自动脱壳

4、Procdump中文说明书   

　　大家好！早两天放上了提高篇（ 10 ）后，大家的反应还不错，不过对于一些朋友来说， 要想用好 Procdump1.50 ，可能还有点问题，因为它的 Script 的说明书是英文的，对于英文不是 太好的朋友，这就成为一个很大的问题了。昨晚，在白菜的聊天室内，我和 Ding Boy 等高手一 起聊天， Ding Boy 就建议我把 Procdump1.50 的说明书翻译成中文，方便广大的朋友学习和使用 Procdump1.50 ，本着我不入地狱，谁入地狱的决心，我就着手了翻译工作，由于本人的英文也 不是太好！所以在 Procdump1.50 的 Script 说明书的翻译过程中，难免会有一些错误的地方，同 时我的语文水平也不见得好到那里去，有时英文了解什么意思，中文也不知如何表达，所以也 难免有一些词不达意，还有一些地方，我只能根据意译的方法来完成了，因为如果一字一字的 合并起来，句子的意思可能不知它说什么。花了三个小时的时间，终于完成了，但为了有点记 念意义，就把译文放进了提高篇（ 11 ）当中了，希望大家喜欢！ 

读者要求： 

你可以阅读和传播本文章，但不能对文章的内容作任何的修改，请尊重作者（译）的劳动。

********************************* 

ProcDump32 的 Script 扩展： 

********************************* 

A)  功能定义： 

************************* 

1) Look 功能： 

  这个 Look 功能是在被载入的程序中查找指定的 HEX 字串。它会把找到了的内存地址保存下来以便你可以方便在此内存地址设置断点。 

例： 

   Look OF,85 将用于搜索一个 JNE 或一个长 jump 。你可以通过 BP 命令来设置断点。 

2) ADD 功能： 

  允许你在当前内存地址上加一个变址值（例：出现于 look 命令或 POS 命令之后）。 

3) DEC 功能： 

猜测；） 

4) REPL 功能 

  这个功能用于在当前内存中修改内码（连续的 HEX ）（注：它出现在 look 命令之后）。 

例： 

   REPL 90,90 将会在你当前的内存位置开始连接放入两个 NOP 指令。 

5) BP 功能 

  在当前内存位置设置一个断点。 

6) BPX 功能 

  在指定的位置设置断点。这个位置与程序开始位置有关。 

例： 

    如果程序的开始位置在 RVA 66000h,BPX 2672 就会在 RVA 68672 设置断点。 

7) BPF 功能（用标志位设断） 

  这个功能会检查每一次断点发生时的标志位的值是否为你所设定的值。断点的位置为 

当前内存地址。 

Unset/Set 的内容 

 ******************* 

  C   * C *  进位标志。 

  P   * P *  奇偶标志。 

  A   * A *  辅助进位标志。 

  Z   * Z *  零标志。 

  S   * S *  正负号标志。 

  D   * D *  方向标志。 

  O   * O *  溢出标志。 

你可以单独测试 ONE 旗标。 

8) BPC 功能 

  当经过当前位置的次数达到设定值时发生中断。 

例：    

   BPC 15    ( 在第 21(15h) 次经过当前位置时中断 ) 

9) BPV 功能 

  当如果寄存器的值到达了你设定的值时中断。 

例： 

   BPV EAX=5 ( 当特定位置的 EAX=5 时中断 ) 。

[1] [2] [3] 下一页