-
-
[原创]献给新手(四)--把SoftICE装在VM下--SoftICE怀旧之旅
-
2011-1-11 04:13
-
献给新手(四)--把SoftICE装在VM下(图解版)--SoftICE怀旧之旅
面对OllyDBG的容易使用,根本不用安装,SoftICE的安装不易,就成了现没什么人要用的最大致命伤!!如果介绍了半天SoftICE对新手入门的好处,但是新手怎么样都没办法把SoftICE安装成功,那前面的帖,不就白写了,但看雪学院的前辈有很多安装SoftICE的帖子,我这么写并不是说他们写的不好,也没有要灌水的意思,而是高手回头写这些给新手看的帖子时,往往图比较少(甚至于没有图!!),更不会在他们认为"简单"但新人却很可能 "搞很久都搞不定" 的事情上一步步的详解,所以会变成好像都看懂了,但实作的时候,还是差一步做不出来,...也许我比较笨,至少我做新手时,就常常拿着看雪前辈
的帖子,看的时候很高兴,但动手做的时候问题一堆,可是又不好意思问,因为要大牛回答我们这种新手级的问题,实在很不好意思啊
为了不要再让这种遗憾发生,自己稍微入门了以后,写帖子时就会比较 "啰嗦" ,讲的比较细, 而且会大量抓图做示范,也会常回来巡一下自己的版子,看看有没有雪友有问题要解决(反正失业在家闲着也是闲着,哈!),在台湾有同好想上看雪学院时,我也会先劝他们把基本功练好再上来,免得问一些没有营养的问题,浪费前辈们的时间啊,不过人之患在好为人师嘛!一个刚入门没多久的人就在这里长篇大论,
典型就 "半桶水最会响" 的人啦,就怕热心有余,实力不足就是了.
这帖史上最大灌水帖--SoftICE安装篇,就是这样来的 ~~~
由于电脑硬体不断的进步,而微软的作业系统也不断的更新,要想在不同的作业系统下使用SoftICE最好的方法就是在读者现在所使用的作业系统中安装VMware--
VMware Workstation (www.vmware.com)
这样微软作业系统再怎么更新,都可以用SoftICE,
建议雪友们购买21吋以上解析度可达1920x1200以上的荧幕,甚至于是更高的解析度(例如DELL的3008WFP是30吋机种解析度可达2560x1600),这样就程式执行的主画面就不会被SoftICE弹出的视窗遮住了,而用其他的辅助工具例如LordPE等程序也不会被遮住画面而要切来切去,
另外像SAMSUNG的2343BWXPLUS 解析度也有到2048x1152价格也不高,是可以考虑做为VMware + SoftICE用的荧幕喔!
请安装VMware 6.0以上版本,然后在VM里安装一个全新的Windows XP并且升级到SP2,注意不要用SP3最重要的是把XP中的自动更新关掉!!安装时要记得是装在哪一个子目录,为接下来讲解方便,我们假设你把XP SP2装在 C:\PureXP 里,而VMware的主程式是放在 C:\Program Files\VMware\VMware Workstation 里
现在把Driver Studio 3.2中的SoftICE安装完成(只要装SoftICE就好,其他的功能不必装)。
注:Driver Studio 3.2由于原厂已经宣布不再支援,可以到这里下载:
http://www.pediy.com/tools/Debuggers/SoftICE/SoftICE.htm
另外可以一并下载 “Drierstudio3.2 for winxp,win2003 完全补丁”<== 但是先不要安装
下载回来的档案名称为DS3.2.1.ZIP,但这个档案先备而不用,如果您的系统在VM下的XP SP2使用SoftICE一切顺利,我发上来的的例子也都可以正常执行,那您就不用使用这个补丁,如果不能顺利执行,或是Windows本身自带的记事本或小算盘程式用Symbol Loader无法载入让程式停在入口处才要使用这个补丁!
在启动VM中的XP SP2前请再做好下列的检查,首先不要使用双核心,使用单一CPU才可以(即Processors的值为1),记忆体(Memory)的值也不要太小在我的VM中內存配置了192MB而硬盤(Hard Disk)也配置了8GB
另外在你安装XP SP2的目录里(我们这帖的例子是放在 C:\PureXP),打开其副档名为vmx的文件,
在其未端添加:
Vmmouse.present = “FALSE”
svga.maxFullscreenRefreshTick = "5"
Vmmouse.present = “FALSE”是为了让SoftICE启动后,不会出现两个滑鼠指标,一个是系统的箭头指标,一个是方型SoftICE的指标.
svga.maxFullscreenRefreshTick = "5" 这行不加SoftICE用Crtl-D叫出来以后会看不到,以为SoftICE死当了,其实是有在正常工作的!!
现在可以按下绿色的箭头(Powered On)让VM中的XP SP2启动了。
但是还先别忙着进SoftICE先再确认下面的动作是否有确实做好:
开始-->程式集-->Compuware DriverStudio-->Settings
General中的Inilialization string:加上 LINE 45;WD 4;WC 30;SET FONT 2;FAULTS OFF;CODE ON;X;
Exports要加上的dll整理如下:
advapi32.dll, comctl32.dll, comdlg32.dll,
msvbvm60.dll , msvcrt.dll , ole32.dll,
oleaut32.dll, shell32.dll, version.dll, ws2_32.dll
而画面中示范的ntkrnlpa.exe则可放可不放因为那是给双核心用的
现在在VM中使用SoftICE的前置作业已经全部完成,接下来就可以来练习了。
注:要使用SoftICE的VMware系统内其XP SP2千万不要安装虚拟光盤装置软体,例如:酒精120%(Alcohol 120%)、Daemon Tools等…
一切都安装好以后,先用我这个软件 Message Box.exe 试一下,
Message Box.rar
测试一: 用Symbol Loader
1.先运行 开始->程式集-->Compuware->Debug-->Start SoftICE
正常的话会出现一个SoftICE的窗口,然后闪一下就消失了,这时你按下Ctrl+D,
SoftICE主画面就应该要在正中间出现才对,而滑鼠光标也会变成方型.
再按一次Ctrl+D SoftICE就会消失
2. 开始->程式集-->Compuware->Debug-->Symbol Loader
注意下方的灯号应为绿色,显示 SoftICE is active
(这里要人家看灯号颜色,如果再放黑白图片,雪友会杀了我!!!)
按上方功能表 File --> Open 去载入 Message Box.exe
再选 Module --> Load
会出现 "An error occured during symbol translation/load. Load executable
ayway?" 对话框
按下 "是(Y)"
SoftICE就应该会正常弹出来了,
虽然中间的机码都是invalid,但是下方绿色字样已经出现 Message Box +0FFE 字样,表
示是在Message Box.exe程序领空上了,
我们再按一下F8键,就可以看到有意义的机码了
以上这个动作,就等于是把Message Box.exe这个程式从头载入分析,如果SoftICE弹不出来,直接你就看到Message Box.exe 的主画面,那就表示SoftICE没有装好
请初学者一定要用我这每程式测试,如果随便拿一个程式来试,刚好碰到有壳的,就会断不下来,但因为变数多了,你就会不知道到底SoftICE安装成功没有?
测试二: 用bpx MessageBoxA
1.如果在测试一中SoftICE有成功跳出来,我们就输入 BPX MessageBoxA 做断点,记得按
下回车键,然后按下F5让程序全速运行.
2.在主程序画面中随便输入4位数字,并按下OK键,正常的话你应该会看到SoftICE再次跳出,
断在程序调用MessageBoxA这个API的地方,如果SoftICE没有跳出来,直接你就看到密码错误或是密码正确的对话框,那么这个测试就失败了
以上测试如果有任可一个不能通过,就要打补丁 DS3.2.1.zip,(如果以上两个测试都通过了,就不可打补丁,切记!!):
先将VMware中的XP SP2重启,重启后先不要运行SoftICE
现在将 zip 档里面的 \Host\ DS.EXE OSINFO.DAT OSINFOB.DAT这三个档拷贝到 Program Files\Compuware\DriverStudio 内盖掉原来的档案
再将 \Target 内的 CptHook.sys ntice.sys osidata.sys osinfo.dat osinfob.dat及 \Target\x86\SIKSYM.SYS
这6个档拷贝到 \Windows\system32\drivers 内盖掉原来的档案
等补丁打完,再回头做测试一及测试二,如果OK了,就表示这个调环境没问题了,
现在我们最好先把可以正常运作的VMware环境先 “快照” 下来,
我们可以在VMware上方的功能Bar中选取VM-->Snapshot-->Take Snapshot…
这样万一我们之后安装的东西有问题可以很快的回覆到之前没有改变的样子,而不需要重灌!
最后整个VM用的XP SP2子目录可以备份,到别台电脑使用,注意:是备份你装在VM中的XP SP2的那个目录(本帖中讲的是 C:\PrueXP),不是在Program Files里的VMware主程序目录喔!!
到了一台新的电脑上使用时,也是一样先安装好VM WorkStation,然后把先前备份好的整个VM用的XP SP2, 一样拷贝到 C:\PrueXP中,这样就不用重新安装和设定了^^
第一次在新电脑中启用VMware就在上方工具列选 File-->Open 点选刚才拷贝好的 C:\PrueXP 里面的 vmx档就可以了,这时VMware会问你是 copy it 或是 move it, 选 copy it 就可以了
如果有雪友有装好的,也可以提供出来分享,但最好别放在论坛的空间里,因为我不知道微软在你们那儿抓得凶不凶?我们台湾这边抓得紧,微软告得凶,所以只能请在大陆的雪友帮忙了
希望新手们都可以不被SoftICE的安装给吓跑了,都可以顺利安装,享受SoftICE在反组译和破解上带给新手的方便和快乐
面对OllyDBG的容易使用,根本不用安装,SoftICE的安装不易,就成了现没什么人要用的最大致命伤!!如果介绍了半天SoftICE对新手入门的好处,但是新手怎么样都没办法把SoftICE安装成功,那前面的帖,不就白写了,但看雪学院的前辈有很多安装SoftICE的帖子,我这么写并不是说他们写的不好,也没有要灌水的意思,而是高手回头写这些给新手看的帖子时,往往图比较少(甚至于没有图!!),更不会在他们认为"简单"但新人却很可能 "搞很久都搞不定" 的事情上一步步的详解,所以会变成好像都看懂了,但实作的时候,还是差一步做不出来,...也许我比较笨,至少我做新手时,就常常拿着看雪前辈
的帖子,看的时候很高兴,但动手做的时候问题一堆,可是又不好意思问,因为要大牛回答我们这种新手级的问题,实在很不好意思啊
为了不要再让这种遗憾发生,自己稍微入门了以后,写帖子时就会比较 "啰嗦" ,讲的比较细, 而且会大量抓图做示范,也会常回来巡一下自己的版子,看看有没有雪友有问题要解决(反正失业在家闲着也是闲着,哈!),在台湾有同好想上看雪学院时,我也会先劝他们把基本功练好再上来,免得问一些没有营养的问题,浪费前辈们的时间啊,不过人之患在好为人师嘛!一个刚入门没多久的人就在这里长篇大论,
典型就 "半桶水最会响" 的人啦,就怕热心有余,实力不足就是了.
这帖史上最大灌水帖--SoftICE安装篇,就是这样来的 ~~~
由于电脑硬体不断的进步,而微软的作业系统也不断的更新,要想在不同的作业系统下使用SoftICE最好的方法就是在读者现在所使用的作业系统中安装VMware--
VMware Workstation (www.vmware.com)
这样微软作业系统再怎么更新,都可以用SoftICE,
建议雪友们购买21吋以上解析度可达1920x1200以上的荧幕,甚至于是更高的解析度(例如DELL的3008WFP是30吋机种解析度可达2560x1600),这样就程式执行的主画面就不会被SoftICE弹出的视窗遮住了,而用其他的辅助工具例如LordPE等程序也不会被遮住画面而要切来切去,
另外像SAMSUNG的2343BWXPLUS 解析度也有到2048x1152价格也不高,是可以考虑做为VMware + SoftICE用的荧幕喔!
请安装VMware 6.0以上版本,然后在VM里安装一个全新的Windows XP并且升级到SP2,注意不要用SP3最重要的是把XP中的自动更新关掉!!安装时要记得是装在哪一个子目录,为接下来讲解方便,我们假设你把XP SP2装在 C:\PureXP 里,而VMware的主程式是放在 C:\Program Files\VMware\VMware Workstation 里
现在把Driver Studio 3.2中的SoftICE安装完成(只要装SoftICE就好,其他的功能不必装)。
注:Driver Studio 3.2由于原厂已经宣布不再支援,可以到这里下载:
http://www.pediy.com/tools/Debuggers/SoftICE/SoftICE.htm
另外可以一并下载 “Drierstudio3.2 for winxp,win2003 完全补丁”<== 但是先不要安装
下载回来的档案名称为DS3.2.1.ZIP,但这个档案先备而不用,如果您的系统在VM下的XP SP2使用SoftICE一切顺利,我发上来的的例子也都可以正常执行,那您就不用使用这个补丁,如果不能顺利执行,或是Windows本身自带的记事本或小算盘程式用Symbol Loader无法载入让程式停在入口处才要使用这个补丁!
在启动VM中的XP SP2前请再做好下列的检查,首先不要使用双核心,使用单一CPU才可以(即Processors的值为1),记忆体(Memory)的值也不要太小在我的VM中內存配置了192MB而硬盤(Hard Disk)也配置了8GB
另外在你安装XP SP2的目录里(我们这帖的例子是放在 C:\PureXP),打开其副档名为vmx的文件,
在其未端添加:
Vmmouse.present = “FALSE”
svga.maxFullscreenRefreshTick = "5"
Vmmouse.present = “FALSE”是为了让SoftICE启动后,不会出现两个滑鼠指标,一个是系统的箭头指标,一个是方型SoftICE的指标.
svga.maxFullscreenRefreshTick = "5" 这行不加SoftICE用Crtl-D叫出来以后会看不到,以为SoftICE死当了,其实是有在正常工作的!!
现在可以按下绿色的箭头(Powered On)让VM中的XP SP2启动了。
但是还先别忙着进SoftICE先再确认下面的动作是否有确实做好:
开始-->程式集-->Compuware DriverStudio-->Settings
General中的Inilialization string:加上 LINE 45;WD 4;WC 30;SET FONT 2;FAULTS OFF;CODE ON;X;
Exports要加上的dll整理如下:
advapi32.dll, comctl32.dll, comdlg32.dll,
msvbvm60.dll , msvcrt.dll , ole32.dll,
oleaut32.dll, shell32.dll, version.dll, ws2_32.dll
而画面中示范的ntkrnlpa.exe则可放可不放因为那是给双核心用的
现在在VM中使用SoftICE的前置作业已经全部完成,接下来就可以来练习了。
注:要使用SoftICE的VMware系统内其XP SP2千万不要安装虚拟光盤装置软体,例如:酒精120%(Alcohol 120%)、Daemon Tools等…
一切都安装好以后,先用我这个软件 Message Box.exe 试一下,
Message Box.rar
测试一: 用Symbol Loader
1.先运行 开始->程式集-->Compuware->Debug-->Start SoftICE
正常的话会出现一个SoftICE的窗口,然后闪一下就消失了,这时你按下Ctrl+D,
SoftICE主画面就应该要在正中间出现才对,而滑鼠光标也会变成方型.
再按一次Ctrl+D SoftICE就会消失
2. 开始->程式集-->Compuware->Debug-->Symbol Loader
注意下方的灯号应为绿色,显示 SoftICE is active
(这里要人家看灯号颜色,如果再放黑白图片,雪友会杀了我!!!)
按上方功能表 File --> Open 去载入 Message Box.exe
再选 Module --> Load
会出现 "An error occured during symbol translation/load. Load executable
ayway?" 对话框
按下 "是(Y)"
SoftICE就应该会正常弹出来了,
虽然中间的机码都是invalid,但是下方绿色字样已经出现 Message Box +0FFE 字样,表
示是在Message Box.exe程序领空上了,
我们再按一下F8键,就可以看到有意义的机码了
以上这个动作,就等于是把Message Box.exe这个程式从头载入分析,如果SoftICE弹不出来,直接你就看到Message Box.exe 的主画面,那就表示SoftICE没有装好
请初学者一定要用我这每程式测试,如果随便拿一个程式来试,刚好碰到有壳的,就会断不下来,但因为变数多了,你就会不知道到底SoftICE安装成功没有?
测试二: 用bpx MessageBoxA
1.如果在测试一中SoftICE有成功跳出来,我们就输入 BPX MessageBoxA 做断点,记得按
下回车键,然后按下F5让程序全速运行.
2.在主程序画面中随便输入4位数字,并按下OK键,正常的话你应该会看到SoftICE再次跳出,
断在程序调用MessageBoxA这个API的地方,如果SoftICE没有跳出来,直接你就看到密码错误或是密码正确的对话框,那么这个测试就失败了
以上测试如果有任可一个不能通过,就要打补丁 DS3.2.1.zip,(如果以上两个测试都通过了,就不可打补丁,切记!!):
先将VMware中的XP SP2重启,重启后先不要运行SoftICE
现在将 zip 档里面的 \Host\ DS.EXE OSINFO.DAT OSINFOB.DAT这三个档拷贝到 Program Files\Compuware\DriverStudio 内盖掉原来的档案
再将 \Target 内的 CptHook.sys ntice.sys osidata.sys osinfo.dat osinfob.dat及 \Target\x86\SIKSYM.SYS
这6个档拷贝到 \Windows\system32\drivers 内盖掉原来的档案
等补丁打完,再回头做测试一及测试二,如果OK了,就表示这个调环境没问题了,
现在我们最好先把可以正常运作的VMware环境先 “快照” 下来,
我们可以在VMware上方的功能Bar中选取VM-->Snapshot-->Take Snapshot…
这样万一我们之后安装的东西有问题可以很快的回覆到之前没有改变的样子,而不需要重灌!
最后整个VM用的XP SP2子目录可以备份,到别台电脑使用,注意:是备份你装在VM中的XP SP2的那个目录(本帖中讲的是 C:\PrueXP),不是在Program Files里的VMware主程序目录喔!!
到了一台新的电脑上使用时,也是一样先安装好VM WorkStation,然后把先前备份好的整个VM用的XP SP2, 一样拷贝到 C:\PrueXP中,这样就不用重新安装和设定了^^
第一次在新电脑中启用VMware就在上方工具列选 File-->Open 点选刚才拷贝好的 C:\PrueXP 里面的 vmx档就可以了,这时VMware会问你是 copy it 或是 move it, 选 copy it 就可以了
如果有雪友有装好的,也可以提供出来分享,但最好别放在论坛的空间里,因为我不知道微软在你们那儿抓得凶不凶?我们台湾这边抓得紧,微软告得凶,所以只能请在大陆的雪友帮忙了
希望新手们都可以不被SoftICE的安装给吓跑了,都可以顺利安装,享受SoftICE在反组译和破解上带给新手的方便和快乐
[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》,视频+靶场+题目!助力进入CTF世界
|
|
|---|---|
|
|
感谢分享。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
不好意思,因为从台湾上你们的论坛速度很慢,而且一次只能上四张图,所以就把部份的图做成黑白的,
这样上传比较快,但重要的图,我还是用彩色的啦
|
|
|
|
|
|
感谢lz的心得,码字辛苦了...
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
谢谢你的称赞,对雪友有帮助是我最开心的事了,我有注意到这是你注册这么久的第一篇文章,很荣幸竟然可以发到我的这个版面
我当初也是因为很多前前辈的文章没有图,学的很辛苦,所以现在入门以后,希望可以给新人比较容易看懂并且可以照着做的教程~~~ 希望你这次softice安装成功后,调试出什么心得,也要图文并茂的发帖上来,造福其他雪友喔  不要再长期潜水了啦 
|
|
|
|
|
|
|
|
|
真是不错的教程,学习,XP SP3的环境下好像你说不能正常运行,我也很无奈的说,只能另外想办法了,毕竟这是人家网吧的机器。弄不好人家要我赔可就不妙啦。
|
