菜鸟级黑客速成办法(十四)

识别DLL文件

        DLL是Dynamic Link Library的缩写，意为动态链接库。在Windows中，许多应用程序并不是一个完整的可执行文件，它们被分割成一些相对独立的动态链接库，即DLL文件，放置于系统中。当我们执行某一个程序时，相应的DLL文件就会被调用。一个应用程序可有多个DLL文件，一个DLL文件也可能被几个应用程序所共用，这样的DLL文件被称为共享DLL文件。DLL文件一般被存放在C:\Windows\System目录下。

1、如何了解某应用程序使用哪些DLL文件?
右键单击该应用程序并选择快捷菜单中的“快速查看”命令，在随后出现的“快速查看”窗口的“引入表”一栏中你将看到其使用DLL文件的情况。

2、如何知道DLL文件被几个程序使用?
运行Regedit，进入:HKEY_LOCAL_MACHINE\Software\Microsrft\Windows\Current-
Version\SharedDlls子键查看，其右边窗口中就显示了所有DLL文件及其相关数据，其中数据右边小括号内的数字就说明了被几个程序使用，（2）表示被两个程序使用，（0）则表示无程序使用，可以将其删除。

3、如何解决DLL文件丢失的情况

有时在卸载文件时会提醒你删除某个DLL文件可能会影响其他应用程序的运行。所以当你卸载软件时，就有可能误删共享的DLL文件。一旦出现了丢失DLL文件的情况，如果你能确定其名称，可以在Sysbckup（系统备份文件夹）中找到该DLL文件，将其复制到System文件夹中。如果这样不行，在电脑启动时又总是出现“***dll文件丢失……”的提示框，你可以在“开始/运行”中运行Msconfig，进入系统配置实用程序对话框以后，单击选择“System.ini”标签，找出提示丢失的DLL文件，使其不被选中，这样开机时就不会出现错误提示了

DEBUG命令

Debug:A(汇编)

直接将 8086/8087/8088 记忆码合并到内存。
该命令从汇编语言语句创建可执行的机器码。所有数值都是十六进制格式，必须按一到四
个字符输入这些数值。在引用的*作代码（*作码）前指定前缀记忆码。
a [address]
参数
address
指定键入汇编语言指令的位置。对 address 使用十六进制值，并键入不以“h”字符结尾
的每个值。如果不指定地址，a 将在它上次停止处开始汇编。
有关将数据输入到指定字节中的信息，请参看Debug E（键入）。
有关反汇编字节的信息，请参看Debug U（反汇编）
说明
使用记忆码
段的替代记忆码为 cs:、ds:、es: 和 ss:。远程返回的记忆码是 retf。字符串处理的记
忆码必须明确声明字符串大小。例如，使用 movsw 可以移动 16 位的字串，使用 movsb
可以移动 8 位字节串。
汇编跳转和调用
汇编程序根据字节替换自动将短、近和远的跳转及调用汇编到目标地址。通过使用 near
或 far 前缀可以替代这样的跳转或调用，如下例所示：
-a0100:0500
0100:0500 jmp 502 ; a 2-byte short jump
0100:0502 jmp near 505 ; a 3-byte near jump
0100:0505 jmp far 50a ; a 5-byte far jump
可以将 near 前缀缩写为 ne。
区分字和字节内存位置
当某个*作数可以引用某个字内存位置或者字节内存位置时，必须用前缀 word ptr 或者
前缀 byte ptr 指定数据类型。可接受的缩写分别是 wo 和 by。以下范例显示两种格式
：
dec wo [si]
neg byte ptr [128]
指定*作数
Debug 使用包括在中括号 ([ ]) 的*作数引用内存地址的习惯用法。这是因为另一方面
Debug 不能区分立即*作数和内存地址的*作数。以下范例显示两种格式：
mov ax,21 ; load AX with 21h
mov ax,[21] ; load AX with the
; contents of
; memory location 21h
使用伪指令
使用 a 命令提供两个常用的伪指令：db *作码，将字节值直接汇编到内存，dw *作码
，将字值直接汇编到内存。以下是两个伪指令的范例：
db 1,2,3,4,"THIS IS AN EXAMPLE"
db ‘THIS IS A QUOTATION MARK:"‘
db "THIS IS A QUOTATION MARK:‘"
dw 1000,2000,3000,"BACH"
范例
a 命令支持所有形式的间接注册命令，如下例所示：
add bx,34[bp+2].[si-1]
pop [bp+di]
push [si] )
还支持所有*作码同义词，如下例所示：
loopz 100
loope 100
ja 200
jnbe 200
对于 8087 *作码，必须指定 wait 或 fwait 前缀，如下例所示：
fwait fadd st,st(3) ; this line assembles
; an fwait prefix

Debug:C（比较）

比较内存的两个部分。
c range address
参数
range
指定要比较的内存第一个区域的起始和结束地址，或起始地址和长度。
address
指定要比较的第二个内存区域的起始地址。有关有效 address 值的信息，请参看“Debug
说明”。
说明
如果 range 和 address 内存区域相同，Debug 将不显示任何内容而直接返回到 Debug
提示符。如果有差异，Debug 将按如下格式显示：
address1 byte1 byte2 addess2
范例
以下命令具有相同效果：
c100,10f 300
c100l10 300
每个命令都对 100h 到 10Fh 的内存数据块与 300h 到 30Fh 的内存数据块进行比较。

Debug 响应前面的命令并显示如下信息（假定 DS = 197F）：
197F:0100 4D E4 197F:0300
197F:0101 67 99 197F:0301
197F:0102 A3 27 197F:0302
197F:0103 35 F3 197F:0303
197F:0104 97 BD 197F:0304
197F:0105 04 35 197F:0305
197F:0107 76 71 197F:0307
197F:0108 E6 11 197F:0308
197F:0109 19 2C 197F:0309
197F:010A 80 0A 197F:030A
197F:010B 36 7F 197F:030B
197F:010C BE 22 197F:030C
197F:010D 83 93 197F:030D
197F:010E 49 77 197F:030E
197F:010F 4F 8A 197F:030F
注意列表中缺少地址 197F:0106 和 197F:0306。这表明那些地址中的值是相同的。

Debug（转储）

显示一定范围内存地址的内容。
d [range]
参数
range
指定要显示其内容的内存区域的起始和结束地址，或起始地址和长度。如果不指定 range
，Debug 程序将从以前 d 命令中所指定的地址范围的末尾开始显示 128 个字节的内容。

有关显示寄存器内容的信息，请参看Debug R（寄存器）。
说明
当使用 d 命令时，Debug 以两个部分显示内存内容：十六进制部分（每个字节的值都用
十六进制格式表示）和 ASCII 码部分（每个字节的值都用 ASCII 码字符表示)。每个非
打印字符在显示的 ASCII 部分由句号 (.) 表示。每个显示行显示 16 字节的内容，第 8
字节和第 9 字节之间有一个连字符。每个显示行从 16 字节的边界上开始。
范例
假定键入以下命令：
dcs:100 10f
Debug 按以下格式显示范围中的内容：
04BA:0100 54 4F 4D 00 53 41 57 59-45 52 00 00 00 00 00 00 TOM.SAWYER......
如果在没有参数的情况下键入 d 命令，Debug 按以前范例中所描述的内容来编排显示格
式。显示的每行以比前一行的地址大 16 个字节（如果是显示 40 列的屏幕，则为 8 个
字节）的地址开头。
对于后面键入的每个不带参数的 d 命令，Debug 将紧接在最后显示的命令后立即显示字
节内容。
如果键入以下命令，Debug 将从 CS:100 开始显示 20h 个字节的内容：
dcs:100 l 20
如果键入以下命令，Debug 将显示范围从 CS 段的 100h 到 115h 中所有字节的内容：

dcs:100 115

[1] [2] [3] [4] 下一页