Установка отладчика SoftICE на Windows XP SP1, SP2

скачать статью

Статья сделана, чтобы снять нагрузку вопросов по сайсу с форума, поэтому прошу экспертов прочесть и помочь может что-то подшлифовать в статье. Спасибо.

От модератора: дальнейшие обсуждения статьи здесь

-----
Всем не угодишь

| Сообщение посчитали полезным:

Не совсем согласен с пунктом:

Теперь в этом же файле Winice.dat нужно удалить все "точки с запятой" около тех строк с названиями файлов, 
которые действиетльно есть по этому адресу на вашей машине.

; EXP=\SystemRoot\System32\hal.dll
; EXP=\SystemRoot\System32\ntoskrnl.exe
; EXP=\SystemRoot\System32\ntdll.dll
; EXP=\SystemRoot\System32\kernel32.dll
; EXP=\SystemRoot\System32\user32.dll
; EXP=\SystemRoot\System32\csrsrv.dll
; EXP=\SystemRoot\System32\basesrv.dll
; EXP=\SystemRoot\System32\winsrv.dll

Если у тебя сделано так как ты и пишешь то хотелось бы глянуть лог загрузки, который можно сохранить через Symbol Loader, только не удаляй из него ничего.. ;)

| Сообщение посчитали полезным:

Asterix
У меня сделано вместо \SystemRoot\ - настоящий путь прописан - как в последней части главы. То есть, ты намекаешь, что как раз это и нужно ?

-----
Всем не угодишь

| Сообщение посчитали полезным:

Нет.

Приаттач лог.

| Сообщение посчитали полезным:

Bad_guy
А вопросик по ходу можно?
У меня Symbol retriever ничего не загрузил (возможно, из-за прокси). Я скачал с мелкософта весь набор .pdb файлов (вдруг пригодится). Дык, и как теперь из них получить .nms? Пробовал запускать nmsym.exe <...>.pdb, он говорит Error - unsupported module type, а потом Translation <...>.pdb succesfully completed. И выдает файл .nms. Вроде бы нормально, но меня смущает размер полученных файлов. Те 8 .pdb файлов занимают не 8М, как у тебя, а 4.5М, а .nms файлы занимают не 1.72М, а 101К. Нормально так или у меня что-то не то?

| Сообщение посчитали полезным:

Asterix Вот он:

================ Thu Dec 23 14:52:41 2004
: X
NTICE: Load32 START=71B20000  SIZE=2D000  KPEB=81CD1B30  MOD=netmsg
001
Int0E Fault in SoftICE at address F2C86EF4 offset 00093C50
Fault Code=00000000
DS=0010 ES=0023 FS=0030 GS=0000 ESI=FFFFFFFF EDI=80591C32 ESP=F2F3EC80
EAX=00000000 EBX=F3C128B0 ECX=00000000 EDX=00000000 EBP=F2F3ECD4

FrameEBP  RetEIP  Syms Symbol
F2F3ECD4  F792973A  N  NTice!.text+00095B74

Raw Stack Dump: ESP=F2F3EC80
F2C85C6E
F7920010
00000086
80591C32
FFFFFFFF
F2F3ECD4
F2F3ECAC
F3C128B0
F792C2EC
82A06F50
NTICE: Load32 START=699D0000  SIZE=13000  KPEB=826C8280  MOD=faultrep
NTICE: Load32 START=77BF0000  SIZE=7000  KPEB=826C8280  MOD=version
NTICE: Load32 START=76330000  SIZE=F000  KPEB=826C8280  MOD=winsta
NTICE: Load32 START=76F40000  SIZE=8000  KPEB=826C8280  MOD=wtsapi32
0008:f2bf4294  ebfe                jmp      f2bf4294                                 (JUMP )
NTICE: Load32 START=400000  SIZE=12000  KPEB=821C5DA8  MOD=Loader32
NTICE: Load32 START=77F50000  SIZE=A8000  KPEB=821C5DA8  MOD=ntdll
NTICE: Load32 START=77E60000  SIZE=E8000  KPEB=821C5DA8  MOD=kernel32
NTICE: NTRaiseHardError found at index 00B6.  Delta=00000000
NTICE: Load32 START=10000000  SIZE=12C000  KPEB=821C5DA8  MOD=cws3xw32
NTICE: Load32 START=77D30000  SIZE=8C000  KPEB=821C5DA8  MOD=user32
NTICE: Load32 START=77C60000  SIZE=40000  KPEB=821C5DA8  MOD=gdi32
NTICE: Load32 START=77DC0000  SIZE=9E000  KPEB=821C5DA8  MOD=advapi32
NTICE: Load32 START=78000000  SIZE=86000  KPEB=821C5DA8  MOD=rpcrt4
NTICE: Load32 START=773C0000  SIZE=7FB000  KPEB=821C5DA8  MOD=shell32
NTICE: Load32 START=77C00000  SIZE=53000  KPEB=821C5DA8  MOD=msvcrt
NTICE: Load32 START=772C0000  SIZE=64000  KPEB=821C5DA8  MOD=shlwapi
NTICE: Load32 START=420000  SIZE=121000  KPEB=821C5DA8  MOD=ole32
NTICE: Load32 START=77330000  SIZE=8B000  KPEB=821C5DA8  MOD=comctl32
NTICE: Load32 START=71A90000  SIZE=15000  KPEB=821C5DA8  MOD=ws2_32
NTICE: Load32 START=71A80000  SIZE=8000  KPEB=821C5DA8  MOD=ws2help
NTICE: Load32 START=71C00000  SIZE=4E000  KPEB=821C5DA8  MOD=netapi32
NTICE: Load32 START=76380000  SIZE=45000  KPEB=821C5DA8  MOD=comdlg32
NTICE: Load32 START=73D90000  SIZE=F2000  KPEB=821C5DA8  MOD=mfc42
NTICE: Load32 START=76050000  SIZE=61000  KPEB=821C5DA8  MOD=msvcp60
NTICE: Load32 START=78090000  SIZE=E4000  KPEB=821C5DA8  MOD=comctl32
NTICE: Load32 START=61EC0000  SIZE=E000  KPEB=821C5DA8  MOD=mfc42loc
NTICE: Load32 START=C30000  SIZE=3D000  KPEB=821C5DA8  MOD=symload
NTICE: Load32 START=C70000  SIZE=260000  KPEB=821C5DA8  MOD=nmtrans
NTICE: Load32 START=746E0000  SIZE=44000  KPEB=821C5DA8  MOD=msctf
NTICE: Load32 START=75F10000  SIZE=1E000  KPEB=821C5DA8  MOD=apphelp
NTICE: Load32 START=76FC0000  SIZE=78000  KPEB=821C5DA8  MOD=clbcatq
NTICE: Load32 START=77110000  SIZE=8B000  KPEB=821C5DA8  MOD=oleaut32
NTICE: Load32 START=77040000  SIZE=C7000  KPEB=821C5DA8  MOD=comres
NTICE: Load32 START=77BF0000  SIZE=7000  KPEB=821C5DA8  MOD=version
NTICE: Load32 START=765F0000  SIZE=4F000  KPEB=821C5DA8  MOD=cscui
NTICE: Load32 START=765D0000  SIZE=1B000  KPEB=821C5DA8  MOD=cscdll
NTICE: Load32 START=75F50000  SIZE=FC000  KPEB=821C5DA8  MOD=browseui
NTICE: Load32 START=76650000  SIZE=E8000  KPEB=821C5DA8  MOD=setupapi
NTICE: Unload32 MOD=asfsipc
NTICE: Unload32 MOD=msisip
NTICE: Unload32 MOD=wshext
NTICE: Unload32 MOD=comdlg32
NTICE: Unload32 MOD=wshru
NTICE: Unload32 MOD=MCPS
NTICE: Unload32 MOD=msvcp60
NTICE: Unload32 MOD=wbemcons
NTICE: Load32 START=400000  SIZE=12000  KPEB=8218C448  MOD=Loader32
NTICE: Load32 START=77F50000  SIZE=A8000  KPEB=8218C448  MOD=ntdll
NTICE: Load32 START=77E60000  SIZE=E8000  KPEB=8218C448  MOD=kernel32
NTICE: Load32 START=10000000  SIZE=12C000  KPEB=8218C448  MOD=cws3xw32
NTICE: Load32 START=77D30000  SIZE=8C000  KPEB=8218C448  MOD=user32
NTICE: Load32 START=77C60000  SIZE=40000  KPEB=8218C448  MOD=gdi32
NTICE: Load32 START=77DC0000  SIZE=9E000  KPEB=8218C448  MOD=advapi32
NTICE: Load32 START=78000000  SIZE=86000  KPEB=8218C448  MOD=rpcrt4
NTICE: Load32 START=773C0000  SIZE=7FB000  KPEB=8218C448  MOD=shell32
NTICE: Load32 START=77C00000  SIZE=53000  KPEB=8218C448  MOD=msvcrt
NTICE: Load32 START=772C0000  SIZE=64000  KPEB=8218C448  MOD=shlwapi
NTICE: Load32 START=420000  SIZE=121000  KPEB=8218C448  MOD=ole32
NTICE: Load32 START=77330000  SIZE=8B000  KPEB=8218C448  MOD=comctl32
NTICE: Load32 START=71A90000  SIZE=15000  KPEB=8218C448  MOD=ws2_32
NTICE: Load32 START=71A80000  SIZE=8000  KPEB=8218C448  MOD=ws2help
NTICE: Load32 START=71C00000  SIZE=4E000  KPEB=8218C448  MOD=netapi32
NTICE: Load32 START=76380000  SIZE=45000  KPEB=8218C448  MOD=comdlg32
NTICE: Load32 START=73D90000  SIZE=F2000  KPEB=8218C448  MOD=mfc42
NTICE: Load32 START=76050000  SIZE=61000  KPEB=8218C448  MOD=msvcp60
NTICE: Load32 START=78090000  SIZE=E4000  KPEB=8218C448  MOD=comctl32
NTICE: Load32 START=61EC0000  SIZE=E000  KPEB=8218C448  MOD=mfc42loc
NTICE: Load32 START=C30000  SIZE=3D000  KPEB=8218C448  MOD=symload
NTICE: Load32 START=C70000  SIZE=260000  KPEB=8218C448  MOD=nmtrans
NTICE: Load32 START=746E0000  SIZE=44000  KPEB=8218C448  MOD=msctf
NTICE: Load32 START=5B260000  SIZE=34000  KPEB=821C5DA8  MOD=uxtheme
NTICE: Load32 START=75A40000  SIZE=A6000  KPEB=821C5DA8  MOD=userenv
NTICE: Load32 START=74730000  SIZE=8F000  KPEB=821C5DA8  MOD=mlang
NTICE: Load32 START=76970000  SIZE=25000  KPEB=821C5DA8  MOD=ntshrui
NTICE: Load32 START=76B00000  SIZE=15000  KPEB=821C5DA8  MOD=atl
NTICE: Load32 START=769A0000  SIZE=14A000  KPEB=821C5DA8  MOD=shdocvw
NTICE: Load32 START=75F10000  SIZE=1E000  KPEB=8218C448  MOD=apphelp
NTICE: Load32 START=76FC0000  SIZE=78000  KPEB=8218C448  MOD=clbcatq
NTICE: Load32 START=77110000  SIZE=8B000  KPEB=8218C448  MOD=oleaut32
NTICE: Load32 START=77040000  SIZE=C7000  KPEB=8218C448  MOD=comres
NTICE: Load32 START=77BF0000  SIZE=7000  KPEB=8218C448  MOD=version
NTICE: Load32 START=765F0000  SIZE=4F000  KPEB=8218C448  MOD=cscui
NTICE: Load32 START=765D0000  SIZE=1B000  KPEB=8218C448  MOD=cscdll
NTICE: Load32 START=75F50000  SIZE=FC000  KPEB=8218C448  MOD=browseui
NTICE: Load32 START=76650000  SIZE=E8000  KPEB=8218C448  MOD=setupapi

-----
Всем не угодишь

| Сообщение посчитали полезным:

Bel пишет:
Нормально так или у меня что-то не то?
Если сайс будет нормально работать, то всё нормально.

-----
Всем не угодишь

| Сообщение посчитали полезным:

Bad_guy
Неа, что-то он у тя не полный. Может прописана команда cls в строке инициализации, вот мой


289528527__WINICE.LOG

| Сообщение посчитали полезным:

Да, CLS там есть.

Есть ещё какие-нибудь замечания по статье ?
Может кто-то ставил также как я в статье и ещё с какими-то проблемами столкнулся/сталкивался - пишите тут.

-----
Всем не угодишь

| Сообщение посчитали полезным:

ю

1846326151__winice.log

-----
Всем не угодишь

| Сообщение посчитали полезным:

Bad_guy Как я предполагал:

NTICE: EXP=C:\WINDOWS\SYSTEM32\HAL.DLL
       Error: Exports already loaded for this module
NTICE: EXP=C:\WINDOWS\SYSTEM32\NTOSKRNL.EXE
       Error: Exports already loaded for this module
NTICE: EXP=C:\WINDOWS\SYSTEM32\NTDLL.DLL
NTICE: EXP=C:\WINDOWS\SYSTEM32\KERNEL32.DLL
       Error: Exports already loaded for this module
NTICE: EXP=C:\WINDOWS\SYSTEM32\SYSTEM32\USER32.DLL
       Error Opening file. Status=C0000225

А теперь сравни с моим, у меня есть хоть какие-нибудь сообщения об ошибках? Потом возьми и закомментарь обратно некоторые(те которые нужно) модули и увидишь что ошибки из лога исчезнут..

| Сообщение посчитали полезным:

Т.е. конкретно вот эти строки раскомментаривать не нужно:

NTICE: EXP=\SystemRoot\system32\kernel32.dll
NTICE: EXP=\SystemRoot\system32\user32.dll
NTICE: EXP=\SystemRoot\system32\gdi32.dll
NTICE: EXP=\SystemRoot\system32\ntoskrnl.exe
NTICE: EXP=\SystemRoot\system32\hal.dll

Всё и так будет загружено, иначе будут возникать ошибки..

| Сообщение посчитали полезным:

Asterix
Если не секретно,дай твой winice.dat для сравнения,может у меня каких строк не хватает.
Bad_guy
>INIT="FAULTS OFF; LINES 60; WIDTH 100; WC 40; X;"
Не самый лучший вариант форточки,надо срочно менять.
УAsterixа форточка гараздо лучше,вот только по ширине великовата.

| Сообщение посчитали полезным:

Ruller
Ну вот..
Ничего особенного в нем нет.


664717239__Winice.dat

| Сообщение посчитали полезным:

А вот скрин, как это всё выглядит.

Кстати у меня монитор работает в разрешении 1024x768,
для 800x600 настройки экрана нужны другие..

_1149203212__SCR.PNG

| Сообщение посчитали полезным:

Спасибо.
Про монитор я вкурсе,у меня тоже 1024Х768.
Попробуй поставить ширину сайса 80 или 90 будет выглядеть кулюторнее,вот у меня какое окно.

;INIT="color f a 4f 1f e;LINES 50;WIDTH 80;WC 24;WD 4;faults off;X;"

| Сообщение посчитали полезным:

У меня окно равномерно растянуто на весь экран, где-то 1-1.5 сантиметра не доходит до края, лучше, для меня, просто быть не может ;)

| Сообщение посчитали полезным:

Asterix пишет:
NTICE: EXP=C:\WINDOWS\SYSTEM32\KERNEL32.DLL
Error: Exports already loaded for this module
Я не думаю, что вот это на что-то влияет - ну загружены уже экспорты ну и фиг с ними. А если эти лишние подробности в статье писать, то только новичков запутаешь...
Asterix пишет:
NTICE: EXP=C:\WINDOWS\SYSTEM32\SYSTEM32\USER32.DLL
Error Opening file. Status=C0000225
А вот это конечно неприятно, но думаю сайсу это тоже пофигу.
Что касается строки инициализации для размеров окна - это не принципиальный вопрос, мне понравился такой размер.

-----
Всем не угодишь

| Сообщение посчитали полезным:

Bad_guy
> А если эти лишние подробности в статье писать, то только новичков запутаешь...

А неправильной информацией ты их никак не запутаешь, ведь не все же вбивают CLS и не смотрят лог ;)

| Сообщение посчитали полезным:

Asterix


-----
Всем не угодишь

| Сообщение посчитали полезным:

Ой, а как SoftICE с Каспером не дружит ппц Процесс в системе висит при запуске Сайса, который сжирает 99% ЦП Реально вылечить, не удаляя Каспра? (Hey, DrGolova )

Нашел информацию на reng.ru. Asterix создавал уже подобный топик, но там всё решилось удалением AVP MONITOR, а без этого никак? =(

| Сообщение посчитали полезным:

Man1ac пишет:
но там всё решилось удалением AVP MONITOR
А нах нужны профи эти долбаные антивири ?

-----
Всем не угодишь

| Сообщение посчитали полезным:

Man1ac
> Asterix создавал уже подобный топик, но там всё решилось удалением AVP MONITOR, а без этого никак? =(

Теперь, там где стоит SoftIce, Каспера у меня вообще нет, он есть только в одной из 3-х моих "виндов", но отключена его автозагрузка - соответственно теперь монитор вообще не стартует.
Файлы, в случае необходимости, всегда можно проверить в одном каталоге, например Download кликнув по нему мышкой и выбрав в менюшке "Kaspersky Anti-Virus Scanner".

| Сообщение посчитали полезным:

Bad_guy пишет:
А нах нужны профи эти долбаные антивири ?
Ну антивирь пригодится, конечно, но вот монитор нафиг не нужен - только систему грузит нехило.

Asterix пишет:
Теперь, там где стоит SoftIce, Каспера у меня вообще нет, он есть только в одной из 3-х моих "виндов", но отключена его автозагрузка - соответственно теперь монитор вообще не стартует.
Да, у меня уже вчера сразу появилась идея отдельного компа для крэка - без всего лишнего =)

Всё понятно. Вердикт - AVP в thrash

| Сообщение посчитали полезным:

Man1ac пишет:
Ну антивирь пригодится, конечно, но вот монитор нафиг не нужен - только систему грузит нехило.
Я про это как раз. Антивирь может быть, но должен быть в "ручном" режиме.
Man1ac пишет:
Да, у меня уже вчера сразу появилась идея отдельного компа для крэка - без всего лишнего =)
Идея отличная - на одном компе "грязными" делами заниматься , а на другом.... играть

-----
Всем не угодишь

| Сообщение посчитали полезным:

Bad_guy
Кстати, эту проблему можно занести как примечание в статью - мол не рекомендуем использовать SoftICE с антивирями

| Сообщение посчитали полезным:

Привет !
Скачал символы как в статье написано:
Теперь нужно подключиться к Интернет и нажать кнопку \"Get Symbols\", отладочные символы скачаются (около 8 Мб) и отконвертируются в подходящий для отладчика SoftICE формат - *.nms, файлы будут находиться в указанной папке - в данном случае в c:\\nmsout, после этого запускаю уже знакомую программу настройки \"DriverStudio Configuration on localhost\", которая лежит по адресу C:\\program files\\Compuware\\DriverStudio\\Common\\Bin\\DSConfig.exe. На вкладке \"SoftICE Initialization - Symbols\", используя кнопку \"Add\", добавляю все полученные ранее *.nms файлы, размер которых в общей сложности составляет у меня 1,72 Мб, поэтому параметр \"Symbol buffer size\" я решил увеличить с 512 до 2048 Кб.

НО !
у меня файлы скачались но не конвертнулись в *.nms, как их можно конвертнуть вручную ?
пробовал запускать nmsym.exe <...>.pdb, он говорит Error - unsupported module type

Как быть ?

| Сообщение посчитали полезным:

dantist пишет:
НО !
у меня файлы скачались но не конвертнулись в *.nms'
Странно. А тебя галочка стояла "Translate 2 NMS after downlad" ?
А отконвертироват можно просто. Опять запустить Symbol Retriver, указать в качестве входной папки ту, в которую символы уже скачались (pdb), потом поставить ту галочку, нажать Get Symbols и они должны отконвертироваться в выходную папку.

-----
Всем не угодишь

| Сообщение посчитали полезным:

После установки согласно рекамендаций сайта у метя получился следующий winise.dat
PENTIUM=ON
NMI=ON
VERBOSE=ON
ECHOKEYS=OFF
NOLEDS=OFF
NOPAGE=OFF
SIWVIDRANGE=ON
THREADP=ON
LOWERCASE=OFF


HST=256
DRAWSIZE=4096
INIT="LINES 50;WIDTH 122;SET FONT 2;COLOR 07 0E 71 1B 0A;WC 20;WD 4;WL 4;FAULTS OFF;X;"
SYM=2048

LOAD=C:\nmsout\user32.nms
LOAD=C:\nmsout\ntoskrnl.nms
LOAD=C:\nmsout\ntdll.nms
LOAD=C:\nmsout\kernel32.nms
LOAD=C:\nmsout\HAL.nms
LOAD=C:\nmsout\csrsrv.nms
LOAD=C:\nmsout\basesrv.nms
LOAD=C:\nmsout\winsrv.nms
DISASSEMBLYHINTS=ON
LOWERCASE=OFF
CODEMODE=OFF

SELECTORS=ON
CHECKSTRINGS=ON
AUTOCONNECT=OFF
NETSUPPORT=OFF
HOSTNAME=SB-IDSPKRN4IPSX
F1="h;"
F2="^wr;"
F3="^src;"
F4="^rs;"
F5="^x;"
F6="^ec;"
F7="^here;"
F8="^t;"
F9="^bpx;"
F10="^p;"
F11="^G @SS:ESP;"
F12="^p ret;"
SF3="^format;"
AF1="^wr;"
AF2="^wd;"
AF3="^wc;"
AF4="^ww;"
AF5="CLS;"
AF11="^dd dataaddr->0;"
AF12="^dd dataaddr->4;"
CF1="altscr off; lines 60; wc 32; wd 8;"
CF2="^wr;^wd;^wc;"
MACROS=32

MOUSE=ON
ECHOKEYS=OFF
NOLEDS=OFF
NOPAGE=OFF
PENTIUM=ON
THREADP=ON
SIWVIDRANGE=ON
MENU=Copy , NMPD_COPY , 0
MENU=Paste , NMPD_PASTE , 0
MENU=Copy&Paste , NMPD_COPYANDPASTE , 0
MENU=Display , NMPD_DISPLAY , 0
MENU=Un-Assemble , NMPD_UNASSEMBLE , 0
MENU=What , NMPD_WHAT , 0
MENU=Prev , NMPD_PREV , 0
MENU=Reip , r eip %cp% , 0
MENU=Add Watch , watch %cp% , 0
MENU=Break On Text , bpx %cp% , 0
MENU=Name , name %cp% , 4
NTSYMBOLS=ON
; WINICE.DAT
; (SystemRoot\System32\Drivers\WINICE.DAT)
; for use with SoftICE for Windows NT (versions 3.0 and greater)
;
; ***** Examples of export symbols that can be included *****
; Change the path to the appropriate drive and directory
; EXP=\SystemRoot\System32\hal.dll
; EXP=\SystemRoot\System32\ntoskrnl.exe
; EXP=\SystemRoot\System32\ntdll.dll
; EXP=\SystemRoot\System32\kernel32.dll
; EXP=\SystemRoot\System32\user32.dll
; EXP=\SystemRoot\System32\csrsrv.dll
; EXP=\SystemRoot\System32\basesrv.dll
; EXP=\SystemRoot\System32\winsrv.dll

все ли у меня правильно, спасибо за советы

| Сообщение посчитали полезным:

elfree пишет:
; EXP=\SystemRoot\System32\hal.dll
; EXP=\SystemRoot\System32\ntoskrnl.exe
; EXP=\SystemRoot\System32\ntdll.dll
; EXP=\SystemRoot\System32\kernel32.dll
; EXP=\SystemRoot\System32\user32.dll
; EXP=\SystemRoot\System32\csrsrv.dll
; EXP=\SystemRoot\System32\basesrv.dll
; EXP=\SystemRoot\System32\winsrv.dll
Вот убери теперь все точки с запятой и дальше действуй исходя из этого топика.

-----
Всем не угодишь

| Сообщение посчитали полезным: