软件加密技术内幕

.1.2.14 tls初始化 31
1.2.15 程序异常数据 32

第2章 pe分析工具编写 33
2.1 文件格式检查 34
2.2 fileheader和optionalheader内容的读取 36
2.3 得到数据目录表信息 40
2.4 得到区块表信息 43
2.5 得到输出表信息 47
2.6 得到输入表信息 52

第3章 win32 调试api 60
3.1 win32调试api原理 60
3.1.1 调试相关函数简要说明 60
3.1.2 调试事件 64
3.1.3 如何在调试时创建并跟踪一个进程 67
3.1.4 调试循环体 68
3.1.5 如何处理调试事件 69
3.1.6 线程环境详解 71
3.1.7 如何在另一个进程中注入代码 75
3.2 利用调试api编写脱壳机 77
3.2.1 telock 0.98脱壳简介 77
3.2.2 脱壳机的编写 78
3.3 利用调试api制作内存补丁 88
3.3.1 跨进程内存存取机制 90
3.3.2 debug api机制 92

第4章 windows下的异常处理 105
4.1 基本概念 106
4.1.1 windows下的软件异常 106
4.1.2 异常处理的基本过程 109
4.1.3 seh的分类 110
4.1.4 未公开的可靠吗 110
4.2 seh相关数据结构 111
4.2.1 tib结构 111
4.2.2 exception_registration结构 112
4.2.3 exception_pointers，exception_record，context结构 112
4.3 异常处理程序原理及设计 115
4.3.1 相关api 116
4.3.2 顶层异常处理 117
4.3.3 线程异常处理 121
4.3.4 异常处理的堆栈展开 132
4.3.5 异常处理程序设计中的注意事项 142
4.4 seh的简单应用 143
4.4.1 windows 9x下利用seh进入ring0 143
4.4.2 利用seh实现对自身的单步自跟踪 145
4.4.3 其他应用 147
4.5 系统背后的秘密 148
4.6 vc如何封装系统提供的seh机制 148
4.6.1 扩展的exception_registration级相关结构 149
4.6.2 数据结构组织 150
4.7 windows xp下的向量化异常处理 157

第5章 反跟踪技术 161
5.1 反调试技术 161
5.1.1 句柄检测 161
5.1.2 softice后门指令 163
5.1.3 int68子类型 164
5.1.4 icecream子类型 165
5.1.5 判断ntice服务是否运行 166
5.1.6 int 1 检测 167
5.1.7 利用unhandledexceptionfilter检测 169
5.1.8 int 41子类型 169
5.2 断点检测技术 170
5.2.1 检测函数首地址 170
5.2.2 利用seh防范bpx断点 172
5.2.3 利用seh防范bpm断点 178
5.3 反加载技术（anti-loader） 183
5.3.1 利用teb检测 183
5.3.2 利用isdebuggerpresent函数检测 186
5.3.3 检查父进程 188
5.4 反监视技术（anti-monitor） 189
5.4.1 窗口方法检测 190
5.4.2 句柄检测 190
5.5 反静态分析技术 191
5.5.1 扰乱汇编代码 191
5.5.2 花指令 193
5.5.3 smc技术实现 194
5.5.4 信息隐藏 201
5.6 反dump技术(anti-dump) 204
5.7 文件完整性检验 207
5.7.1 磁盘文件校验实现 207
5.7.2 校验和 211
5.7.3 内存映像校验 212
5.8 代码与数据结合技术 216
5.8.1 准备工作 217
5.8.2 加密算法选用 219
5.8.3 手动加密代码 220
5.8.4 使.text区块可写 221
5.8.5 重定位 223
5.9 软件保护的若干忠告 223

第6章 加壳软件编写 225
6.1 外壳编写基础 225
6.1.1 判断文件是否是pe-exe文件 226
6.1.2 文件基本数据的读入 229
6.1.3 额外数据保留 230
6.1.4 重定位数据的去除 231
6.1.5 文件的压缩 233
6.1.6 资源区块的处理 237
6.1.7 区块的融合 244
6.1.8 输入表的处理 246
6.1.9 外壳部分的编写 251
6.1.10 将外壳部分添加至原始程序 259
6.1.11 小结 266
6.2 加壳程序综合运用的实例 267
6.2.1 程序简介 267
6.2.2 加壳子程序（wjq_shellbegin()） 268
6.2.3 pe外壳程序 275
6.2.4 加进anti技术 285
6.2.5 通过外壳修改被加壳pe 287
6.2.6 vc++调用汇编子程序 289

第7章 如何让壳与程序融为一体 291
7.1 欺骗查壳工具 291
7.1.1 fileinfo是如何查壳的 291
7.1.2 欺骗fileinfo 293
7.2 判断自己是否被加壳 297
7.2.1 判断文件尺寸 297
7.2.2 使用同步对象检查标记 298
7.2.3 使用原子（atom）检查标记 304
7.2.4 使用存储映像文件检查标记 308
7.2.5 使用线程优先权检查标记 311
7.2.6 使用外部文件检查标记 313
7.2.7 使用注册表检查标记 318
7.2.8 注入一个定时器 318
7.2.9 外部检测（使用dll） 322
7.2.10 hook 相关的api（防止loader和调试api） 322
7.3 使用sdk把程序和壳融为一体 322
7.3.1 sdk加密的标记 322
7.3.2 壳程序检测加密标志 324
7.3.3 开始加密相关的数据 325
7.3.4 输出函数的声明 327
7.3.5 输出函数的执行代码定位 328
7.3.6 为输出函数得到壳中加密函数做准备 329
7.3.7 程序中使用加密和解密函数 330
7.3.8 构造壳中的加密和解密函数 330
7.3.9 壳寻找程序的输出函数位置 332
7.3.10 “毁尸灭迹”，擦除输出函数 333
7.3.11 壳中分配临时的内存存放加密和解密函数 333
7.3.12 壳中执行程序输出函数传递参数 334

第8章 visual basic 6 逆向工程 336
8.1 p-code传奇 336
8.2 vb编译奥秘 337
8.3 vb与com 338
8.4 vb可执行程序结构研究 343
8.5 vb程序事件解读 353
8.6 vb程序图形界面解读 356
8.7 vb执行代码研究 361
8.7.1 vb函数的解读 361
8.7.2 vb函数调用约定 363
8.7.3 执行代码中对控件属性的操作 364
8.8 p-code代码 369
8.8.1 理解p-code代码指令 370
8.8.2 p-code程序调用约定 371
8.8.3 调试时中断p-code程序的几种方法 371
8.8.4 wkt vb debugger实现原理 372
8.8.5 vb6 p-code crackme分析实例 378
8.9 vb程序保护篇 383
8.9.1 anti-loader技术 383
8.9.2 vb“自锁”功能实现 386
8.10 相关工具点评 386
附录a在visual c++中使用内联汇编 388
附录b 在visual basic中使用汇编 403