目 录

译者序

序言

第1章始料未及

1.1后台编程

1.2动态连接帮助窥探

1.3 NDW的内部

1.4开放的工具：不再是未公开的Windows

1.5最后是未公开的Windows

1.5.1 自由系统资源详述

1.5.2保护模式问题

1.6继续深入Norton Desktop

1.7 Microsoft对未公开Windows的应用

1.8未公开的调试

1.9 Microsoft的商业化应用程序和语言产品

1.9.1 “长城”以及FTC对Microsoft的调查

1.9.2 Geary事件

1.10在Windows内部

1.11 为何不公开它们？

1.12恐惧、厌恶与可移植性

1.12.1 NT又怎样？

1.13未公开函数的安全使用

第2章考查Windows可执行程序

2.1 使用MAPWIN

2.2 使用EXEDUMP

2.3 用EXEDUMP-EXPORTS生成.DAT文件

2.4 用EXEDUMP的-MAGIC和-DESC选项进行快速剖析

2.6 用EXEUTIL-FINDUNDOC搜索未公开的函数

2.5 使用EXEUTIL

2.7 用EXEUTIL-UNDOC搜索未公开的函数调用

2.8用EXEUTIL-IMPORTS搜索对API函数的调用

2.9 用EXEUTIL-DIFF发现DLL变异

2.10 用EXEUTIL-DUPES探索等价函数

第3章反汇编Windows

3.1 反汇编TASKMAN

3.2 TASKMAN技术

3.3考查API函数和数据结构

第4章剖析的工具

4.1 Windows Spies,Walkers和Debuggers

4.1.1 HEAPWALK

4.1.2 SPY

4.1.5 Windows调试版

4.1.3 Windows版的CodeView

4.1.4 WDEB386

4.1.6 其他剖析工具

4.2 Soft-ICE/Windows

4.2.1 使用 WINICE反汇编

4.2.2 WINICE断点

4.2.3 WINICE程序的系统信息命令

4.3 WINIO库

4.3.1 一个交互式命令Shell

4.3.2 程序常驻内存

4.3.3安装事件处理程序

4.3.4 WINIO菜单

4.3.5 WINIO的行操作功能

4.4 CALLFUNC：方便地动态连接

4.4.1 CALLFUNC的GP错误处理

4.5 使用SNOOP查看未公开的WM消息

4.5.1 利用WndProc跟踪消息

4.5.2 SNOOP的一个独特功能

4.6 利用WISPY观察中断

4.6.1 启动DOS窗

4.6.2 调整WINIO

4.7 Windows浏览程序

第5章 KERNEL:Windows系统服务

5.1 KERNEL版本

5.2 KERNEL数据结构

5.3句柄，无处不在的句柄

5.4 KERNEL引入和引出

5.6 未公开的KERNEL函数

5.5 KERNEL初始化

5.7使用未公开函数

第6章 USER:Microsoft Windows用户接口

6.1 USER数据结构

6.2 USER堆

6.3 USER对象

6.3.1全局对象

6.3.2用户局部堆对象

6.4 USERWALK

6.5 USER的引出和引入

6.6 USER中的未公开函数

6.7 USER组成

6.8使用未公开的USER函数

第7章未公开的Windows消息

7.1固有的WndProc

7.2未公开的控制消息

第8章GDI

8.1 GDI数据结构

8.2 GDIWALK

8.3 GDI堆

8.4 GDI中的引出和引入

8.5未公开的GDI函数

8.6使用未公开的GDI函数

第9章SYSTEM

第10章Tool Help：未公开Windows的部分替换

10.1oolHelp能替代哪些未公开功能？

10.2利用ToolHelp编程时的各种考虑

10.3在自己的软件产品中使用ToolHelp

10.4 ToolHelp的函数

10.5堆函数

10.6 Windows数据结构访问函数

10.7调试及其他函数

10.8示例程序：WinWalk

10.8.1全局堆，十六进制显示，以及局部堆遍历

10.8.2任务列表

10.8.3模块列表

10.8.4类列表

10.9示例程序：Coroner

10.9.1运行Coroner

10.9.2 Coroner代码

10.9.3对增强模式的建议

附录：WINIO库的说明