读书笔记：《加密与解密(第二版)》第四章 动态分析技术

  第四章 动态分析技术

动态分析技术中最重要的工具是调试器，分为用户模式和内核模式两种。

用户模式是指用来调试用户模式的应用程序，它们工作在Ring3级，如Visual C++等编译器自带的调试器。

内核模式调试器是指能调试操作系统内核的调试器，它们处于CPU和操作系统之间，工作在Ring0级，如SoftICE、TRW2000等。

1、 SoftICE调试器

在DriverStudio和SoftICE DriverSuite中捆绑的工具。

具体就看SoftICE安装时的使用文档或者映雪本书带的《加密与解密—SoftICE 使用手册》。

2、 TRW2000调试器

是运行于Windows 9x/ME系统级的调试工具，兼容SoftICE命令和操作，与SoftICE相比有许多优点，如动态装载、动态卸载、随时运行、支持即时写文件、支持更多的新命令等。

与SoftICE相比，TRW2000小的多，解压后运行TRW2000.EXE即可，不用安装或重启。

3、OllyDbg调试器

OllyDbg结合了SoftICE擅长的动态跟踪能力和IDA Pro擅长的静态分析能力，将静态分析与动态分析相结合，是一款用户模式调试器。可以调试多线程应用程序。

解压后运行OllyDbg.exe即可，也不用安装或重启。

4、列举了配置工具和调试过程中的一些典型问题和解答。