SoftICE for WIN95中文命令解说(十四)

SoftICE for WIN95中文命令解说(十四)

Copyright (c) 1999 http://coobe.cs.hn.cninfo.net/~tianwei

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

命令: VER

作用: 显示SoftICE版本号。

语法: VER

用法: 除了用这个命令，通过Loader32的ABOUT选项同样可以查看更详细的信息。

命令: VM

作用: 显示虚拟机的信息。

语法: VM [-S] [VM-ID]

用法:

-S: 切换到由VM-ID标识的指定虚拟机。

VM-ID: 指的是虚拟机的序号。这个序号从1开始，并且1固定是赋予Windows系统VM的，我们平时运行的那些Windows应用程序就在这个VM上。

如果VM命令不加任何参数，那么SoftICE会非常“大方”地列出系统中所有虚拟机的信息。如果后面跟了VM-ID参数，那么就会显示该特定VM的寄存器值。不过需要明确一点：这里显示的寄存器值，来源于VM控制块中的用户区。所以，它们代表的可不是当前瞬间的值，而是最后当内存地址发生切换时被存入控制块的那个状态。

换句话说，当SoftICE弹出来时，正好某个VM在运行，那么寄存器窗口里显示的才是真正的实时值。这和你在命令窗口用VM命令看到的值，很可能不是一回事。

还有一个细节值得警惕：如果你当时正好卡在某个中断例程最开头的几句指令处，而这个VM的寄存器值正在被保存到控制块的过程里，那么用VM命令显示出来的，可能只有CS:IP的值是可靠的，其他寄存器值说不定还没来得及存进去呢。

命令窗口会显示两组CS:EIP和SP的值，分别对应保护模式和实模式。它们的显示顺序，取决于VM最后是在哪种模式下被切出来的。如果最后是在保护模式，那就先显示“PROT.”那组；反过来，就先显示“REAL.”那组。

一般情况下，除了系统VM之外，其他绝大多数VM都只有一个V86线程。但DPMI程序是个例外，它会从V86模式切换到保护模式线程。

这个VM命令在调试VxDs、DPMI程序乃至挂起的DOS程序时特别管用。如果一个DOS程序跑着跑着不动了，用VM命令瞄一眼，就能看到该VM最后执行的那条指令停在了哪里。

输出状态字解释:

0001H 独占模式
0002H 后台运行
0004H 正在建立
0008H 暂时终止
0010H 部分被破坏
0020H 执行保护模式指令
0040H 执行保护模式程序
0080H 执行32位保护模式程序
0100H 从VxD中调用CALL
0200H 后台高度优先权
0400H 信号阻断
0800H 阻断唤醒
1000H V86程序的部分可换页
2000H V86程序其他的部分被锁定
4000H 时间切片
8000H 空闲，已释放时间片

命令: VXD

作用: 显示Windows VxD映象。

语法: VXD [VxD-name]

用法:

VxD-name: 可以是虚拟设备驱动程序完整或部分的名字。

VXD命令用来显示指定某个VxD的详细信息。如果你不加任何参数，那么VXD命令会非常“慷慨”地把系统中所有的虚拟设备驱动程序映象都列出来给你看。通常，动态装载的VxD会显示在那些静态装载的VxD后面。

输出信息包括:

VxDName : VxD的名字。 Address : 段的基址。 Length : 段的长度。 Seg : 可执行部分的区段数量。 ID : VxD的唯一ID。 DDB : VxD描述符块的地址。 Control : 控制分配句柄的地址。 PM : 标记为‘Y’表示该VxD提供了一个保护模式的API，反之则为‘N’。 V86 : 标记为‘Y’表示该VxD提供了一个V86模式的API，反之则为‘N’。 VXD : 该驱动已经实现的VxD服务数量。 Win32 : 该驱动已经实现的Win32服务数量。

命令: WATCH

作用: 加入一个监视窗口。

语法: WATCH expression

用法: WATCH命令的核心任务，就是持续监视你指定那个表达式的值。目标数据的大小由其自身的类型信息决定，如果SoftICE无法确定大小，它会默认按双字来处理。

这里有个限制：SoftICE一次最多只能支持同时监视8个表达式。每次SoftICE弹出来，这些表达式的当前值就会在监视窗口里刷新显示。

监视窗口会清晰地展示每条信息：表达式本身、其数据类型、以及按指定格式显示的当前值。如果数据类型前面带了一个“*”号，那说明这个类型是可展开的。想查看详情？用鼠标双击它，或者用ALT+W快捷键切到监视窗口，用方向键把光标移到那个条目上，再敲回车就行了。

如果你写的表达式在当前上下文中无法计算，SoftICE会毫不客气地给你弹出一条“Error evaluating expression”的提示。

想要删掉某个看腻了的监视表达式？很简单，选中它，然后按下DEL键即可。

命令: WC

作用: 打开或关闭代码窗口；或改变代码窗口大小。

语法: WC [window-size]

用法: window-size : 用十进制数表示你想要的窗口大小。

使用WC命令时，如果不加任何参数，它的作用是切换代码窗口的打开或关闭状态。如果你在后面加了一个数字参数，那它的任务就变成了调整代码窗口的尺寸。

命令: WD

作用: 打开或关闭数据窗口；或改变数据窗口大小。

语法: WD [window-size]

用法: window-size : 用十进制数表示你想要的窗口大小。

WD命令的逻辑和WC如出一辙。不加参数，就是打开或关闭数据窗口；加上数字参数，就是改变数据窗口的尺寸。

命令: WF

作用: 以浮点或MMx形式显示浮点栈。

语法: WF [-d] [b | w | d | f | *]

用法:

-d : 这个参数会让结果显示在命令窗口里，并且会额外附加上FPU状态字和控制字的信息。
b : 以字节形式显示。
w : 以字形式显示。
d : 以双字形式显示。
f : 以10字节的实数形式显示。
* : 按顺序轮流使用下一种显示格式。

当选择以10字节实数形式显示时，寄存器会标记为ST0到ST7。如果选择其他格式（b/w/d），则会对应显示为MM0到MM7。

命令: WHAT

作用: 用来确定一个名字或表达式是否是SoftICE已知的类型。

语法: WHAT [name | expression]

用法:

name : 任何符号名（要求是不能被解释成表达式的那种）。
expression : 任何表达式。

WHAT命令会像个侦探一样，仔细分析你给它的参数，然后与自己已知的名字库进行比对。它会枚举出每一个可能的匹配项，并把结果清晰地展示出来。这在你需要确认某个标识符是否已被定义时非常有用。