10
Taskmon 81616080 FFFE7909 1 C17B9790
Explorer 8160E6A0 FFFFFF29 4 C153FCC0
Mstask 8160D390 FFFFCA19 2 C152C9E0
Mprexe 8160720C FFFF6B85 1 C15274F0
MSGSRV32 8160603C FFFF79B5 1 C1442F90</pre>
</td>
</tr>
<!--之一--> <!--之一--> <!--之一--> <!--之一--> <!--之一--> <!--之一--> <!--之一-->
</table>
<table border="0" cellpadding="1" cellspacing="1" width="100%">
<tr bgcolor="#FFFFFF">
<td colspan="2" class="p9"><img src="tri1.gif" tppabs="http://toye.dihou.org/tri1.gif" width="11" height="8"></td>
</tr>
<!--之一-->
<tr>
<td width="46" bgcolor="#CCCCFF" class="p9">命令:</td>
<td width="704" bgcolor="#E1F1F1" class="p9"><span class="p9"><a name="R">R</a>
[-d | register-name | register-name [=] value] </span></td>
</tr>
<tr>
<td width="46" bgcolor="#CCCCFF" class="p9" height="19">作用:</td>
<td width="704" bgcolor="#E1F1F1" class="p9" height="19"><span class="p9">显示或更改寄存器的内容。</span></td>
</tr>
<tr>
<td width="46" bgcolor="#CCCCFF" class="p9">用法:</td>
<td width="704" bgcolor="#E1F1F1" class="p9"><span class="p9">如果 R 命令不加参数,光标将移到寄存器窗口中,进行实时修改。如果当前寄存器窗口不可见,
那么这个命令将自动显示它。<br>
另外,修改FL寄存器时,参数不必按照顺序,如: R fl=o+a-c 可以一次修改3个标志位。 </span></td>
</tr>
<!--之一--> <!--之一--> <!--之一--> <!--之一--> <!--之一--> <!--之一--> <!--之一-->
</table>
<table border="0" cellpadding="1" cellspacing="1" width="100%">
<tr bgcolor="#FFFFFF">
<td colspan="2" class="p9"><img src="tri1.gif" tppabs="http://toye.dihou.org/tri1.gif" width="11" height="8"></td>
</tr>
<!--之一-->
<tr>
<td width="46" bgcolor="#CCCCFF" class="p9">命令:</td>
<td width="704" bgcolor="#E1F1F1" class="p9"><span class="p9"><a name="c_RS">RS</a></span></td>
</tr>
<tr>
<td width="46" bgcolor="#CCCCFF" class="p9" height="19">作用:</td>
<td width="704" bgcolor="#E1F1F1" class="p9" height="19"><span class="p9">显示用户屏幕。
(快捷键为<F4>).</span></td>
</tr>
<tr>
<td width="46" bgcolor="#CCCCFF" class="p9">用法:</td>
<td width="704" bgcolor="#E1F1F1" class="p9"> </td>
</tr>
<!--之一--> <!--之一--> <!--之一--> <!--之一--> <!--之一--> <!--之一--> <!--之一-->
</table>
<table border="0" cellpadding="1" cellspacing="1" width="100%">
<tr bgcolor="#FFFFFF">
<td colspan="2" class="p9"><img src="tri1.gif" tppabs="http://toye.dihou.org/tri1.gif" width="11" height="8"></td>
</tr>
<!--之一-->
<tr>
<td width="46" bgcolor="#CCCCFF" class="p9">命令:</td>
<td width="704" bgcolor="#E1F1F1" class="p9"><span class="p9"><a name="c_S">S</a></span></td>
</tr>
<tr>
<td width="46" bgcolor="#CCCCFF" class="p9" height="19">作用:</td>
<td width="704" bgcolor="#E1F1F1" class="p9" height="19"><span class="p9">在内存中搜索指定内容</span></td>
</tr>
<tr>
<td width="46" bgcolor="#CCCCFF" class="p9">用法:</td>
<td width="704" bgcolor="#E1F1F1" class="p9"><span class="p9">例: S 0 L -1
'window'</span><br>
<span class="p9"> S 100,200 'bug12',34</span> </td>
</tr>
<!--之一--> <!--之一--> <!--之一--> <!--之一--> <!--之一--> <!--之一--> <!--之一-->
</table>
<table border="0" cellpadding="1" cellspacing="1" width="100%">
<tr bgco⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -