Location:
Search - pe api
Search list
Description: PE可执行文件的镶入式程序的编写方法及示例(镶入式后门程序&原程序) 由于Microsoft公司的Windows系统是当前大部分个人电脑所使用的操作系统 主要包括win95,98,me,nt4,2000,xp等,而这些系统所使用的可执行文件的格式基 本上是PE结构的。这里的可执行文件的镶入式程序就是针对PE结构的可执行文件。 这里先简单说一下PE文件框架结构: DOS MZ header DOS stub//在不支持 PE文件格式的操作系统中它将简单显示一个错误提示 PE header//含了许多PE装载器用到的重要信息 Section table//每个Section的信息 Section 1 Section 2 Section 3.... 由于SectionAlignment 块对齐的原因每个Section之间都会产生很多空间, 镶入式程序的代码可以放在Section之间的空位上,比较方便的方法是把代码放在 最后一个Section的末尾,然后更改Misc.VirtualSize和SizeOfRawData这两个位 于Section table的IMAGE_SECTION_HEADER结构数组的成员。如果代码十分的长, 有时候会造成镶入的代码无法被完全加载而产生错误,这时需要更改SizeOfImage 在IMAGE_NT_HEADERS 结构中。 在不同的WINDOWS版本中api调用地址也有不同,为了解决这个问题可以更改引 入表让加载器-PE executable files embedded into the formal process of the preparation methods and examples (Insert-in procedures for the back door
Platform: |
Size: 79185 |
Author: 无间刀 |
Hits:
Description: 此为本书的配套光盘.本书结合实例,重点讲述了软件加密技术及其实施方案,以帮助程序员更好地保护自己的软件。书中介绍了相关系统的底层知识,例如,PE格式深入分析,调试API应用,未公开技术SEH的深入研究等,从而使读者在了解这些底层知识后,可以应用到自己的软件保护方案如各种反跟踪技术的实现中。本书还首度公开了如何编写加壳软件,以及如何将壳与程序融合在一起等一些热门技术。本书由加密解密技术界一流高手共同打造,读者将从本书中获得许多极具商业价值的内幕技术,是专业开发人员不可多得的一本好书。-this be supporting the CD. The book combines examples highlight of the software encryption technology, and its implementation program to help programmers to better protect their software. The book introduced the relevant knowledge of the underlying system, for example, PE format for in-depth analysis and debugging API application, but SEH undisclosed technology in-depth research, thus allowing readers to understand the underlying knowledge, can be applied to their own software to protect various programs, such as anti-tracking technology realization. The book is also the first time publicly how to prepare shell software, and how to shell and procedures for the integration of some other hot technology. The book by the encryption and decryption technology community together to create a first
Platform: |
Size: 3668598 |
Author: 陶立欣 |
Hits:
Description: 加密解密技术内幕
第1章 PE文件格式深入研究
1.1 PE文件格式格式纵览
1.1.1 区块(Section)
1.1.2 相对虚拟地址(Relative Virtual Addresses)
1.1.3 数据目录
1.1.4 输入函数(Importing Functions)
1.2 PE文件结构
1.2.1 The MS-DOS头部
1.2.2 IMAGE_NT_HEADERS头部
1.2.3 区块表(The Section Table)
1.2.4 各种块(Sections)的描述
1.2.5 输出表
1.2.6 输出转向(Export Forwarding)
1.2.7 输入表
1.2.8 绑定输入(Bound import)
1.2.9 延迟装入数据(Delayload Data)
1.2.10 资源
1.2.11 基址重定位(Base Relocations)
1.2.12 调试目录(DebugDirectory)
1.2.13 NET头部
1.2.14 TLS初始化
1.2.15 程序异常数据
第2章 PE分析工具编写
2.1 文件格式检查
2.2 FileHeader和OptionalHeader内容的读取
2.3 得到数据目录(Data Dircetory)信息
2.4 得到块表(SectionTable)信息
2.5 得到输出表(ExportTable)信息
2.6 得到输入表(ImportTable)信息
第3章 Win32 调试API
3.1 Win32调试API原理
3.1.1 调试相关函数简要说明
3.1.2 调试事件
3.1.3 如何在调试时创建并跟踪一个进程
3.1.4 最主要的循环体
3.1.5 如何处理调试事件
3.1.6 线程环境详解
3.1.7 如何在另一个进程中注入代码
3.2 利用调试API编写脱壳机
3.2.1 tElock 0.98脱壳简介
3.2.2 脱壳机的编写
3.3 利用调试API制作内存补丁
3.3.1 跨进程内存存取机制
3.3.2 Debug API机制
第4章 Windows下的异常处理
4.1 基本概念
4.1.1 Windows下的软件异常
4.1.2 未公开的可靠吗
4.2 结构化异常处理(SEH)
4.2.1 异常处理的基本过程
4.2.2 SEH的分类
4.2.3 相关API
4.2.4 SEH相关数据结构
4.3 异常处理程序设计
4.3.1 顶层(top-level)异常处理
4.3.2 线程异常处理
4.3.3 异常处理的堆栈展开(Stack unwind)
4.3.4 异常处理程序设计中的几个注意事项:
4.4 SEH的简单应用
4.4.1 Win9x下利用SEH进ring0
4.4.2 利用SEH实现对自身的单步自跟踪
4.4.3 其它应用
4.5 系统背后的秘密
4.6 VC是如何封装系统提供的SEH机制的
4.6.1 扩展的EXCEPTION_REGISTRATION级相关结构
4.6.2 数据结构组织
4.7 Windows XP下的向量化异常处理(VEH)
第5章 软件加密技术
5.1 反调试技术(Anti-Debug)
5.1.1 句柄检测
5.1.2 SoftICE后门指令
5.1.3 int68子类型
5.1.4 ICECream子类型
5.1.5 判断NTICE服务是否运行
5.1.6 INT 1 检测
5.1.7 利用UnhandledExceptionFilter检测
5.1.8 INT 41子类型
5.2 反跟踪技术(Anti-Trace)
5.2.1 断点检测
5.2.2 利用SEH反跟踪
5.2.3 SMC技术实现
5.3 反加载技术(Anti-Loader)
5.3.1 利用TEB检测
5.3.2 利用IsDebuggerPresent函数检测
5.3.3 检查父进程
5.4 反DUMP技术(Anti-Dump)
5.5 文件完整性检验
5.5.1 CRC校验实现
5.5.2 校验和(Checksum)
5.5.3 内存映像校验
5.6 反监视技术(Anti-Monitor)
5.6.1 窗口方法检测
5.6.2 句柄检测
5.7 反静态分析技术
5.7.1 扰乱汇编代码
5.7.2 花指令
5.7.3 信息隐藏
5.8 代码与数据结合技术
5.9 软件保护的若干忠告
第6章 加壳软件编写
6.1 外壳编写基础
6.1.1 判断文件是否是PE格式的EXE文件
6.1.2 文件基本数据的读入
6.1.3 额外数据保留
6.1.4 重定位数据的去除
6.1.5 文件的压缩
6.1.6 资源区块的处理
6.1.7 区块的融合
6.1.8 输入表的处理
6.1.9 外壳部分的编写
6.1.10 将外壳部分添加至原程序
6.1.10 小结
6.2 加壳程序综合运用的实例
6.2.1 程序简介
6.2.2 加壳子程序(WJQ_ShellBegin())
6.2.3 PE外壳程序
6.2.4 加进Anti技术
6.2.5 通过外壳修改被加壳PE
6.2.6 VC++调用汇编子程序
第7章 如何让壳与程序融为一体
7.1 序
7.1.1 为何需要壳和程序一体化
7.1.2 为阅读此章节需要的知识
7.1.3 基于此章节用的的例子程序说明
7.2 欺骗检查壳的工具
7.2.1 fi是如何检查壳的
7.2.2 欺骗fi
7.3 判断自己是否给脱壳了
7.3.1 判断文件尺寸
7.3.2 检查标记
7.3.3 外部检测(使用dll)
7.3.4 hook 相关的api(防止loader和调试api)
7.4 使用sdk把程序和壳溶为一体
7.4.1 sdk的意义
7.4.2 做一个带sdk的壳
7.5 后记:关于壳和程序的思考
第8章 Visual Basic 6 逆向工程
8.1 简介
8.2 P-code传奇
8.3 VB编译奥秘
8.4 VB与COM
8.5 VB可执行程序结构研究
8.6 VB程序事件解读
8.7 VB程序图形界面(GUI)解读
8.8 VB程序执行代码研究
8.9 我们的工具
8.10 VB程序保护篇
附录A 在Visual C++中使用内联汇编
附录B 在Visual Basic中使用汇编
Platform: |
Size: 1389111 |
Author: vachel |
Hits:
Description: PE可执行文件的镶入式程序的编写方法及示例(镶入式后门程序&原程序) 由于Microsoft公司的Windows系统是当前大部分个人电脑所使用的操作系统 主要包括win95,98,me,nt4,2000,xp等,而这些系统所使用的可执行文件的格式基 本上是PE结构的。这里的可执行文件的镶入式程序就是针对PE结构的可执行文件。 这里先简单说一下PE文件框架结构: DOS MZ header DOS stub//在不支持 PE文件格式的操作系统中它将简单显示一个错误提示 PE header//含了许多PE装载器用到的重要信息 Section table//每个Section的信息 Section 1 Section 2 Section 3.... 由于SectionAlignment 块对齐的原因每个Section之间都会产生很多空间, 镶入式程序的代码可以放在Section之间的空位上,比较方便的方法是把代码放在 最后一个Section的末尾,然后更改Misc.VirtualSize和SizeOfRawData这两个位 于Section table的IMAGE_SECTION_HEADER结构数组的成员。如果代码十分的长, 有时候会造成镶入的代码无法被完全加载而产生错误,这时需要更改SizeOfImage 在IMAGE_NT_HEADERS 结构中。 在不同的WINDOWS版本中api调用地址也有不同,为了解决这个问题可以更改引 入表让加载器-PE executable files embedded into the formal process of the preparation methods and examples (Insert-in procedures for the back door
Platform: |
Size: 78848 |
Author: |
Hits:
Description: 此为本书的配套光盘.本书结合实例,重点讲述了软件加密技术及其实施方案,以帮助程序员更好地保护自己的软件。书中介绍了相关系统的底层知识,例如,PE格式深入分析,调试API应用,未公开技术SEH的深入研究等,从而使读者在了解这些底层知识后,可以应用到自己的软件保护方案如各种反跟踪技术的实现中。本书还首度公开了如何编写加壳软件,以及如何将壳与程序融合在一起等一些热门技术。本书由加密解密技术界一流高手共同打造,读者将从本书中获得许多极具商业价值的内幕技术,是专业开发人员不可多得的一本好书。-this be supporting the CD. The book combines examples highlight of the software encryption technology, and its implementation program to help programmers to better protect their software. The book introduced the relevant knowledge of the underlying system, for example, PE format for in-depth analysis and debugging API application, but SEH undisclosed technology in-depth research, thus allowing readers to understand the underlying knowledge, can be applied to their own software to protect various programs, such as anti-tracking technology realization. The book is also the first time publicly how to prepare shell software, and how to shell and procedures for the integration of some other hot technology. The book by the encryption and decryption technology community together to create a first
Platform: |
Size: 9389056 |
Author: 陶立欣 |
Hits:
Description: 这是一个真正的32位编译器源代码,能直接生成低级机器码和x86 PE可执行文件,能创建GUI或者CUI可执行文件和动态连接库程序,支持byte, word, dword, 单精度浮点数据类型,比较,For, While, Loop 等循环,支持API调用,支持标准常数、自定义数据等,界面漂亮。-This is a real 32-bit compiler source code, junior can directly generate binary and x86 PE executable files, to be able to create GUI or Encoder executable files and dynamic link library that supports byte, word, dword, single precision floating point data types, comparing For, While, Loop and other cycle, support API calls, the standard constant support, custom data, interface beautiful.
Platform: |
Size: 496640 |
Author: 追风少年 |
Hits:
Description: 这篇文章是有关在OS Windows下挂钩API函数的方法。所有例子都在基于NT技术的Windows版本NT 4.0及以上有效(Windows NT 4.0, Windows 2000, Windows XP)。可能在其它Windows系统也会有效。
你应该比较熟悉Windows下的进程、汇编器、PE文件结构和一些API函数,才能明白这篇文章里的内容。
这里使用"Hooking API"这个术语表示对API的完全修改。当调用被挂钩的API时,我们的代码能立刻被执行。我将写下完全的挂钩过程。
-This article is concerned with the OS Windows API function linked to the method. All the examples are based on the NT version of Windows NT 4.0 and above effective (Windows NT 4.0, Windows 2000, Windows XP). In other Windows system will effectively. You may be familiar with the process under Windows, assembler, PE file structure and some API function, in order to understand this article's content. Here the use of "56.6 API," said the term of the complete API changes. When the call was linked to the API, the code can be executed immediately. I will write entirely linked to the process.
Platform: |
Size: 18432 |
Author: inwing |
Hits:
Description: 老罗写的监视pe文件的程序,采用Debug API的技术进行调试监视进程的API调用,了解软件的行为-old Luo wrote the document pe surveillance procedures, Debug API using the technology for the surveillance process debugging API calls, understanding the behavior of software
Platform: |
Size: 99328 |
Author: 康康 |
Hits:
Description: PE Monitor是一个小调试器和反汇编器,用来设置断点在指定的API上。这样,可以通过PE Monitor来监控我们需要的PE程序的运行时信息。-PE Monitor is a small anti-debugger and assembler, used to set breakpoints in the specified API. In this way, through PE Monitor to monitor the procedures we need PE s run-time information.
Platform: |
Size: 99328 |
Author: 张华 |
Hits:
Description: HOOK API,对于一个没有接触过人而言,时个神秘地带,真有那么神秘码?微软提供了这方面的开发包DETOUES,很简单,不需要其他工作就可以实现了,不需要跳转指令,不需要修改PE头,更不需要枚举当前所有进程和即将启动的进程-HOOK API, no contact for a man is concerned, when a mysterious area code really so mysterious? Microsoft provided an SDK DETOUES, very simple, no other work can be achieved, and do not need to Jump instructions, will not need to change PE header, but do not need to enumerate all the current process and will soon start the process of
Platform: |
Size: 808960 |
Author: |
Hits:
Description: WIMGAPI.dll API wrapper to use the WIMGAPI.dll of the Windows PE packages with any language including Visual Basic, Visual FoxPro, VBScript and JScript, without the need of complex code in C to call the difficult and hard to program WIMGAPI.
Only sources I could find did not work, only alternative cost lots of $$$, this one is free hope it can help you as much as it helped me!-WIMGAPI.dll API wrapper to use the WIMGAPI.dll of the Windows PE packages with any language including Visual Basic, Visual FoxPro, VBScript and JScript, without the need of complex code in C to call the difficult and hard to program WIMGAPI.
Only sources I could find did not work, only alternative cost lots of $$$, this one is free hope it can help you as much as it helped me!
Platform: |
Size: 8192 |
Author: Draz |
Hits:
Description: VBAPIHooker - API拦截类(这是主角,它需要用到以下三个类)
VBMemoryAllocator - 内存分配管理类
VBPEFnLocator - PE文件导入/导出函数定位类
VBMiniWindow - 迷你消息窗口类-VBAPIHooker- API interception type (which is the main character, it needs to use the following three categories) VBMemoryAllocator- memory allocation and management VBPEFnLocator- PE file import/export function category positioning VBMiniWindow- mini-message window class
Platform: |
Size: 60416 |
Author: soul |
Hits:
Description: 本书是一本介绍Windows核心技术及高级技巧的专著。从系统内核编程出发,使用大量的例子帮助读者理解这些编程技术,讲述了线程同步及隐藏、系统钩子深入分析、读写物理磁盘的关键技术、读写物理内存和其他进程内存的核心技术、Windows 9x下调用16位实模式和保护模式代码的核心技术、直接读写端口技术、可执行文件加壳的技巧、PE结构分析、Ring0的实现、Windows API截取技术、屏幕取词技术等方面的内容。全书对热点源代码进行了深入剖析和讲解,同时本书汇聚了作者利用Soft-ICE跟踪调试经验,作者多年的编程心得和技巧一览无遗。随书附送的光盘提供了书中涉及的程序源代码。-This book is an introduction Windows core technology and advanced techniques monographs. Starting from the system kernel programming, using a large number of examples to help readers understand the programming techniques described thread synchronization and hidden, system hooks in-depth analysis of the physical disk read and write the key technology, reading and writing physical memory and other processes memory the core technology, Windows 9x next call 16-bit real mode and protected-mode code, the core technology, direct read and write port technology, executable packers skills, PE structural analysis, Ring0 realization, Windows API interception technology, Capture Characters from Screen Technology and other aspects. The book on the hot source code in-depth analysis and explanation, while the book brings together authors tracked the use of Soft-ICE debugging experience, the author many years of programming experience and skills at a glance. CD-ROM supplied with the book provides the p
Platform: |
Size: 49120256 |
Author: 龙文 |
Hits:
Description: 国外的PE动态监控API程序,使用了驱动,很值得借鉴-PE abroad dynamic monitoring API program, using the drive, it is worth learning from
Platform: |
Size: 570368 |
Author: 蓝帝 |
Hits:
Description: This text is about hooking API functions on OS Windows. All examples here completely works on Windows systems
based on NT technology version NT 4.0 and higher (Windows NT 4.0, Windows 2000, Windows XP). Probably
will also work on others Windows systems.You should be familiar with processes on Windows, assembler, PE files
structure and some API functions to understand whole text. When using term ”Hooking API” here, I mean the
full change of API. So, when calling hooked API, our code is run immediately. I do not deal with cases of API
monitoring only. I will write about complete hooking.
Platform: |
Size: 63488 |
Author: Alex |
Hits:
Description: 对pe文件详细介绍 学HOOK API 时能用上-an intrudution to pe file in detail
is useful to hook api
Platform: |
Size: 163840 |
Author: 刘永贵 |
Hits:
Description: api hook ,windows下pe挂钩的, 拦截 改写驱动安装api 的例子 +++++分-api hook ,windows下pe挂钩的, 拦截 改写驱动安装api 的例子+++++分
Platform: |
Size: 77824 |
Author: 马楹坤 |
Hits:
Description: 对FileNet PE的封装,支持对流程定义,流程实例和任务的管理。-Encapsulate FileNet PE API with surporting managemnet for the process definition, process instances and task.
Platform: |
Size: 24576 |
Author: Kevin Shang |
Hits:
Description: 如何自动获取股票最新价格- 美國股票
可以拿最新報價,指標如市盈率 (PE), PEG , 市銷率 (PS), 等等(How to get stock quote by VBA (Yahoo! Finance - USA Stock))
Platform: |
Size: 44032 |
Author: Aqueous
|
Hits:
Description: 关于此文档
范围
本文档公开了Win-Pak SE/PE数据库服务器的API,以开发数据库API客户端应用程序。
目标受众
本文档面向数据库API客户端应用程序的开发人员和客户。(About this Document
Scope
This document exposes the APIs of WIN-PAK SE/PE database server to develop the Database API client application.
Intended Audience
This document is intended for the developers and customers of the Database API client application.)
Platform: |
Size: 1615872 |
Author: 随心。 |
Hits: