使用SoftIce调试关键是建立符号表,和让SoftIce加载符号表。
建立符号表可以用下面的命令行:

C:\Program Files\Compuware\DriverStudio\SoftICE\nmsym.exe 
/TRANS:SYMBOLS,PACKAGE,ALWAYS F:\CodeSample\Test\hook\Debug\hOOKDLL.DLL /OUTPUT:F:\CodeSample\Test\hook\Debug\HOOK.NMS /SOURCE:"E:\Program Files\Microsoft Visual Studio\VC98\CRT\SRC";"E:\Program Files\Microsoft Visual Studio\VC98\MFC\SRC";F:\CodeSample\Test\hook
然后双击生成的符号表,让SoftIce载入。
之后就可以在SoftIce调试界面里使用了。

转:使用SoftIce调试free build版的Driver方法
标题:使用SoftIce调试free build版的Driver方法
创建:2006/07/24

--------------------------------------------------------------------------
1. 使用IDA生成map文件。

2. 使用Visual Studio中的mapsym.exe生成sym文件。
e.x:
mapsym -m test.map
产生test.sym文件

3. 使用Driver Studio中SoftIce目录下的nmsym.exe生成nms文件。
e.x:
nmsym test.sym
产生test.nms文件

4. 加载test.nms文件,Ctrl-d呼出sice,就可以根据ida里的标签、变量等进行设置
断点了。
e.x:
nmsym /sym:test.nms

--------------------------------------------------------------------------
windbg symbolsetting:
set _NT_SYMBOL_PATH=srv*DownstreamStore*http://msdl.microsoft.com/download/symbols
srv*E:\Cache\Symbols*http://msdn.microsoft.com/download/symbols;
--------------------------------------------------------------------------
再装vmware tools ,选择自定义安装项,只安装svga driver,next……finish。
找到虚拟的操作系统的vmx文件在最后添加以下两行代码:
vmmouse.present = "FALSE"
svga.maxFullscreenRefreshTick = "5"
ctlr+d 呼出正常。但返回后,键盘失灵。这个以前到是碰到过,将softice安装程序目录下的i8042prt.sys文件覆盖system32\drivers下同名文件。这下可以了.
 
posted on 2005-12-07 15:22 孤独的夜 阅读(3888) 评论(5)  编辑 收藏 引用 所属分类: VC Skill
Comments
  • # re: SoftIce使用随笔
    APPLE
    Posted @ 2006-03-13 20:43
    你好,我想请教你一写softICE的问题,可以加我的QQ吗?我的QQ:403623268  回复  更多评论   
  • # re: SoftIce使用随笔
    孤独的夜
    Posted @ 2006-03-17 09:19
    我通常不用QQ.  回复  更多评论   
  • # re: SoftIce使用随笔
    TCrl
    Posted @ 2006-12-26 12:07
    请问老大用softice在vm上调试和真实机子上有什么区别?
    他们idt命令显示的中断表不太一样哦

    还有一个郁闷的问题,开了qq以后就不能正常用Ctrl+D呼出softice:(
      回复  更多评论   
  • # re: SoftIce使用随笔
    孤独的夜
    Posted @ 2007-01-05 10:49
    调试rootkit用softice在虚拟机中是不合适的,最好还是在真实环境中。
    一般的上层和驱动倒是没有问题。
    可惜现在Compuware停止开发softice了。

    QQ加载了驱动保护,2006贺岁版的驱动名叫ntkcrypt.sys就在安装目录下。
    其他版本没用过汗。  回复  更多评论   
  • # re: SoftIce使用随笔[未登录]
    呵呵
    Posted @ 2008-04-20 11:48
    为什么在虚拟机上用softice调试rootkit不合适,请讲解下吧.谢谢  回复  更多评论   
只有注册用户登录后才能发表评论。