都放在最后。
13) OBJR 功能
这个功能是设置以基始内存地址为开始进行扫描。对于 LOOK 命令有影响。
14) BPREG 功能
以通过寄存器的值来设置断点。
15) WALK 功能
执行下一条指令后把控件权交还 ProcDump32 。
16) EIP 功能
设置下一个 EIP 为原来程序的最初进入点。
注意:
在断点之后,下一个 EIP 就是断点地址本身。
17) 建立外部帮助文件
通过特殊的参数创建外部文件。这个你指定的 ini 文件是由一些特殊的参数组成和建立的。
它包括:
. 进程的 Pid 。
. 所有寄存器的值包括 EIP 。
. 当前 EIP 的值
例子:
在 script 中:
...
L5=HELP PDHelp.Exe Helper.ini
...
你的 helper 的命令行会包含 <Path to helper.ini>\"helper.ini" 。
在 helper.ini 中:
[REG]
Dr0=00000000
Dr1=00000000
Dr2=00000000
Dr3=00000000
Dr6=00000000
Dr7=00000000
SegGs=00000000
SegFs=00000FDF
SegEs=00000167
SegDs=00000167
Edi=00000000
Esi=8161D244
Ebx=00000000
Edx=8161D2A4
Ecx=8161D264
Eax=0043E9B4
Ebp=00456000
Eip=00456264
SegCs=0000015F
Flags=00000216
Esp=0068FE34
SegSs=00000167
Pid=FFC1E943
Local=00456264
我想这样做可以比较灵活;)。
注意:
命令行每行不能使用超过 512 个字每来描述 helper 的 EXE 和 INI 文件的路径,这 个只是 ProcDump 的内部限制,而对于 WINDOWS API 来说来说就不能超过 256 个字 母。B) 在 script 中 Options 的格式:
*************************************
Options 是通过 OPTL 开始的,并以 DWORD 形式保存的。
OPTL1=
DWORD : 设定 AutoDump 中的延迟时间,以 ms 为单位。
OPTL2=
BYTE : 自动执行 EIP
BYTE : 忽略错误
BYTE : 快速模式 Dump
BYTE : 外部 Predump
OPTL3=
BYTE : 优化 PE
BYTE : 自动计算程式
BYTE : 跟踪 API
BYTE : 自动分层
OPTL4=
BYTE : 未知模式
BYTE :Import 表类型重建
BYTE : 修复 Header
BYTE : 修复 Relocs
OPTL5=
BYTE : 保留
BYTE : 保留
BYTE : 检查 Header
BYTE : 合并代码
为得到更详细资料 ... 查看 ProcDump Options 的解释吧。
C) 如何编写你的加壳软件的定义:
*****************************************************
1) 添加索引段:
*************************
加一个 Pxx 的声明 .... 注意 xx 的值是跟接在最后一个的值。
例如:
增加之前
[INDEX]
P1=Shrinker 3.3
P2=Wwpack32 Beta 9
P3=Wwpack32 1.0
增加之后
[INDEX]
P1=Shrinker 3.3
P2=Wwpack32 Beta 9
P3=Wwpack32 1.0
P4=My Own definition
2) 增加你的定义:
************************
每行的定义都必须事先声明,例如用 Lxx 。
例:
[My own definition]
L1=Look 0F,85,DB,FF,FF
L2=BP
L3=STEP
你可以在定义中多加一点默认 options ,添加 OPTLx 的方法也是这样做,如果你没有指 定 默 认的 options , ProcDump 会使用常规的那些设置。
|