在阅读本书前，读者需要如下基础知识：

1.汇编语言（必须掌握）
读者应该对汇编语言有大致的了解。这方面的书籍品种很多，如《IBM PC汇编语言程序设计》，《王爽汇编》等，虽然大多数书以DOS汇编为讲解平台，但对理解汇编指令功能依然有益。

2.C编程语言（可选）
并不是必须的，但读者如果熟悉和了解C语言对阅读本书是很有帮助的。

3.Win32编程（可选）
建议掌握一些Win32编程，不论研究加密与解密，还是编程，都应该了解Win32编程。Win32编程是API方式的Windows程序设计，学习Windows API能使读者更深入地了解Windows工作方式。此类书籍推荐您阅读Charles Petzold所著的《Windows程序设计》，该书堪称经典之作，它以C语言为讲解平台。

希望准备学习加密与解密的朋友，先花点时间掌握这方面的知识，对自己的学习大有帮助。

出版发行：电子工业出版社
开 本：1194×889 1/16 [I]（说明：现国内外纸张规格分大度（1194×889）和正度（1092×787）开切，一般书用的是1092×787）[/I]
页 码：544
价 格: ￥59.00元
字 数：1018千字
出版日期：2008-06

看雪学院网站创建于2000年，一直遵循纯技术主题的发展策略，不但在行业中树立了令人尊敬的专业形象，更使一大批专业人士和专家聚集在这里，形成了一个技术交流的网上家园，已经成为中国软件安全领域公认的最权威的技术站点。正是由于这个优势，看雪网站组织相关技术领域的朋友撰写安全相关的图书。欢迎有志于展示自己才华和实力的朋友一起参与进来。
目前这套系列图书有《加密与解密（第三版）》，《0day安全：漏洞分析技术》，《.net的安全研究》等。

本书以加密与解密为切入点，讲述了软件安全领域许多基础知识和技能，如调试技能、逆向分析、加密保护、外壳开发、虚拟机设计等。读者在掌握本书的内容，很容易在漏洞分析、安全编程、病毒分析、软件保护等领域扩展，这些知识点都是相互的，彼此联系。国内高校对软件安全这块领域教育重视程度还不够，许多方面还是空白，而近年来社会和企业对软件安全技术人才需求逐年上升。从就业角度来说，掌握这方面技术，可以提高自身的职场竞争能力；从个人成长角度来说，研究软件安全技术有助于掌握许多系统底层知识，是提升职业技能的重要途径。。作为一名合格的程序员，除了掌握需求分析，设计模式等，如能掌握一些系统底层知识，熟悉整个系统的底层结构，对自己的工作必将获益良多。
本书可以作为大中专学校或培训机构的软件安全辅助教材，是安全技术爱好者、调试人员、程序开发人员不可多得的一本好书。

2001年9月，《加密与解密(第一版)》
2002年7月，《加密与解密(第一版)》繁体版
2003年6月，《加密与解密(第二版)》
2004年6月，《加密与解密(第二版)》繁体版
2008年6月， 自第二版以来，间隔五年，《加密与解密(第三版)》正式出版

看雪首席版主。经验丰富的大龄程序员。1992年上大学始接触电脑，1997年读研期间接触网络并自学加密解密技术，一发不可收拾，其时常在教育网BBS灌水。喜多方涉猎，亦能抓住一点深入钻研，对逆向分析技术尤为痴迷。多年来常在看雪论坛灌水，见证了论坛的风风雨雨，也结识了一些不错的朋友。
参与章节：
第5章  5.1 序列号保护方式
第14章  14.5 软件保护的若干忠告

看雪核心专家团队成员。看雪论坛ID为cnbragon，现攻读密码学专业硕士学位。最初的爱好是网络安全，进而研究软件的逆向工程，对密码学的兴趣由此而发。对密码学的各个方面都有所涉猎，尤其擅长密码学在软件保护中的应用研究。独立完成了一个加密算法库CryptoFBC。译作有《程序员密码学》。
个人主页：www.cnbragon.cn
参与章节：第6章  加密算法

看雪技术专家。看雪论坛ID为cyclotron，复旦大学在读硕士研究生，复旦大学日月光华BBS黑客与系统安全版版主，致力于Windows环境下可执行文件的加密解密与逆向工程研究。主要作品有EmbedPE、IDT Protector、PEunLOCK等。
个人主页：cyclotron.yculblog.com
参与章节：第8章  8.3 伪编译

看雪核心专家团队成员。看雪论坛ID为tankaiha，生于六朝古都南京，硕士研究生毕业，现任某研究所工程师，工作之余好与计算机为伴。2002年接触汇编并热衷于病毒技术学习，后偶遇看雪学院，遂终日游戏于程序加密与解密，不可自拔。2006年与kanxue及坛中数位好友成立.net安全小组DST（Dotnet Reverse Team），共同探讨.net平台下的软件安全技术。
个人主页：http://vxer.cn/blog
参与章节：第9章  .Net平台加解密

看雪技术专家。毕业于石油大学（华东）计算机科学与技术专业。擅长C/C++、ASM和驱动程序开发。对面向对象程序设计和Windows系统底层的研究有丰富的经验。很高兴这次能与各位高手一起合作，也希望能与编程爱好者及加密解密爱好者更多的交流。
主页：http://www.w-yong.com
参与章节：第10 章  10.15 编写PE分析工具

看雪技术专家。来自江苏江阴，计算机业余爱好者，兴趣爱好广泛。
参与章节：第13章  13.6 附加数据

看雪技术核心权威。看雪论坛ID为DiKeN，2002年毕业于兰州大学，计算机科学与技术专业。爱好逆向工程，iPB（inside Pandora's Box）组织创始人（在这儿更是要感谢组织的兄弟姐妹们，大家团结友好，互相学习，为iPB的成功作出了巨大努力），曾在2002年编写过《加密与解密实战攻略》算法部分。
参与章节：第13章  13.10 静态脱壳

看雪技术天才。70后一代，非计算机专业的业余爱好者。1998年开始接触逆向与破解，迄今已近10年，终于达到了“知道自己不知道”的境界。感兴趣的方向包括壳、虚拟机保护、病毒引擎、Rootkit。后两项还处于只知道名字的水平，愿与有共同爱好的朋友一起学习。
E-mail：softworm2003@hotmail.com
参与章节：第13章  13.9.2 Thmedia的SDK分析

看雪技术专家。多年专业研究软件加解密技术。
参与章节：第14章  14.1 防范算法求逆

看雪技术核心权威。看雪论坛ID为ljtt，喜欢学习编程技术，常用编程语言为VC/MASM。对PB、VFP的反编译有深入的研究，写过DePB、FoxSpy等程序。平时大多数时间都在电脑上耕作，最大的希望是能够领悟到编程的精髓，写一个自己比较满意的作品。
E-mail：shellfan@163.com
参与章节：第14章  14.2.2 SMC技术实现

看雪技术导师。看雪论坛ID为forgot，1989年生，看雪论坛外壳开发小组组长。熟悉Win32平台和80x86汇编，擅长代码的逆向，对壳的研究比较多。
E-mail：forgot@live.com
参与章节：
第12章  12.4.1 虚拟机介绍
第14章  14.2.4 简单的多态变形技术
第15章  反跟踪技术

看雪资深技术权威。看雪论坛ID为Hying，擅长加壳技术，拥有独立创作的加密利器。
E-mail：newhying001@163.com
参与章节：第16章  外壳编写基础

看雪技术天才。看雪论坛ID为bughoho，1990年生，来自四川，看雪论坛虚拟机开发小组组长，目前工作主要是从事逆向研究。
个人自述：记得14岁时家里买了台电脑，使我对编程有了极大的兴趣。16岁上高一时已对读书彻底不感兴趣，于是退学（现在的我才发现，我并不是对读书感兴趣，而是对教育制度的反感）。后来听了家人的意见，转读四川新华电脑学校，感受颇多，一月之后便退学，至于为什么我就不说了。17岁时，一个偶然的机会，使我对逆向有了浓厚的兴趣，并接触到看雪论坛，也认识到了kanxue。承蒙kanxue抬举，让我执笔虚拟机这一章，由于我并不是一个才高八斗的人，所以写得也没有那么的妙笔生花、鬼斧神工了。
参与章节：第17章  虚拟机的设计

看雪技术专家。资深程序员，由加解密知识起接触编程，对Windows底层机制有多年的研究经验。后由于工作需要，接触C++/ATL/COM等技术。现致力于研究各种Moder C++的元素的应用范围及其对降低程序复杂度所起的作用，热切关注ISO C++以及分布式计算相关内容的进展。
参与章节：
第18章  18.2.1 跨进程内存存取机制
18.2.2  Debug API机制
18.2.3 利用调试寄存器机制

看雪资深版主。看雪论坛ID为linhanshi，武汉大学电力系统及其自动化专业，『工具分区』区版主，对论坛的工具版块发展做出了重大贡献。
个人主页：http://blog.csdn.net/linhanshi
参与章节：第18章  18.4 补丁工具

看雪技术专家。看雪论坛ID为Yonsm，软件工程师，从事视频编解码和多媒体软件设计工作。对Windows和Windows Mobile系统有比较深入的了解。
主页：WWW.Yonsm.NET
E-mail：Yonsm@163.com
参与章节：附录B  在Visual C++中使用内联汇编

注意：从光盘上拷贝文件到硬盘时，要注意改变文件属性，取消“只读”属性，否则可能会出现一些奇怪的错误。

光盘:
├─Autorun.exe  ;运行仅显示书的封面，单击退出，并打开光盘目录。
├─chap01 第1章  基础知识
│  ├─1.2 Windows操作系统
│  │  ├─1.2.4 Windows 9x与Unicode
│  │  │  ├─bin
│  │  │  └─src
│  │  └─1.2.5 NT与Unicode
│  │      ├─bin
│  │      └─src
│  └─1.4 认识PE格式
├─chap02 第2章  动态分析技术
│  ├─2.1 OllyDbg调试器
│  │  ├─2.1.4 基本操作
│  │  │  ├─bin
│  │  │  │  ├─ASCII版
│  │  │  │  └─Unicode版
│  │  │  └─src
│  │  ├─2.1.5 断点
│  │  │  ├─1．INT 3断点
│  │  │  │  ├─bin
│  │  │  │  └─src
│  │  │  └─6．条件断点
│  │  ├─2.1.6 插件
│  │  │  ├─ODbgScript 入门系列
│  │  │  │  └─脚本样例
│  │  │  └─插件开发SDK
│  │  └─OllyDBG工具
│  └─2.2 SoftICE调试器
│      ├─INT3
│      ├─SoftICE中文手册
│      └─Winice.dat文件
│          ├─Windows 2000-XP
│          └─Windows9x
├─chap03 第3章  静态分析技术
│  ├─3.1 文件类型分析
│  │  ├─3.1.1 PEiD工具
│  │  └─3.1.2 FileInfo工具
│  ├─3.2 静态反汇编
│  │  ├─3.2.1 反汇编引擎
│  │  ├─3.2.12 结构体
│  │  │  ├─C头文件样例
│  │  │  └─结构体
│  │  │      ├─bin
│  │  │      └─src
│  │  ├─3.2.13 枚举类型
│  │  │  ├─bin
│  │  │  └─src
│  │  ├─3.2.15 IDC脚本
│  │  │  ├─实例1．查看输入函数
│  │  │  ├─实例2．用IDC分析加密代码
│  │  │  └─实例3．查看输出函数
│  │  ├─3.2.16 FLIRT
│  │  ├─3.2.2 IDA Pro的简介
│  │  │  └─ReverseMe
│  │  │      └─SRC
│  │  └─相关工具
│  ├─3.3 可执行文件的修改
│  │  └─HIEW
│  └─3.4 静态分析技术应用实例
│      ├─3.4.1 解密初步
│      │  ├─bin
│      │  └─src
│      ├─3.4.2 逆向工程初步
│      │  └─己修改的
│      └─习题
│          └─ReverseMe
├─chap04 第4章  逆向分析技术
│  ├─4.1 启动函数
│  │  ├─bin
│  │  └─src
│  ├─4.2 函数
│  │  ├─4.2.1 函数的识别
│  │  │  ├─bin
│  │  │  └─src
│  │  ├─4.2.2 函数的参数
│  │  │  ├─1．利用堆栈传递参数
│  │  │  └─2．利用寄存器传递参数
│  │  │      ├─fastcall
│  │  │      │  ├─bin
│  │  │      │  └─src
│  │  │      └─this指针
│  │  │          ├─bin
│  │  │          └─src
│  │  └─4.2.3 函数的返回值
│  │      ├─1．用return操作符返回值
│  │      └─2．通过参数按传引用方式返回值
│  │          ├─bin
│  │          └─src
│  ├─4.3 数据结构
│  │  ├─4.3.1 局部变量
│  │  │  ├─bin
│  │  │  └─src
│  │  ├─4.3.2 全局变量
│  │  │  ├─bin
│  │  │  └─src
│  │  └─4.3.3 数组
│  │      ├─bin
│  │      └─src
│  ├─4.4 虚函数
│  │  ├─bin
│  │  └─src
│  ├─4.5 控制语句
│  │  ├─4.5.1 IF-THEN-ELSE语句
│  │  │  ├─bin
│  │  │  └─src
│  │  ├─4.5.2 SWITCH-CASE语句
│  │  │  ├─SWITCH-CASE语句
│  │  │  │  ├─bin
│  │  │  │  └─src
│  │  │  └─SWITCH-CASE语句跳表
│  │  │      ├─bin
│  │  │      └─src
│  │  ├─4.5.4 条件设置指令
│  │  │  ├─bin
│  │  │  └─src
│  │  └─4.5.5 纯算法实现逻辑判断
│  │      ├─bin
│  │      └─src
│  ├─4.6 循环语句
│  │  ├─bin
│  │  └─src
│  └─4.7 数学运算符
│      ├─4.7.1 整数的加法和减法
│      │  ├─bin
│      │  └─src
│      ├─4.7.2 整数的乘法
│      │  ├─bin
│      │  └─src
│      └─4.7.3 整数的除法
│          ├─bin
│          └─src
├─chap05 第5章  常见的演示版保护技术
│  ├─5.1 序列号保护方式
│  │  └─5.1.4 注册机制作
│  │      ├─1．明码比较软件的攻击
│  │      │  └─KeyMake工具
│  │      │      ├─keymake
│  │      │      └─KeyMake动画教学
│  │      └─2．非明码比较
│  │          └─serial
│  │              ├─keygen
│  │              │  ├─bin
│  │              │  └─src
│  │              └─内嵌汇编的keygen
│  │                  ├─bin
│  │                  └─src
│  ├─5.2 警告（Nag）窗口
│  │  └─己修改的
│  ├─5.3 时间限制
│  │  └─5.3.3 拆解时间限制保护
│  │      └─己修改的
│  ├─5.4 菜单功能限制
│  ├─5.5 KeyFile保护
│  │  └─keygen
│  ├─5.6 网络验证
│  │  ├─bin
│  │  │  └─crack
│  │  ├─idc脚本
│  │  └─src
│  │      ├─source_client
│  │      └─source_server
│  ├─5.7 CD-Check
│  ├─5.8 只运行一个实例
│  │  ├─修改后
│  │  └─原文件
│  └─习题
├─chap06 第6章  加密算法
│  ├─6.1 单向散列算法
│  │  ├─6.1.1 MD5算法
│  │  │  ├─MD5calculator
│  │  │  │  ├─bin
│  │  │  │  └─src
│  │  │  └─MD5KeyGenMe
│  │  │      ├─KeyGen
│  │  │      │  ├─bin
│  │  │      │  └─src
│  │  │      └─MD5KeyGenMe
│  │  │          ├─bin
│  │  │          └─src
│  │  └─6.1.2 SHA算法
│  │      ├─KeyGen
│  │      │  ├─bin
│  │      │  └─src
│  │      └─SHA1KeyGenMe
│  │          ├─bin
│  │          └─src
│  ├─6.2 对称加密算法
│  │  ├─6.2.1 RC4流密码
│  │  │  ├─bin
│  │  │  └─src
│  │  ├─6.2.2 TEA算法
│  │  │  ├─KeyGen
│  │  │  │  ├─bin
│  │  │  │  └─src
│  │  │  └─TEAKeyGenMe
│  │  │      ├─bin
│  │  │      └─src
│  │  ├─6.2.3 IDEA算法
│  │  │  ├─IDEAKeyGenMe
│  │  │  │  ├─bin
│  │  │  │  └─src
│  │  │  └─KeyGen
│  │  │      ├─bin
│  │  │      └─src
│  │  ├─6.2.4 BlowFish算法
│  │  │  ├─BlowfishKGM
│  │  │  │  ├─bin
│  │  │  │  └─src
│  │  │  └─keygen
│  │  │      ├─bin
│  │  │      └─src
│  │  └─6.2.5 AES算法
│  │      ├─AESKeyGenMe
│  │      │  ├─bin
│  │      │  └─src
│  │      └─keygen
│  │          ├─bin
│  │          └─src
│  ├─6.3 公开密钥加密算法
│  │  ├─6.3.1 RSA算法
│  │  │  ├─RSAKeyGenMe
│  │  │  │  ├─KeyGen
│  │  │  │  │  ├─bin
│  │  │  │  │  └─src
│  │  │  │  └─RSAKeyGenMe
│  │  │  │      ├─bin
│  │  │  │      └─src
│  │  │  └─RSA演示
│  │  │      ├─客户端
│  │  │      │  ├─bin
│  │  │      │  └─src
│  │  │      │      └─Release
│  │  │      └─服务端
│  │  │          ├─bin
│  │  │          └─src
│  │  │              └─Release
│  │  ├─6.3.2 ElGamal公钥算法
│  │  │  ├─ElgamalKGM
│  │  │  │  ├─bin
│  │  │  │  └─src
│  │  │  └─KeyGen
│  │  │      ├─bin
│  │  │      └─src
│  │  ├─6.3.3 DSA数字签名算法
│  │  │  ├─bin
│  │  │  └─src
│  │  └─6.3.4 椭圆曲线密码编码学
│  │      ├─bin
│  │      └─src
│  ├─6.4 其他算法
│  │  ├─6.4.1 CRC32算法
│  │  └─6.4.2 Base64
│  │      └─Base64inC
│  ├─6.5 常见加密库接口及其识别
│  │  ├─6.5.1 Miracl大数运算库
│  │  │  └─MiraclStudy
│  │  │      ├─bin
│  │  │      └─src
│  │  └─6.5.2 FGInt
│  │      └─FGIntStudy
│  │          ├─bin
│  │          └─src
│  └─tools
│      ├─calculator
│      │  ├─base64
│      │  ├─BigCalc
│      │  │  ├─bigcalc
│      │  │  └─calcpro
│      │  ├─BigIntCalc_by_readyu
│      │  ├─dm_Hash Calculator
│      │  ├─PPSIQS
│      │  ├─RDLP
│      │  └─离散对数
│      │      ├─dlptool_by_figugegl
│      │      └─DLPTool_by_readyu
│      ├─DSA
│      ├─MD5
│      └─RSA
│          └─RSATool
├─chap07 第7章  Delphi程序
│  ├─Delphi 5.0
│  ├─Delphi 6.0
│  │  └─src
│  └─Delphi 7.0
│      └─模块初始化
├─chap08 第8章  Visual Basic程序
│  ├─8.2 自然编译（Native）
│  │  └─8.2.2 VB程序比较方式
│  ├─8.3 伪编译（Pcode）
│  │  ├─8.3.1 虚拟机与伪代码
│  │  │  └─2．虚拟机实例分析
│  │  ├─8.3.2 动态分析VB P-code程序
│  │  ├─8.3.4 VB P-code攻击实战
│  │  └─tools
│  └─资料
│      ├─vb4实例
│      ├─VB结构文档
│      └─运行库
│          ├─VB3.0
│          ├─VB4.0
│          ├─VB5.0
│          └─VB6.0
├─chap09 第9章  .NET平台加解密
│  ├─9.1 .net概述
│  │  └─9.1.3 第一个.net程序
│  ├─9.2 MSIL与元数据
│  │  └─9.2.2 .net下的汇编MSIL
│  ├─9.3 代码分析技术
│  │  ├─9.3.1 静态分析
│  │  ├─9.3.2 动态调试
│  │  └─9.3.3 代码修改
│  │      ├─再编译patch
│  │      └─直接修改
│  ├─9.4 代码保护技术及其逆向
│  │  ├─9.4.1 强名称
│  │  ├─9.4.2 名称混淆
│  │  │  ├─sample1042_1
│  │  │  ├─sample1042_2
│  │  │  └─sample1042_3
│  │  ├─9.4.3 流程混淆
│  │  ├─9.4.4 压缩
│  │  │  └─bsp加壳
│  │  └─9.4.5 加密
│  │      ├─CodeVeil保护
│  │      └─国外壳
│  ├─9.5 深入.net
│  │  ├─9.5.1 反射与CodeDOM
│  │  ├─9.5.2 Unmaganed API
│  │  │  ├─Debugger
│  │  │  │  └─Debuggers under .NET
│  │  │  └─Profiler
│  │  │      └─一个只监测方法参数和返回值的profiler
│  │  └─9.5.3 Rotor、MONO与.net内核
│  │      └─Mono
│  │          └─Mono.Cecil, the most powerfull tool you've never heard of
│  └─工具
│      ├─加壳
│      │  ├─bsp
│      │  ├─Sixxpack11
│      │  └─Sixxpack20
│      ├─反混淆
│      │  ├─DeFlowOb
│      │  ├─deobfuscator
│      │  ├─DOBSTR
│      │  ├─dreaman的名称反混淆工具
│      │  └─rick的反混淆工具MetaEditor
│      ├─反编译
│      │  ├─ildasm修正版
│      │  └─Reflector
│      │      └─Reflector的插件
│      ├─强名称
│      │  ├─RE Assign
│      │  ├─snreplace
│      │  └─StrongNameRemove
│      ├─文件结构与元数据
│      │  ├─asmex
│      │  ├─CFF_Explorer
│      │  └─ResourceNet2
│      ├─脱壳
│      │  └─NETUnpack
│      └─调试
├─chap10 第10章  PE文件格式
│  ├─10.10 TLS初始化
│  ├─10.12 延迟装入数据
│  ├─10.15 编写PE分析工具
│  │  └─PEInfo_example
│  │      ├─bin
│  │      └─src
│  ├─10.1~10.7 实例
│  │  ├─PE32
│  │  ├─PE32+
│  │  └─VC头文件
│  ├─10.8 基址重定位
│  ├─10.9 资源
│  └─tools
│      ├─LordPE
│      └─Stud_PE
├─chap11 第11章  结构化异常处理
│  ├─11.2 SEH相关数据结构
│  └─11.3 异常处理回调函数
│      ├─bin
│      └─src
├─chap12 第12章  专用加密软件       
│  ├─12.1 认识壳
│  │  └─12.1.2 压缩引擎
│  │      ├─aPLib
│  │      ├─JCALG1
│  │      └─LZMA
│  ├─12.2 压缩壳
│  │  ├─12.2.1 UPX
│  │  └─12.2.2 ASPack
│  ├─12.3 加密壳
│  └─12.4 虚拟机保护软件
│      └─12.4.2 VMProtect简介
│          └─SDK
├─chap13 第13章  脱壳技术
│  ├─13.10 加密壳
│  │  ├─13.10.1 ASProtect
│  │  │  ├─Emulate standard system functions
│  │  │  ├─SDK修复
│  │  │  └─VolX脚本
│  │  └─13.10.2 Thmedia
│  ├─13.2 寻找OEP
│  │  ├─13.2.1 根据跨段指令寻找OEP
│  │  │  ├─加壳后的
│  │  │  └─没加壳
│  │  └─13.2.4 根据编译语言特点找OEP
│  │      ├─Borland C++
│  │      │  ├─Borland C++ 1999
│  │      │  └─Borland C++ 5.0
│  │      ├─Delphi
│  │      │  ├─Delphi 5.0
│  │      │  ├─Delphi 6.0
│  │      │  └─Delphi 7.0
│  │      ├─GCC
│  │      │  ├─CUI(控制台用户界面)
│  │      │  └─GUI(图形用户界面)
│  │      ├─Visual Basic
│  │      │  ├─Native
│  │      │  │  └─VB 6.0
│  │      │  └─P_code
│  │      │      └─VB 6
│  │      └─Visual C++
│  │          ├─Visual C++ 6.0
│  │          ├─Visual C++ 7.0
│  │          ├─Visual C++ 8.0
│  │          └─Visual C++ 9.0
│  ├─13.3 抓取内存映像
│  │  └─13.3.2 反DUMP技术(Anti-Dump)
│  │      └─Modify_the_read_right
│  │          ├─bin
│  │          └─src
│  ├─13.4 重建输入表
│  │  ├─13.4.2 确定IAT的地址和大小
│  │  ├─13.4.3 根据IAT重建输入表
│  │  │  ├─内存Dump取的程序
│  │  │  ├─加壳后的
│  │  │  ├─没加壳
│  │  │  └─输入表己重建的程序
│  │  └─13.4.4 ImportREC重建输入表
│  │      ├─apitest
│  │      ├─RebPE
│  │      ├─TestWin
│  │      └─tools
│  ├─13.5 DLL文件脱壳
│  │  ├─ReloREC
│  │  ├─加壳的
│  │  ├─动画演示
│  │  │  ├─13.5.1 寻找OEP
│  │  │  └─13.5.4 构造重定位表
│  │  ├─没加壳
│  │  └─脱壳后
│  ├─13.6 附加数据
│  │  ├─原文件
│  │  └─脱壳后
│  ├─13.7 PE文件的优化
│  │  ├─优化后文件
│  │  └─加壳的
│  ├─13.8 压缩壳
│  │  ├─13.8.1 UPX外壳
│  │  │  ├─1．UPXPR保护
│  │  │  │  └─tools
│  │  │  └─2．手动脱UPX的壳
│  │  │      ├─原文件
│  │  │      └─脱壳后的文件
│  │  └─13.8.2 ASPack外壳
│  │      ├─原文件
│  │      ├─己加ASPack壳
│  │      └─脱壳后
│  └─13.9 静态脱壳
│      ├─13.9.1 外壳Loader的分析
│      └─13.9.2 编写静态脱壳器
│          └─unaspack10804
├─chap14 第14章  软件保护技术
│  ├─14.2 抵御静态分析
│  │  ├─14.2.1 花指令
│  │  ├─14.2.2 SMC技术实现
│  │  └─14.2.4 简单多态变形技术
│  ├─14.3 文件完整性检验
│  │  ├─14.3.1 磁盘文件校验实现
│  │  │  ├─bin
│  │  │  └─src
│  │  │      ├─add2crc32
│  │  │      │  └─Release
│  │  │      └─crc32
│  │  │          └─Release
│  │  └─14.3.3 内存映像校验
│  │      ├─1. 对整个代码数据校验
│  │      │  ├─bin
│  │      │  └─src
│  │      │      ├─add2memcrc32
│  │      │      └─memcrc32
│  │      └─2. 校验内存代码片段
│  │          ├─bin
│  │          └─src
│  └─14.4 代码与数据结合技术
│      └─codeEncrypt
│          ├─codeEncrypt
│          │  └─Release
│          └─Encrypter
│              ├─bin
│              └─src
├─chap15 第15章  反跟踪技术
│  ├─15.1 由BeingDebugged引发的蝴蝶效应
│  │  ├─15.1.1 BeingDebugged
│  │  ├─15.1.2 NtGlobalFlag
│  │  └─15.1.3 Heap Magic
│  ├─15.2 回归Native用户态的梦魇
│  │  ├─15.2.1 CheckRemoteDebuggerPresent
│  │  ├─15.2.2 ProcessDebugPort
│  │  │  └─《Windows NT 2000 Native API Reference》
│  │  ├─15.2.3 ThreadHideFromDebugger
│  │  │  └─DisableDebugEvent
│  │  │      ├─bin
│  │  │      └─src
│  │  ├─15.2.4 Debug Object
│  │  ├─15.2.5 SystemKernelDebuggerInformation
│  │  ├─15.2.6 Native API
│  │  │  └─1．认识Native API
│  │  └─15.2.7 Hook和AntiHook
│  │      ├─2. AntiHook_Splicing
│  │      │  ├─一个小花招
│  │      │  ├─如何中断Themida的MessageBox对话框
│  │      │  └─对付API-splicing的一种简单方法
│  │      └─3. 小结
│  └─15.3 真正的奥秘：小技巧一览
│      ├─15.3.1  SoftICE检测方法
│      │  ├─Back Door
│      │  │  ├─bin
│      │  │  └─src
│      │  ├─BoundsChecker后门
│      │  ├─int1
│      │  │  └─Release
│      │  ├─int41
│      │  │  └─Release
│      │  ├─MeltICE
│      │  │  └─Release
│      │  ├─NticeService
│      │  │  └─Release
│      │  └─UnhandledExceptionFilter
│      │      └─Release
│      ├─15.3.2 OllyDbg检测方法
│      │  └─6.SetUnhandledExceptionFilter方法
│      ├─15.3.3 调试器漏洞
│      ├─15.3.4 防止调试器附加
│      └─15.3.5 父进程检测
│          └─CheckParentProc
│              ├─Win 2000&XP
│              │  ├─bin
│              │  └─src
│              └─Win98& 2000&XP
│                  ├─bin
│                  └─src
├─chap16 第16章  外壳编写基础
│  └─PE-Armor_VC版
│      ├─bin
│      └─src
├─chap17 第17章  虚拟机的设计
│      └─vm.rar
├─chap18 第18章  补丁技术
│  ├─18.1 文件补丁
│  │  └─patch
│  │      ├─VC版
│  │      │  ├─bin
│  │      │  └─src
│  │      └─汇编版
│  │          ├─bin
│  │          └─src
│  ├─18.2 内存补丁
│  │  ├─18.2.1 跨进程内存存取机制
│  │  │  ├─bin
│  │  │  └─src
│  │  ├─18.2.2 Debug API机制
│  │  │  ├─bin
│  │  │  └─src
│  │  ├─18.2.3 利用调试寄存器机制
│  │  │  ├─1．利用Single Step机制
│  │  │  │  ├─bin
│  │  │  │  └─src
│  │  │  └─2．利用ntdll.ntcontinue作为跳板
│  │  │      ├─bin
│  │  │      └─src
│  │  └─18.2.4 DLL劫持技术
│  │      ├─doc
│  │      ├─lpk
│  │      │  ├─bin
│  │      │  └─src
│  │      ├─tools
│  │      ├─ws2_32
│  │      │  ├─bin
│  │      │  └─src
│  │      └─原文件
│  ├─18.3 SMC补丁技术
│  │  ├─18.3.1 单层SMC补丁技术
│  │  │  ├─SMC后的文件
│  │  │  └─原文件
│  │  └─18.3.2 多层SMC补丁技术
│  │      ├─SMC后的文件
│  │      └─原文件
│  └─18.4 补丁工具
│      ├─CodeFusion的使用
│      └─tools
│          ├─CodeFusion
│          └─dup
├─chap19 第19章  代码的二次开发
│  ├─19.2 增加空间
│  │  ├─tools
│  │  │  └─CFF_Explorer
│  │  ├─原文件
│  │  │  └─pediy
│  │  │      ├─bin
│  │  │      └─src
│  │  └─增加区块
│  ├─19.3 获得函数的调用
│  │  ├─19.3.1 增加输入函数
│  │  │  ├─修改后
│  │  │  └─原文件
│  │  └─19.3.2 显式链接调用DLL
│  │      ├─修改后
│  │      └─原文件
│  ├─19.4 代码的重定位
│  │  ├─19.4.1 修复重定位表
│  │  │  ├─修改后
│  │  │  └─原文件
│  │  └─19.4.2 代码的自定位技术
│  │      ├─修改后
│  │      └─原文件
│  ├─19.5 增加输出函数
│  │  ├─原文件
│  │  └─增加输出函数
│  ├─19.6 消息循环
│  │  └─pediy
│  │      ├─bin
│  │      └─src
│  ├─19.7 修改WndProc扩充功能
│  │  ├─修改后的
│  │  └─原文件
│  └─19.8 增加接口
│      ├─19.8.1 用DLL增加功能
│      │  ├─原文件
│      │  └─用DLL增加功能
│      │      ├─bin
│      │      └─src
│      └─19.8.2 扩展消息循环
│          ├─修改后的程序
│          │  ├─bin
│          │  └─src
│          ├─原程序
│          └─增加菜单
├─附录A  浮点指令
│  └─bin
├─附录B  在Visual C++中使用内联汇编
└─document
    ├─API      ;API手册
    ├─Library   
    └─opcode

                 看雪软件安全网站
                 http://www.pediy.com
                                                   二〇〇八年六月
──────────────────────────────────────────────
             (c)2000-2008 PEdiy.com All rights reserved.By PEDIY

18.2.4 DLL劫持技术
13.5 DLL文件脱壳