软件加密技术内幕2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载

软件加密技术内幕PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

目 录1

第1章PE文件格式的深入分析1

1.1 PE文件格式纵览1

1.1.1 区块3

1.1.2相对虚拟地址5

1.1.3数据目录表6

1.1.4输入函数7

1.2 PE文件结构10

1.2.1 MS-DOS头部10

1.2.2 IMAGE_NT_HEADERS头部10

1.2.3 区块表14

1.2.4各种区块的描述16

1.2.5输出表17

1.2.6输出转向20

1.2.7输入表20

1.2.8绑定输入22

1.2.9延迟装入数据24

1.2.10资源25

1.2.11基址重定位27

1.2.12调试目录29

1.2.13.NET头部30

1.2.14 TLS初始化31

1.2.15程序异常数据32

第2章PE分析工具编写33

2.1文件格式检查34

2.2 FileHeader和OptionalHeader内容的读取36

2.3得到数据目录表信息40

2.4得到区块表信息43

2.5得到输出表信息47

2.6得到输入表信息52

3.1 Win32调试API原理60

3.1.1调试相关函数简要说明60

第3章Win32调试API60

3.1.2调试事件64

3.1.3如何在调试时创建并跟踪一个进程67

3.1.4调试循环体68

3.1.5如何处理调试事件69

3.1.6线程环境详解71

3.1.7如何在另一个进程中注入代码75

3.2利用调试API编写脱壳机77

3.2.1 tElock 0.98脱壳简介77

3.2.2脱壳机的编写78

3.3利用调试API制作内存补丁88

3.3.1跨进程内存存取机制90

3.3.2 Debug API机制92

第4章Windows下的异常处理105

4.1基本概念106

4.1.1 Windows下的软件异常106

4.1.2异常处理的基本过程109

4.1.3 SEH的分类110

4.1.4未公开的可靠吗110

4.2 SEH相关数据结构111

4.2.1TIB结构111

4.2.2 EXCEPTION_REGISTRATION结构112

4.2.3 EXCEPTION_POINTERS,EXCEPTION_RECORD,CONTEXT结构112

4.3异常处理程序原理及设计115

4.3.1相关API116

4.3.2顶层异常处理117

4.3.3线程异常处理121

4.3.4异常处理的堆栈展开132

4.3.5异常处理程序设计中的注意事项142

4.4 SEH的简单应用143

4.4.1 Windows 9x下利用SEH进入RingO143

4.4.2利用SEH实现对自身的单步自跟踪145

4.4.3其他应用147

4.5系统背后的秘密148

4.6 Visual C＋＋如何封装系统提供的SEH机制148

4.6.1扩展的EXCEPTION_REGISTRATION级相关结构149

4.6.2数据结构组织150

4.7 Windows XP下的向量化异常处理157

第5章反跟踪技术161

5.1反调试技术161

5.1.1句柄检测161

5.1.2 SoftICE后门指令163

5.1.3 int68子类型164

5.1.4 ICECream子类型165

5.1.5判断NTICE服务是否运行166

5.1.6 INT 1检测167

5.1.8 INT41子类型169

5.1.7利用UnhandledExceptionFilter检测169

5.2断点检测技术170

5.2.1检测函数首地址170

5.2.2利用SEH防范BPX断点172

5.2.3利用SEH防范BPM断点178

5.3反加载技术（Anti-Loader）183

5.3.1利用TEB检测183

5.3.2利用IsDebuggerPresent函数检测186

5.3.3检查父进程188

5.4反监视技术（Anti-Monitor）189

5.4.2句柄检测190

5.4.1窗口方法检测190

5.5反静态分析技术191

5.5.1扰乱汇编代码191

5.5.2花指令193

5.5.3 SMC技术实现194

5.5.4信息隐藏201

5.6 反DUMP技术（Anti-Dump）204

5.7文件完整性检验207

5.7.1磁盘文件校验实现207

5.7.2校验和211

5.7.3内存映像校验212

5.8代码与数据结合技术216

5.8.1准备工作217

5.8.2加密算法选用219

5.8.3手动加密代码220

5.8.4使.text区块可写221

5.8.5重定位223

5.9软件保护的若干忠告223

第6章加壳软件编写225

6.1外壳编写基础225

6.1.1判断文件是否是PE-EXE文件226

6.1.2文件基本数据的读入229

6.1.3额外数据保留230

6.1.4重定位数据的去除231

6.1.5文件的压缩233

6.1.6资源区块的处理237

6.1.7区块的融合244

6.1.8输入表的处理246

6.1.9外壳部分的编写251

6.1.10将外壳部分添加至原始程序259

6.1.11小结266

6.2加壳程序综合运用的实例267

6.2.1程序简介267

6.2.2加壳子程序（WJQ_ShellBegin()）268

6.2.3 PE外壳程序275

6.2.4加进Anti技术285

6.2.5通过外壳修改被加壳PE287

6.2.6 Visual C＋＋调用汇编子程序289

第7章如何让壳与程序融为一体291

7.1欺骗查壳工具291

7.1.1 FileInfo是如何查壳的291

7.1.2欺骗FileInfo293

7.2判断自己是否被加壳297

7.2.1判断文件尺寸297

7.2.2使用同步对象检查标记298

7.2.3使用原子（Atom）检查标记304

7.2.4使用存储映像文件检查标记308

7.2.5使用线程优先权检查标记311

7.2.6使用外部文件检查标记313

7.2.7使用注册表检查标记318

7.2.8注入一个定时器318

7.2.9外部检测（使用DLL）322

7.2.10 Hook相关的API（防止Loader和调试API）322

7.3使用SDK把程序和壳融为一体322

7.3.1 SDK加密的标记322

7.3.2壳程序检测加密标志324

7.3.3开始加密相关的数据325

7.3.4输出函数的声明327

7.3.5输出函数的执行代码定位328

7.3.6为输出函数得到壳中加密函数做准备329

7.3.7程序中使用加密和解密函数330

7.3.8构造壳中的加密和解密函数330

7.3.9壳寻找程序的输出函数位置332

7.3.10 “毁尸灭迹”，擦除输出函数333

7.3.11壳中分配临时的内存存放加密和解密函数333

7.3.12壳中执行程序输出函数传递参数334

8.1 P-code传奇336

第8章Visual Basic 6逆向工程336

8.2 Visual Basic编译奥秘337

8.3 VisualBasic与COM338

8.4 Visual Basic可执行程序结构研究343

8.5 Visual Basic程序事件解读353

8.6 Visual Basic程序图形界面解读356

8.7 Visual Basic执行代码研究361

8.7.1 Visual Basic函数的解读361

8.7.2 Visual Basic函数调用约定363

8.7.3执行代码中对控件属性的操作364

8.8 P-code代码369

8.8.1理解P-code代码指令370

8.8.2 P-code程序调用约定371

8.8.3调试时中断P-code程序的几种方法371

8.8.4 WKTVB Debugger实现原理372

8.8.5 VisualBasic6P-codeCrackme分析实例378

8.9 Visual Basic程序保护篇383

8.9.1 Anti-Loader技术383

8.9.2 Visual Basic“自锁”功能实现386

8.10相关工具点评386

附录A在 VisualC＋＋中使用内联汇编388

附录B在 Visual Basic中使用汇编403

参考文献405