BYR Achieve · 镜像论坛

关于sice的问题大家就在此楼讨论吧！下面是我安装配置sice时的心得。 ----------------- 1.softeice的安装 ----------------- 1.1 版本的选择 softice(以下简称sice)是Compuware NuMega公司的产品,现在网上一般有3种版本的sice: 一种是过去单独发行的，像Softice4.05 for NT&2000 一种是作为Compuware NuMega公司的DriverStudio组件一起发行的一种是破解爱好者从DriverStudio组件中提取出来的单独发行的第一种版本的太老了，Compuware单独发行的最高版本好像就是4.05,要是你在win9x下安装sice就无所谓啦, 在nt以上系统建议不要安装这个版本. 第二种是强烈推荐安装的，Compuware公司一直在更新DriverStudio组件，相应的sice也一直被更新。目前 (05.7.23)最高正式版本的DriverStudio是3.2,而网上最容易找到的有2.7,3.0beta2,3.2版本，其中2.7和 3.0beta2版本在2ksrvsp4上运行有问题,安装完毕再重启一般都会出现蓝屏，揪其原因是.... 所以最后只剩下3.2版本，也是我唯一在2ksrvsp4上安装成功的一个版本，不过，这个版本在VMware4.5.2和 5.0.0.0上做出来的2ksrvsp4系统上运行也有点问题，我在这两个版本的VMware中2ksrvsp4系统上把显卡驱好后，安装3.2版本，配置，重启,启动sice都没问题，但ctrl+D呼出sice时，屏幕没有任何反映，但把VmwareW全屏一下或是从全屏中退出一下，这时却能看到sice的窗口，不过看不到光标的闪动，敲击键盘屏幕也没有任何反映，归根到底，还是sice对显卡的驱动有点....反过来说就是VMware带的显卡驱动对sice的支持不够好。如果你是在一台真实的PC上装上DS3.2 ctrl+D也呼不出sice,或者出现黑屏或花屏，请给你pc的显卡安装最新的驱动,如果安装完最新的驱动，重启，还是呼不出，建议在98下sice吧，或者放弃sice选择其他的内核调试工具.不过这种方式的安装会占用100多M的空间. 第三种方法出来的版本虽然大小上很小，但五花八门，版本的命名也很随意，且搞不好还是带毒的，稳定性无法保证，所以，建议使用第2种安装方法。最好，安装完成以后，在虚拟机的*.vmx配置文件中最后加入两行: vmmouse.present = "FALSE" svga.maxFullscreenRefreshTick = "5" 关掉vmware,重新打开vmware,启动系统 1.2 基本的配置 [Initialization string] set font 3;set Maximize on;wd 5;wc 15;data3;dex 3 ss:esp;dd;color 0a 0b 71 30 02;X; 呼出sice:ctrl+D 退出sice:X命令或F5键或ctrl+D 1.3 常用命令 ********* 运行指令 ********** F10 跟出 F8 跟入 F5 运行 F12 运行直到ret ************* 内存指令 ************* d 地址查看内存 d 地址 -l 长度查看指定地址处指定长度的内存 dd -p 地址查看指定地址处的物理内存查看物理内存 peek [B,W,D] phys_address 查看指定物理地址的内存的内容 poke [B,W,D] phys_address value 修改指定物理地址的内存的内容 phsy 物理地址当前进程中，指定的物理地址被哪些虚拟地址所映射 ************ 寄存器指令 ************ r 查看或修改register (r fl z 反转标志寄存器中z的值) ************ 汇编相关指令 ************ a 当前指令处汇编 (a nop或a 9090) u 401000 1000 显示指定地址处的汇编代码 *********** 下断 *********** bl 显示当前设定的所有断点 bc 清除断点 bd 禁止断点 be 恢复断点 F9 当前指令处设断 bpx 函数名,如:bpx MessageBoxA bpx dllname!fucname 断在指定dll的函数,要先用symbolLoader import这个dll bpint 3 让sice截获3号中断 bpm (bpmb,bpmw,bpmd) (R|W|RW|X)内存中断,如bpmd address RW，当读或写这个地址时,中断 ********** 进程命令 ********* proc 列出当前所有的进程 -x process_name 列出指定进程的详细信息 hwnd 进程名或pid 显示窗口句柄 addr 查看当前代码位于哪个进程中 addr 进程名切换到该进程的地址空间 map32 -u 列出进程加载的所有用户模块 map32 -s 列出进程加载的所有内核模块 map32 ntdll 列出进程加载的ntdll的信息 map32 77f80000 计算77f80000这个地址属于哪个模块 map32 eip 得知当前指令在哪个模块中 ************* 窗口设置指令 ************** wc n 打开或关闭代码窗口,或改变代码窗口的大小 wd n 数据窗口 wr 寄存器窗口 wx 窗口滚屏 Alt+ 数据窗口 cltr+ 代码窗口 shift+ 命令窗口 ************* 其他信息显示 ************* exp 显示指定dll的导出函数 (exp kernel32!* ;显示kernel32.dll的所有导出函数) phys phys_address 查看映射到指定物理地址的所有线性地址抓取汇编指令和内存数据: 最好先cls u 40100000 L 10 或d c03000000 L 1000(L一定不能少) 然后ctrl+d,打开symbole loader,保存softice history

[原创]关于softice的安装配置及常用命令