软件加密技术内幕

这是一本网上的朋友将网络上的知识加以总结所成的书！在加密行业内有不错的反响。 字串5

主要包括下面的内容 字串7

第1章  PE文件格式深.入研究 字串3

1.1  PE文件格式格式纵览

字串6

   1.1.1  区块（Section）

   1.1.2  相对虚拟地址（Relative Virtual Addresses） 字串6

   1.1.3  数据目录 字串2

   1.1.4  输入函数（Importing Functions）

字串7

1.2  PE文件结构 字串1

   1.2.1  The MS-DOS头部 字串7

   1.2.2  IMAGE_NT_HEADERS头部 字串9

   1.2.3  区块表（The Section Table） 字串6

   1.2.4  各种块（Sections）的描述

   1.2.5  输出表

字串4

   1.2.6  输出转向（Export Forwarding） 字串6

   1.2.7  输入表

   1.2.8  绑定.输入（Bound import） 字串6

   1.2.9  延迟装入数据（Delayload Data） 字串4

   1.2.10  资源

   1.2.11  基址重定位（Base Relocations） 字串9

   1.2.12  调试目录（DebugDirectory） 字串3

   1.2.13  NET头部 字串9

   1.2.14  TLS初始化 字串7

   1.2.15  程序异.常数据 字串9

 

第2章  PE分析工具编写 字串1

2.1  文件格式检查

2.2  FileHeader和OptionalHeader内容的读取

2.3  得到数据目录(Data Dircetory)信息

2.4  得到块表(SectionTable)信息 字串1

2.5  得到.输出表(ExportTable)信息 字串7

2.6  得到输入表(ImportTable)信息 字串5

 

字串9

第3章  Win32 调试API

字串7

3.1  Win32调试API原理 字串9

   3.1.1  调试相关函数简要说明

字串5

   3.1.2  调试事件

字串5

   3.1.3  如何在调试时创建并跟踪一个进程 字串9

   3.1.4  最主要的循环体

   3.1.5  如何处理调试事件

   3.1.6  线程环境详解 字串8

   3.1.7  如何在另一个进程中注入代码 字串9

3.2  利用调试API编写脱壳机 字串7

   3.2.1  tElock 0.98脱壳简介

字串5

   3.2.2  脱壳机的编写

字串2

3.3  利用调试API制作内存补丁

字串4

   3.3.1  跨进程内存存取机制 字串9

   3.3.2  Debug API机制 字串9

 

字串3

第4章  Windows下的异常处理 字串8

4.1  基本概念 字串3

   4.1.1  Windows下的软件异常

字串9

   4.1.2  未公开的可靠吗 字串4

4.2  结构化异常处理（SEH）

字串8

   4.2.1　异常处理的基本过程

   4.2.2  SEH的分类 字串4

   4.2.3  相关API

   4.2.4　SEH相关数据结构

字串2

4.3  异常处理程序设计 字串2

   4.3.1　顶层（top-level）异常处理 字串4

   4.3.2 线程异常处理

字串1

   4.3.3 异常处理的堆栈展开（Stack unwind）

字串2

   4.3.4  异常处理程序设计中的几个注意事项：

4.4  SEH的简单应用 字串4

   4.4.1 Win9x下利用SEH进ring0

   4.4.2  利用SEH实现对自身的单步自跟踪

   4.4.3  其它应用 字串3

4.5  系统背后的秘密 字串2

4.6  VC是如何封装系统提供的SEH机制的 字串9

   4.6.1  扩展的EXCEPTION_REGISTRATION级相关结构

   4.6.2  数据结构组织 字串1

4.7  Windows XP下的向量化异常处理（VEH） 字串8

  字串5

  字串7

第5章  软件加密技术

字串8

5.1  反调试技术（Anti-Debug）

字串5

   5.1.1  句柄检测 字串3

   5.1.2  SoftICE后门指令

   5.1.3  int68子类型

   5.1.4  ICECream子类型 字串5

   5.1.5  判断NTICE服务是否运行 字串5

   5.1.6  INT 1 检测 字串1

   5.1.7  利用UnhandledExceptionFilter检测

字串3

   5.1.8  INT 41子类型 字串8

5.2  反跟踪技术（Anti-Trace） 字串6

   5.2.1  断点检测

字串4

   5.2.2  利用SEH反跟踪

   5.2.3  SMC技术实现 字串8

5.3  反加载技术(Anti-Loader) 字串5

   5.3.1  利用TEB检测 字串7

   5.3.2  利用IsDebuggerPresent函数检测

   5.3.3  检查父进程

5.4  反DUMP技术(Anti-Dump) 字串2

5.5  文件完整性检验 字串3

   5.5.1  CRC校验实现

   5.5.2  校验和（Checksum）

字串2

   5.5.3  内存映像校验

5.6  反监视技术(Anti-Monitor)

字串8

   5.6.1  窗口方法检测 字串9

   5.6.2  句柄检测

5.7  反静态分析技术 字串7

   5.7.1  扰乱汇编代码 字串5

   5.7.2  花指令

字串5

   5.7.3  信息隐藏

5.8  代码与数据结合技术

字串2

5.9  软件保护的若干忠告

      

字串3

第6章  加壳软件编写

6.1  外壳编写基础 字串2

   6.1.1  判断文件是否是PE格式的EXE文件

字串7

   6.1.2  文件基本数据的读入

字串7

   6.1.3  额外数据保留

字串1

   6.1.4  重定位数据的去除 字串1

   6.1.5  文件的压缩 字串3

   6.1.6  资源区块的处理 字串8

   6.1.7  区块的融合

   6.1.8  输入表的处理

   6.1.9  外壳部分的编写 字串4

   6.1.10  将外壳部分添加至原程序 字串8

   6.1.10  小结

字串2

6.2  加壳程序综合运用的实例 字串2

   6.2.1  程序简介 字串4

   6.2.2  加壳子程序（WJQ_ShellBegin（））

字串6

   6.2.3  PE外壳程序 字串5

   6.2.4  加进Anti技术

   6.2.5  通过外壳修改被加壳PE 字串6

   6.2.6  VC++调用汇编子程序 字串4

 

第7章    如何让壳与程序融为一体 字串2

7.1  序

字串3

   7.1.1  为何需要壳和程序一体化

   7.1.2  为阅读此章节需要的知识

   7.1.3  基于此章节用的的例子程序说明

字串3

7.2  欺骗检查壳的工具 字串5

   7.2.1  fi是如何检查壳的

   7.2.2  欺骗fi

7.3  判断自己是否给脱壳了

   7.3.1  判断文件尺寸 字串2

   7.3.2  检查标记 字串5

   7.3.3  外部检测(使用dll)

   7.3.4  hook 相关的api(防止loader和调试api) 字串5

7.4 使用sdk把程序和壳溶为一体 字串9

   7.4.1 sdk的意义 字串8

   7.4.2 做一个带sdk的壳 字串6

7.5 后记:关于壳和程序的思考 字串2

 

 

第8章 Visual Basic 6 逆向工程 字串2

8.1 简介

字串8

8.2 P-code传奇 字串6

8.3 VB编译奥秘

字串9

8.4 VB与COM

字串4

8.5 VB可执行程序结构研究 字串7

8.6 VB程序事件解读 字串2

8.7 VB程序图形界面（GUI）解读

8.8 VB程序执行代码研究

8.9 我们的工具 字串5

8.10 VB程序保护篇 字串1

下载地址：http://bbs.tech.ccidnet.com/read.php?tid=224237&page=e&#a 字串8