壳

壳是一段执行于原始程序前的代码。原始程序的代码在加壳的过程中可能被压缩、加密……。当加壳后的文件执行时，壳－这段代码先于原始程序运行，他把压缩、加密后的代码还原成原始程序代码，然后再把执行权交还给原始代码。 软件的壳分为加密壳、压缩壳、伪装壳、多层壳等类，目的都是为了隐藏程序真正的OEP（入口点，防止被破解）。
加壳软件 作者编好软件后，编译成exe可执行文件。 1.有一些版权信息需要保护起来，不想让别人随便改动，如作者的姓名，即为了保护软件不被破解，通常都是采用加壳来进行保护。 2.需要把程序搞的小一点，从而方便使用。于是，需要用到一些软件，它们能将exe可执行文件压缩， 3.在黑客界给木马等软件加壳脱壳以躲避杀毒软件。实现上述功能，这些软件称为加壳软件。加壳一般属于软件加密，现在越来越多的软件经过压缩处理，给汉化带来许多不便，软件汉化爱好者也不得不学习掌握这种技能。脱壳软件 软件加壳是作者写完软件后，为了保护自己的代码或维护软件产权等利益所常用到的手段。目前有很多加壳工具，既然有矛，自然就有盾，只要我们收集全常用脱壳工具，那就不怕他加壳了。软件脱壳有手动脱和自动脱壳之分

反向编译

　　高级语言源程序经过 编译 变成可执行文件，反编译就是逆过程。　　但是通常不能把可执行文件变成高级语言源代码，只能转换成汇编程序。　　计算机软件反向工程（Reversepengineering）也称为计算机软件还原工程，是指通过对他人软件的目标程序（可执行程序）进行“逆向分析、研究”工作，以推导出他人的软件产品所使用的思路、原理、结构、算法、处理过程、运行方法等设计要素，作为自己开发软件时的参考，或者直接用于自己的软件产品中。　　反编译是一个复杂的过程,所以越是高级语言,就越难于反编译,但目前还是有许许多多的反编译软件:　　VB: VBExplorer 和VBRezQ;只能反编译界面图像,好像代码不能完全反编译　　JAVA: JAD ;java的反编译比较常见,所以反编译比较完全， 将class文件反编译成java文件也是有可能的　　C++ : eXeScope　　Dephi: DEDE　　c#:Reflector 侦壳查看软件是否加壳以及加壳的类型 

pe工具

　　通用 PE 工具箱是一款极适合于网管、装机人员使用的多功能WinPE系统维护工具箱，它基于Windows PE制作，支持USB 2.0/SCSI/Netcard等设备，操作简便，界面清爽。您可以使用它进行磁盘分区、格式化、磁盘克隆、修改密码、数据恢复、系统安装等一系列日常应急维护工作。相比同性质的DOS系统维护工具，PE工具箱更容易操作、更容易上手。并且它有体积小，启动超快等特点，相信它能提高您的维护效率。　　【软件特点】　　引用:　　1、EXE解压缩安装，操作简便。　　2、完美支持安装PE到2000/XP/2003/Vista/2008等系统。　　3、进入PE后可安装XP/2003/Vista/2008等系统　　4、PE支持128m内存机器启动。　　5、支持大部分常见的SATA硬盘。 　　6、启动相当迅速，在大量机器上测试，一般不超过30秒。　　7、采用Vista风格进行界面美化，实用更加美观。　　8、可以设置PE的启动密码，防止别人乱用。　　9、可以配合插件实现更多功能。　　10、可以通过工具生成ISO文件。　　11、完善的卸载，不会遗留任何文件　　12、精心修改了启动文件，不会和其它类似的工具箱发生冲突　　通用 PE 工具箱 更新：　　1、加入直接生成ISO模块，可以直接生成光盘通用PE！安装完成有提示，还可以在开始菜单里手动选择。　　提供两种ISO模式：一种是直接启动模式，一种是EASYBOOT合盘模式，如果您愿意让PE直接启动，请选择直接启动模式，如果您想把PE用于合盘，请选择EASYBOOT合盘模式。同时支持设置个性化光标卷标、随意设置ISO文件输出路径，十分人性化！　　2、调整了GHOST，支持手动运行GHOST32（没有使用最新的11.5，据说11.5有BUG）　　3、修改了安装代码。　　包含的工具（基础）：　　引用:　　Ghost一键备份还原　　Ghost 映像浏览器 　　Windows用户密码修改　　WINPM硬盘管理大师　　VDM虚拟光驱　　FinalData 数据恢复　　WINRAR 文件解压　　Windows安装助手　　PTDD        ……　　这个PE工具箱的工具采用基础+选择的模式      

网络嗅探

　　网络嗅探是指利用计算机的网络接口截获目的地为其它计算机的数据报文的一种手段。　　网络嗅探需要用到网络嗅探器，其最早是为网络管理人员配备的工具，有了嗅探器网络管理员可以随时掌握网络的实际情况，查找网络漏洞和检测网络性能，当网络性能急剧下降的时候，可以通过嗅探器分析网络流量，找出网络阻塞的来源。嗅探器也是很多程序人员在编写网络程序时抓包测试的工具，因为我们知道网络程序都是以数据包的形式在网络中进行传输的，因此难免有协议头定义不对的。　　网络嗅探的基础是数据捕获，网络嗅探系统是并接在网络中来实现对于数据的捕获的，这种方式和入侵检测系统相同，因此被称为网络嗅探。网络嗅探是网络监控系统的实现基础，首先就来详细地介绍一下网络嗅探技术，接下来就其在网络监控系统的运用进行阐述。　　我们通常所说的“Packet sniffer”指的是一种插入到计算机网络中的偷听网络通信的设备，就像是电话监控能听到其他人通过电话的交谈一样。与电话电路不同，计算机网络是共享通信通道的。共享意味着计算机能够接收到发送给其他计算机的信息。捕获在网络中传输的数据信息就称为Sniffing（窃听）。　　一个“Sniffer”程序能使某人“听”到计算机网络的会话。不同的是，计算机的会话包括的显然就是随机的二进制数据。因此网络偷听程序也因为它的“协议分析”特性而著名，“协议分析”就是对于计算机的通信进行解码并使它变得有意义。　　和电话窃听相比，Sniffer有一个好处是：许多网络用的是“共享的介质”。以太网是现在应用最广泛的计算机联网方式，它就是一个共享的介质。以太网协议是在同一回路向所有主机发送数据包信息。数据包头包含有目标主机的正确地址。一般情况下只有具有该地址的主机会接受这个数据包。如果一台主机能够接收所有数据包，而不理会数据包头内容，这种方式通常称为“混杂”模式。由于在一个普通的网络环境中，账号和口令信息以明文方式在以太网中传输，一旦入侵者获得其中一台主机的root权限，并将其置于混杂模式以窃听网络数据，从而有可能入侵网络中的所有计算机。计算机能够接收到发送给其他计算机的信息。这就意味着你不必打开配线盒来安装你的偷听设备，你几乎在连接到你的邻居的任何一条连接上对于你的邻居进行监听。这就被称为“混杂模式”的监听。但是这种的“共享”技术很快就被“交换”技术所取代，这样利用混杂模式进行监听已经不可能了，这就意味着你不得不进行实际的接线来实现监听。目前一些交换机的监视端口就提供了这种接听方式。　　任何东西都有它的两面性，在黑客的手中，嗅探器就变成了一个黑客利器，如利用ARP欺骗手段，很多攻击方式都要涉及到arp欺骗，如会话劫持和ip欺骗。首先要把网络置于混杂模式，再通过欺骗抓包的方式来获取目标主机的pass包，当然得在同一个交换环境下，也就是要先取得目标服务器的同一网段的一台服务器。 Arp是什么？arp是一种将ip转化成以ip对应的网卡的物理地址的一种协议，或者说ARP协议是一种将ip地址转化成MAC地址的一种协议，它靠维持在内存中保存的一张表来使ip得以在网络上被目标机器应答。ARP就是IP地址与物理之间的转换，当你在传送数据时，IP包里就有源IP地址、源MAC地址、目标IP地址，如果在ARP表中有相对应的MAC地址，那么它就直接访问，反之，它就要广播出去，对方的IP地址和你发出的目标IP地址相同，那么对方就会发一个MAC地址给源主机。而ARP欺骗就在此处开始，侵略者若接听到你发送的IP地址，那么，它就可以仿冒目标主机的IP地址，然后返回自己主机的MAC地址给源主机。因为源主机发送的IP包没有包括目标主机的MAC地址，而ARP表里面又没有目标IP地址和目标MAC地址的对应表。所以，容易产生ARP欺骗。例如：我们假设有三台主机A,B,C位于同一个交换式局域网中，监听者处于主机A，而主机B,C正在通信。现在A希望能嗅探到B->C的数据， 于是A就可以伪装成C对B做ARP欺骗——向B发送伪造的ARP应答包，应答包中IP地址为C的IP地址而MAC地址为A的MAC地址。 这个应答包会刷新B的ARP缓存，让B认为A就是C，说详细点，就是让B认为C的IP地址映射到的MAC地址为主机A的MAC地址。 这样，B想要发送给C的数据实际上却发送给了A，就达到了嗅探的目的。我们在嗅探到数据后，还必须将此数据转发给C， 这样就可以保证B,C的通信不被中断。　　以上就是基于ARP欺骗的嗅探基本原理。