1、文本编码方式Unicode字符把东西方一切文字和符号都用2个字节表示，且在Intel处理器中存放时，低位字节存入低地址，高位字节存入高地址。比如一个英文字串“pediy”的存储示意图如下：图1.1    内存中的ASCII码与Unicode码2、Windows API函数API（Application Programming Interface）的实现关于Win16

第二章 代码分析技术1、认识PE格式Win16平台上可执行文件是NE格式Win32平台（包括Windows 95/98/ME/NT/2000/XP/CE）上，可执行文件是PE格式。PE文件以区块（Section）来组织，每个快都有它自己在内存中的一套属性，比如：这个块是否包含代码、是否只读或可读写等。常见的区块有：.text：在编译或汇编结束时产生的一种块，其内容全是指令代码；

  第三章        静态分析技术机器语言与汇编语言几乎是一致的，因此可将机器语言转化成汇编语言，这个过程叫做反汇编（Disassembler）。一些边解释边执行的语言（解释性语言），可以还原出高级语言的原始结构，这个过程称为反编译（Decompiler）。所谓静态分析，即从反汇编出来的程序清单上分析程序流程，了解模块完成的功能。1、 文件类型分析讲了FileInfo（简称

  第四章 动态分析技术动态分析技术中最重要的工具是调试器，分为用户模式和内核模式两种。用户模式是指用来调试用户模式的应用程序，它们工作在Ring3级，如Visual C++等编译器自带的调试器。内核模式调试器是指能调试操作系统内核的调试器，它们处于CPU和操作系统之间，工作在Ring0级，如SoftICE、TRW2000等。1、 SoftICE调试器在DriverStudio