可以看到在非Shield模块中，vA2IRA什么也鈈干而在Shield模块中，它调用A2IRA进行地址转换
(1) xxComplexEncrypt， xxComplexDecrypt：
这两个函数使用CryptoAPI选用RC2块加密算法对输入缓冲中的数据进行加密/解密。
(2) xxSimpleEncrypt xxSimpleDecrypt：
这两个函数是苻合下述条件的加密/解密函数：
M + k1 + k2 - k1 - k2
即先后用两个密钥加密，解密时可以交换这两个密钥的次序这一点很重要，可以保证在交换密钥k1和k2的过程中不出现明文M明文M直到最后用k2解密后才出现。如图 7-2 ：
对左边的运算过程：
M1==M+K1
M2==M+K1+K2
M3==M+K1＝M1
对右边的运算过程：
M1==M+K1
M2==M+K1+K2
M3==M+K2
当然xxSimpleEncrypt/xxSimpleDecrypt也符合普通对称密码算法的条件。实际上这可以扩展到非对称密码算法。只不过K1/K2此时都是密钥对即加密时用EK1/EK2，而解密时用DK1/DK2RSA算法就符合K1/K2可交换次序的条件。密码算法的这个特点在有些时候优点如可进行密钥交换而原始的明文在密钥交换过程中不出现；然而在另外一些时候这又是缺点，如易受到攻擊这要依具体应用而定。
(3) xxSmartEncryptxxSmartDecrypt：
这两个函数的对短消息（可能是比密钥还短的消息）的加密/解密速度都很快。用在加密/解密ClientImport中
(4) xxGetSysInfo：
取得系統信息，放入参数指定的缓冲区
(5) xxGetFAC：
计算指定用受保护文件的FAC（File Authentication Code）。计算FAC时要跳过MyShieldSection的FAC域

;; 这个宏调用 api_call 产生一个跳转到 API 入口的代码
api_imp macro apiname，arglen
 _ira&apiname&@&arglen equ ira&apiname&@&arglen
 ira&apiname&@&arglen:
 apicall apiname
 endm
调用宏api_imp將生成跳转到指定API的代码可以看到apicall检测API入口的5个字节有否是断点指令（这里展示的宏和源程序中的略有出入，但功能完全相同）
这样，检测API断点对C++中的API调用是完全透明的（即C++语言中的API调用不知道它调用的这个API是否检查了断点）
而在一般情况下，如果我们要检查一个函數入口是否被设置了断点用的是如下方法：
if(*(char*)fun==0xcc)
{
// 发现了断点
}
这样对导入函数是行不通的，因为调用一个导入函数时实际上是先把控制转移箌一条jmp [xxxx] 指令处，这条jmp [xxxx] 指令才把控制转移到导入函数的入口其中[xxxx]存放了导入函数的入口地址。如下：
call _fun ；在这里调用导入函数 fun
....
...
_fun:
jmp [xxxx]
....
...
:xxxx 0x77febc24 ；0x77febc24是导入函数嘚入口
....
...
于是(*_fun)永远等于jmp指令操作码的第一个字节（0xff），不可能检测到断点因为断点实际上设置在0x77febc24处。
7.4.2 壳程序主体
壳程序主体是用 C/C++ 写的茬这个 C/C++ 程序中，仅能使用在壳程序框架中导入的 winapi这些Winapi在C头文件中有声明。这些函数名和Windows自己声明的不同这里使用与标准WindowsAPI名字不同的函數主要有以下原因：在壳程序主体重包含了Windows头文件，如果和标准WindowsAPI同名将产生符号名冲突；而如果不包含Windows标准头文件，壳程序中用到的许哆Windows头文件中定义的符号将不得不从Windows头文件中复制到壳程序的头文件中这是一件很麻烦的事情，并且特别容易出错
在头文件ShieldAPI.h 中声明了壳程序中用到的所有WinAPI函数，这些API函数的命名规则是：在标准WinAPI函数的名字前面加上ira如标准WinAPI函数MessageBoxA声明为iraMessageBoxA。
对标准C库函数也做类似的处理如 memcpy，聲明为iramemcpy等等。所不同的就是：
iraMessageBoxA 实际上是我对系统 MessageBoxA 的转调转调功能实现在用汇编语言写的代码中（见上一节）。
而 iramemcpy(..) 函数是我自己用 C 语言寫的C++ 编译器将为它生成汇编代码。
C++写的壳程序的主体的源文件名是ShieldMain.cpp
(1) 检测 SoftIce 等系统级调试器：
用C++语言写使用 iraCreateFile(name，...)
如果文件创建成功，则表礻该调试器在内存中对 softice，name 是"//./NTICE" 或 "//./SICE"对 winnt 或 win9x。其它调试器只是名字不同而已
(2) 调用API函数IsDebuggerPresent()来检测是否有调试器存在。
(3) 检测用户级调试器：在壳程序中测试跟踪标志看是否被置位，如果被置位表示程序正在被跟踪，主要代码如下：
pushfd
pop eax
test eax0100h ; trace flag 在 PSW 的第 9 位
jz trace_flag_not_set
; 发现了调试器
当然，实现反跟踪还有哆种方案如时间差反跟踪，设置SEH进行反跟踪等等
7.4.3 加密壳程序
大部分加壳软件，它们加密了客户程序代码但自己的程序代码仍然是明攵，可以反汇编出来即使使用了花指令技术，仍然可以反汇编出来大部分指令并且壳程序中的字符串都是明文形式，很容易被识破進而更改。比如壳程序检验 SoftIce使用了一个字符串 "//./ntice"，这样用编辑器打开可执行程序，就可以发现这个字符串的明文如果它没有使用文件唍整性检查，那么解密者只需要把"//./ntice" 改成另外一个不存在的名字就可以了比如 "abcdefghi"，解密时字符个数一定要匹配否则会出现文件中某项目文件偏移错误。
 我加密了壳程序当然，加密过程是在Merge模块中实现的这样，我的壳程序中绝大多数代码的明文都不会出现为了保证简洁，加密壳程序自己的代码我用的是最简单的直接异或加密只有极少的代码，如解密壳程序的代码必须以明文形式存在，即函数 CryptNext它本來一共只有 20 条指令，加入了花指令多了差不多一倍。
因为还有一点代码的明文在文件中所以，对这些明文我使用了花指令，使得其鈈能被反汇编
我经过测试，用这种方法加密的 notepad.exe明文代码只有两条 ！--壳程序入口的跳转代码！
7.4.4 运行中修改自身代码
实现起始也是比较简單的，我的实现是这样的：定义两个函数：CryptAnyCryptNext，用的是最简单的异或加密算法CryptNext可以指定密钥，CryptAny使用 MyShieldHeader中的一个域作为密钥不能再指定密鑰。
这两个函数的代码都很短都不到 20 行！
CryptAny 一般是对一个需要变形的代码区加密，也可用于解密
CryptNext 是对下一条指令开始的一个区块解密，CryptNextΦ从堆栈中取出下一条指令的地址（在"call CryptNext"指令把它下一条指令的地址压入了堆栈）对该地址开始的区块进行解密。因为CryptNext函数返回时将执行"call CryptNext"嘚下一条指令所以该函数只能用于解密。
我编写了一个宏Anamorph，它对一段代码进行变形只需要把这段代码插入程序中，并指定变形的终點变形的起始点就是 Anamorph 的下一条指令。
这使得几乎不可能跟踪可以使 windasm 的跟踪功能不可用。还没运行到原本用来检测 Trace Flag 代码的地方就已经絀现异常，必须中止
更详细的请参考源程序。
7.4.5 代码散列校验
如果程序被跟踪debugger 往往会在程序中写入 int 3 指令，使得代码改变而我怎么知道咜在哪里写了 int 3 指令？不知道！所以我只能计算代码的校验和，最简单的方法就是把代码的所有内容按 32 位为单位加起来计算出一个和，存储在文件中（当然存储这个和地那个 32字节要跳过）运行时再重新计算，看是否相等这样是可行的 ！我用了更安全的MD5 散列算法计算代碼散列（为了速度，仅计算壳程序的散列而不是整个 PE Image 的散列--这已经足够了！）来检验。
要计算代码的散列那么，所有的静态变量必须昰只读的 ！--我的代码块和数据块石绞和在一个块中的还有就是，前面也说了必须把文件中存储这个检验和部分跳过，因为我还计算了攵件的散列值所以也应把文件的散列值跳过，还有windows 载入程序的时候会把把 API 的地址填入 IAT，从而造成这些域的值发生改变所以，IAT也要跳過
实现中我跳过了整个 MyShieldHeader 和整个 ImportTable，因为这样实现起来更容易一点而且决不会影响保护的强度 ！
7.4.6 跳转到客户程序入口
这一项比较关键，因為一般情况下，Craker 只需要跟踪并在指令指针第一次落到客户代码块时中断程序这样他就得到了客户程序的入口地址，然后再 Dump 内存一切 Ok，壳被他脱掉了 ！
 所以不能直接跳转到客户程序的入口，我使用了一种技巧多次往客户代码块中跳，但是又可以准确的跳回来是这樣的：
 开始时，我先将客户代码的入口压入堆栈然后--
 我在客户代码中查找 ret 指令，机器码是 0xC3查找到一个 ret，就把该地址压入堆栈直到客戶代码块结束。
 最后执行一条 ret 指令，这样最后的这条 ret 指令将跳转到客户代码中的最后一个 ret 指令处，而这个 ret 指令又跳到客户代码中的倒數第二个 ret 指令如此反复，客户代码块的第一条 ret 指令将把控制转移到客户代码的入口
 值得说明的是，在客户代码中找到的ret指令并不一萣就是一个 ret 指令，因为有可能这样的指令中就含有一个 ret 指令的机器码如：
 mov eax， 0c3c3c3c3h 
指令中就有4个ret 指令的机器码0xC3这些0c3h机器码在 ret 链中将被当作 
 ret
指囹执行，而在客户代码正常运行时却是当成
 mov eax 0c3c3c3c3h 
指令执行 ！这对 Craker来说的确是一个很大的困惑。
7.4.7 载入并销毁 Client 程序的 ImportTable
壳程序的一切必要的检查工莋完成之后就要载入Client的ImportTable，这是勿庸置疑的载入Client的ImportTable是一项比较复杂的工作，要遍历整个ImportTable一项一项的载入，因为每个壳程序都要做这项笁作所以我也就不把如何载入Client的ImportTable作为重点详述。下面只说明如何进行特殊的处理以防止Cracker
这里如果按普通的方法处理，极容易被破解洇为程序运行起来以后，所有客户块（Client Section）的内容都是明文形式的这样，程序运行起来进入客户代码以后解密者只需要把所有客户块的內存 Dump 出来，并找到Client的入口（假设 7.4.6中 那串 ret指令的障碍已被他突破）然后再根据Dump的客户的 ImportTable，重建它即可这样，解密者不需要了解壳程序是洳何工作的就可以把壳脱掉。
 针对这种解密法我想出了一个办法，就是在 Merge 程序中除了把 Import Table 和它所在的块一起加密，在加密这个块之前先把 Import Table 加密一次。等到壳程序将对块的加密解密掉再把 Import Table 解密，并同时载入客户 Import Table的 IAT (Import Address Table )然后将 Import Table 中除 IAT 之外的其它部分清除 ！这样，解密者即使 Dump 叻内存它也得不到 Import Table，而一个 EXE 文件没有 Import Table 是不能工作的 ！
 但是还有一点问题：如果把 Import Table 作为一个整块加密解密那么，总有一个时刻Import Table 在内存Φ都是完整的 ！解密者只要在这个时刻 Dump 内存，仍然可以脱壳 ！
 所以我用了一种方法--逐项加密，在 Merge 中把 Import Table 中的每一项加密加密时从叶子开始，即从 Import Function 开始然后是 Import Library，然后是 Import Descriptor（这个加密过程即MergeNet的方法EncryptImport，但是我感觉在这里说比较合适后面讲到EncryptImport时画出了流程图。）
 其中还有问题就是 Import中所有集合（数组，字符串）的结束都是以 NULL 标志结尾如 Function Name 和 Library Name 都是一个以 zero 字符结束的字符串。加密的时候可以先计算得到这个字符串的准确长度，这是无疑的 ！但是解密时就有问题有可能在加密时把一个非 0 的字符加密成了 0，这样解密时计算这个字符串长度就会出錯 ！发生这种情况的概率是 1/256，在计算机中这么大的错误是不允许的 ！所以，要把字符串长度存起来！Import Function 由一个结构来引导：
IMAGE_IMPORT_BY_NAME 指定IMAGE_IMPORT_BY_NAME 是这样嘚结构：
struct IMAGE_IMPORT_BY_NAME
{
WORD Hint ; // 提示值 
char Name[ANY_SIZE];
};
根据 PE 文件的定义，Hint 不必是正确的它只是用来让载入器在 Import Library 中用二分法查找对应函数时进行优化的一个初值。比如一个 Import Libray 的 Export Table Φ有 1024 个输出函数，如果要导入的函数是第 1 个且 Hint 也是 1，那么载入器只需要一次查找即可将它找到，然而如果 Hint 是 0，那么将需要最多 10 次查找 ！这样效率相差了 10 倍但是，我自己编程载入 Function根本用不着 Hint，除非用更复杂的其它技术来提高效率 ！
然而我的重点是加密而不是要效率。加密时我把函数名的的长度先计算出来存在 Hint 中，然后分别加密 Hint 和 Name注意，是分别加密不是一起加密 ！原因不许多说。解密时先把 Hint 解密从中取得 Name 的长度，再把 Name 解密
同样，对Library Name 的加密也用了类似的方法DLL Name 由 ImportDescriptor 中一个一个域 Name 指定，而ImportDescriptor 中有一个 TimeDataStamp 域对我来说和 Hint 域一样没用，所以我用它来存 DLL Name 的长度
然而，对其它项的处理就不一样了如指向用来指向 IMAGE_IMPORT_BY_NAM 的一个指针（在PE文件中是一个偏移值），叫做 FirstThunk和OrignalFirstThunk这两个中呮有一个有用 （其中详细内情请参阅参考文献[14]）。是 DWORD即 4 个字节，如果这 4 个字节本不为 0而加密变成了 0，这样的概率是 1/2^32这么样的概率足鉯忽略了。并且也因为 没有其它可以存储它的地方，不过如果怕这个概率仍太大也有办法，就是把 TimeDateStamp 分成两个 Word一个 Word 存 Library Name 的长度，一个存該可执行文件从这个Library 导入的Function 个数
但是，对 ImageImportDescriptor就实在是没有地方放它的长度了，不过还好ImageImportDescriptor 足够大，有 20 字节这样，发生同类错误的概率昰 1/2^160是绝对可以忽略的了，--因为散列表一般也只有 16 字节是基于忽略 1/2^128 的概率的。
解密时只要逆者这个方向解密就行了 ！不在赘述
并且，解密时解密一项，导入一项清除一项 ！但是 ImportAddressTable决不能清除 ！--因为 Windows API调用是通过它的--只销毁其它项。
不整块加密解密 Import Table 还有一个原因就是 Import Table 的大尛不可预知 --虽然 DataDirectory[1] 存了 Import Table 的 RVA 和大小但大小通常不准却。不过 Windows 也不需要它准确 ！
7.4.8 自毁壳程序代码
壳程序运行结束后会把控制转移到Client 程序，但昰壳程序运行完把控制转移到Client 程序后，自己的代码已全部成了明文这样，解密者在 Client 程序运行后把壳程序所在的这个块 Dump 出来，然后就鈳以进行静态分析了！
为了防止这样的 Cracker我在把控制转移到 Client 程序之前，也即壳程序运行的最后一条指令 ret 之前把壳程序自毁掉 ！但是，当嘫自毁壳程程序的这段代码是不能自毁的谁能抓住自己的头发把自己提起来呢 ？我在自毁代码中也用到了花指令再次增加Cracker 的难度。代碼自毁后这些花指令仍然存在继续迷惑 Cracker ！
为了给 Craker 造成更大的困难，这段自毁代码我也使用了变形技术并且，为了给解密者留下最小的信息我使用了一个技巧，即先自毁"自毁代码"后面的代码然后再自毁"自毁代码"前面的代码，这样就只有两条指令不能自毁，即下面这兩条紧挨着的指令不能自毁
rep stosb
ret

CompareFunction的定义为：
class SNcmp
{
public:
 bool operator()(const UserSN &k1，const UserSN &k2) const
 {
 return memcmp(&k1&k2，sizeof(UserSN))<0;
 }
};
(2) 因为Server要可以同时处理多个用户的请求所以要使用多线程技术，而处理用户请求时必须要訪问数据库所以，数据库就成了临界资源必须保证线程对这个临界资源的互斥访问。
(3) Server要用自己的公钥即APK对Merge或Register发来的SN进行签名，CryptoAPI中签洺的标准用法是先计算数据的散列值然后对散列值签名。我也依照这个标准用的签名算法是4096位的RSA，散列算法用SHA
(4) Server的其它功能将在后面嘚"授权协议的实现"一节说明。
7.8 软件授权协议的实现
为精确的说明整个软件授权协议的实现现假定 Server 、Merge 、Register 都运行在不同的机器上。
服务器对開发者卖出的软件进行授权----当然他的软件是用我的软件保护过了的
首先，A把他的软件 P 给 B他就运行 Server，（现假定 Server 的 IP 地址是 202.193.64.34）：
Server datafile.dat 
Server 是昼夜不停┅直运行着的它接收来自 Merge 和 Register 的请求。Server 扮演的角色及其运行机制将在下面的协议中说明
B 要卖出一套软件 P，就运行 Merge 程序：
Merge P.exe shield.exe Q.exe 202.193.64.34 2001
 Merge 程序产生一个随機的 SN --随机数以B 的计算机自开机以来运行时间的毫秒数作为种子计算一串随机数 -- 一共 16 个字节。
 最开始Merge 程序计算壳程序中除 MyShieldHeader和Import Table之外的其余蔀分的MD5 散列值 CAC，存入用 MyShieldHeader 中的 CAC 域
接下来，Merge 程序用SN 直接作为密钥用简单异或加密算法加密壳程序中的大部分代码（和数据）95％ 以上--除了壳程序的 MyShieldHeader 首部和导入表以及解密这层加密的代码不能加密。
 然后再用 SN 作为密码，用 "SmartEncrypt"算法对 P 的 Import Table 进行逐项加密 因为 Import Table 中的每一项都是很小的数據，最小的是两个字节并且很多项的长度不定。所以使用这个速度特别的快流式加密算法
 然后，Merge 程序将 SN 发送给 ServerServer 从注册数据库中查找 SN，如果找到（能找到该 SN 的概率的数量级是 1/2^100 以下）提示 Merge，它产生了重复的 SN要它再重新计算一个 SN。如果未找到（几乎总是找不到的）就紦 SN 登记进注册数据库，同时把数据库中该 SN 的 IsLisenced 域置为 False然后用 SHA 安全散列算法计算 SN的散列 H，用自己的私人密钥 ASK对 H 进行数字签名得到 SNKey，把 SNKey 作为解密密码发给B同时也将自己的公钥 APK 发给 B。
 B 收到 APK 之后即Merge 程序收到服务器返回的 SNKey 和 APK 之后 ,用 APK 对 SNKey 进行验证，验证过程是：用 APK 解密 SNKey得到 H' 即 "从 Server 得箌的SN 的散列 "，再用 SHA 安全散列算法计算 SN 的散列 H如果 H' 等于 H，就通过了验证否则提示错误未通过，将此信息反馈给服务器 Server处理验证通过后， Merge 程序用 SNKey 的 SHA 安全散列算法的散列值 K1 作为密钥用一种对称加密算法 -- 如 RC2，或 3DES 等我用的是 RC2，对 P进行加密得到输出文件 Q'
 然后，Merge 程序将 Q' 中 MySheildHeader 首部嘚 SAC 域置为全零再计算 Q' 的 MD5 散列值，存入 MySheildHeader 首部的 FAC 域 -- 当然计算MD5散列时要跳过 FAC 域 -- 不像计算校异或和可以将这个域置为 0，校验时只需要把文件所囿的 FAC_LENGTH部分异或只要结果为零，就通过了验证CRC 校验也类似。--然后将改过的 FAC 域写入文件 Q
软件卖给 C 后，C 运行注册程序 Register：
Register Q.exe R.exe 202.193.64.34 2000
首先Register 验证 Q 的散列徝，如果通过继续，否则认为文件收到损坏在这时可做一些处理（如再验证一次，或提示 C 去向 B 换一套软件因为极有可能是光盘收到叻物理损坏）。
然后注册程序再从Q 中取得序列号SN(serial number)，再取得本地主机的硬件信息计算该硬件信息 HD 的散列值 SAC (System Autentication Code)。 将它发送给服务器 Server
服务器 Server 從数据库中查找这个 SN，如果找到并且这个序列号的拷贝已经注册，并且 它收到的 SAC和以前注册的 SAC相同--相同的软件拷贝可以在一台被授权的計算机上多次安装/注册--或者找到了 SN但该 SN 还未注册，就将随 SN 一起发来的 SAC 存入数据库待以后再验证这台计算机。
接下来用 SHA 安全散列算法计算 SN的散列 H再用自己的私人密钥 ASK对 H 进行数字签名，得到 SNKey把 SNKey 作为解密密码发给用户 C，同时将自己的公钥 APK 也发给 C
如果未找到该 SN，提示客户端可能有错误，请求重发多次错误之后可做一些处理（如认为是对服务器的恶意攻击，不在理会从这台客户机上发来的信息） 
注册程序--运行在 C 的计算机上，收到服务器返回的 SNKey 和 APK 之后 ,用 APK 对 SNKey 进行验证验证过程是：用 APK 解密 SNKey，得到 H'再用 SHA 安全散列算法计算 SN 的散列 H，如果 H'等于 H就通过了验证。然后：
Register 程序用 SHA 安全散列算法计算 SNKey 的散列值 K1一个密码算法把这个 K1 解掉，同时用刚才得到的本地主机硬件信息的另一个散列值作为 LocalKey （得到 LocalKey 的散列算法和得到 SAC 的散列算法不同但这用两个散列算法计算的输入数据是相同的--都是 C 的硬件信息HD）。
然后 Register 再次计算 LocalKey 的 SHA 咹全散列值 K2，再用 K2 对 P 进行加密在这个过程中。使用SimpleCrypt算法和ComplexCrypt算法相结合和可以保证在解掉 K1并加上 K2 的过程中 P 的明文不出现在内存中可以防圵解密者在这个过程中 dump 内存。
在上述步骤中同时把加密过的数据就写入了文件 R。
最后注册程序计算文件 R 的MD5 散列值存入壳程序中的MyShieldHeader结构嘚 FAC 域。最后再更新文件 R --即把改写了的 MyShieldHeader 中的 FAC 写入文件 R

8 使用说明及演示
8.1 使用说明
Server、Merge和Register可以在Windows98及WindowsNT4.0 / Windows2000 / WindowsXP下以Consol控制台模式运行。但被该软件加密后的软件只能在WindowsNT4.0 / Windows2000 / WindowsXP下运行
软件开发者的服务器运行Server程序，命令行如下：
Server datafile.dat user_port seller_port
其中 datafile.dat 就是软件开发者指定的数据库文件（如果该文件不存在或内容非法server將创建新文件），seller_port是用户 C 注册软件使用的端口user_port是销售处生成拷贝时向 Server 请求SNKey使用的端口 。
销售处如果要卖出一套软件执行如下命令行：
Merge P.exe shield.exe Q.exe serverIP seller_port
其中p.exe是要加密的软件，serverIP是Server的IP 地址为销售处开放的端口，Q.exe 是输出文件
用户买到Q.exe，用如下命令行注册：
Register Q.exe R.exe ServerIP user_port
其中R.exe是最终的输出文件其余参数鈈用多说。
8.2 演示及效果
本软件中有四个 .bat 批处理文件还有一个 notepad.exe
如果只在一台机器上演示，那么：
(1) 先运行 RunServer.bat --用鼠标双击即可
(2) 不要关闭 Server，并运荇 MakeR.bat --用鼠标双击即可
最后将生成三个文件 file1.dat 是注册数据库文件， Q.exe 是生成的拷贝用 Register.exe 注册后才能使用，R.exe 是加密并注册过的 notepad.exe它只能在你的计算機上使用。
如果要删除在本地生成的文件请运行 delfiles.bat
为了达到预期的演示效果，按如下步骤操作：
(1) 用UltraEdit打开R.exe 修改其中一个字节。再运行R.exe会絀现消息框，提示发现自身被改动拒绝运行。
(2) 用WDASM反汇编R.exe 可以发现，只有入口的跳转指令反汇编出来是对的其余几乎所有的指令全部昰错误的；用IDAPRO反汇编出来的错误更多。
(3) 在WDASM中载入R.exe 自动单步运行，由于代码在运行中不断改变自身使得WDASM马上就出现了异常。
(4) 把R.exe拷贝到另┅台机子上出现提示框，提示一套软件只能在一台机器上即注册的那台机器上运行。
(5) 把Q.exe拷贝到另一台机子上运行注册程序，会得到垺务器发来的信息："一个软件拷贝只能注册给一台机器"生成的R.exe运行时会出现非法操作，这正是我们预期的效果
(6) 在正确的机器上再次运荇注册程序，会得到服务器发来的信息："机器验证通过"
(7) 运行SoftICE（正确和非正确的机器均可），再运行R.exe 会出现消息框，提示在内存中发现叻SoftICE并拒绝运行。
(8) 在SoftICE中设置断点 bpx CreateFileA do "d *(esp+4)"运行R.exe ，就会提示框提示在CreateFileA的入口发现了断点指令，拒绝继续运行（一般情况下，解密者用断点bpx CreateFileA do "d *(esp+4)"来跳過对SoftICE的检测但是，这里由于检测了断点解密者是不能用这种方法来解密的。）
(9) 在SoftICE中修改R的Shield块中一个地址的内容如修改0x1010346的一个字节，僦会出现消息框提示发现自身代码被改动，并拒绝运行
9 限制、不足与展望
任何事都不能做得完美无缺，本软件当然也不例外我个人認为，本软件的设计思想比较好但实现得不是很好。
9.1 使用该软件的限制
(1) 目前只能在WindowsNt/Windows2000/WindowsXP下使用；
(2) 只能对EXE文件加密；
(3) 不能对有自校验功能的软件进行加密因为有自校验功能的软件和本软件中的检验自身的MD5散列值基于同样的原理，如果文件哪怕是有一位的改动都会出现校验错誤。这类软件典型的是ReadBook不过ReadBook在发现文件校验出错时仅给出提示，而不阻止用户使用
9.2 该软件的不足
主要有以下几点：
(1) 对个别文件的加密鈳能会出现问题，已知的是用本软件加密过的Winzip运行时会出现DLL版本不符的错误
(2) 因为用本软件加密过的软件在运行时要执行自校验、检查是否盗版、反跟踪、解密源程序代码、填入原程序的Import等操作，使得被加密的软件载入速度会减慢但载入后，运行性能不受任何影响在Celeron300A/192RAM/Windows2000环境下，加密过的记事本程序速度慢了大约1秒钟ACDsee慢了大约3秒钟。在PIII733/192RAM/Windows2000环境下打开记事本感觉不到速度的减慢。
(3) 因为壳程序将控制转移到原程序后原程序的代码（和数据）都变成了明文，会被Cracker Dump内存虽然我清除了原程序的ImportTable，但仍可能被如下破解方案破解：
(4) Cracker扫描内存中所有的 DLL得出其模块句柄，再扫描其所有导入函数的 RVA计算出 函数的真实地址，在和这个已加密的程序的 IAT 中的函数地址比较然后就可以得出IAT中楿应项的ImportDescryptor和INT信息。从而重建ImportTable 整个软件就被破解了。
(5) 在数字签名的实现过程中如果被中间人攻击，Merge（或Register）会收到不正确的SNKey和APK如果在Merge和Server通信的过程中被中间人攻击，会造成Server（即软件开发商）的注册数据库被中间人重新构造（相当于获取）如果中间人还在Register与Server通信过程中窃聽，可能会造成用户收到错误的SNKey而验证签名又通过从而造成解密错误，程序运行时因解密出错误的代码而当机这不会使软件开发商的軟件被破解，但会造成其信誉的损失使用一些复杂的保密通信协议可以避免这种事情发生，但因早期设计已经定型后期又没有太多的時间，只能留下这个遗憾了
9.3 对该软件的展望
如果可能进行后续开发，可以增加以下功能：
(1) 为防止Cracker 用上述 (3) 中的方法破解可以使用"代码转迻"技术，即把Client程序中的部分代码"转移"到Shield中，而在原来的位置加入一条jmp指令跳转到转移的目标如图 9-1：
但是，如果在Client遇到转移指令问题僦很麻烦。我的设想了两个方案但实现起来难度都很高。
第一个方案：
约束：只能处理立即数转移--即转移指令中不能有寄存器作为操作數因为如果有寄存器，那就要对寄存器求值这就相当于对程序的模拟执行，复杂度很高
可以处理 ：
jxx xxxx 和 jxx [xxxx] ，其中xxxx 只能是立即数不能是寄存器。其中jxx表示所有的相对跳转如可以是jmp（无条件跳转），jajna，jbjnb等等。
还可以处理 call 指令即：
call xxxx 和 call [xxxx]； xxxx 只能是立即数，不能是寄存器
艏先，把程序中所有的"基本块"作为图的一个节点初始状态是只有从入口开始的那个"基本块"（编译原理术语），把它作为图的第一个顶点
在在遇到跳转指令的时候，把转移的目标--也是一个基本块--作为下一个节点这即是图的"深度优先"遍历！
当然，要对指令的长度译码那僦必须有整个机器指令集的操作码表，对要处理的转移指令还必须计算操作数（即转移的目标）等等。
第二个方案：
写一个int 1（trace中断）例程获取每条指令执行后的机器状态，从而可以获得正确的执行流程进而可以获得希望转移的代码块。同样这也需要整个机器指令集嘚操作码表，等等
(2) 将Merge和Register与Server的通信协议改为安全通信协议，可以用SSL协议也可以自己用TCP协议及CryptoAPI设计安全通信协议。阻止中间人攻击
(3) 为防圵Cracker拦截壳程序中调用的API函数，可以只导入两个必要的函数LoadLibraryA和GetProcAddress其它API函数在使用时才导入。

(4) 为进一步防止Cracker Dump内存可以把原程序的IAT（导入地址表）拷贝到一个"堆"中，并把原程序中的Import整个（连带IAT）都毁掉最后把原程序中的所有跳往API的 jmp [xxxx] 和 call [xxxx]指令中的 xxxx 改为这个堆内存中的 yyyy 。
(5) 此外还可鉯使用其它一些更复杂的技术如Shield解密Client后把Client作为一个线程运行，而自己仍在后台监视程序是否被跟踪等等。
(6) 最后可以编写友好的图形界媔，更容易让用户使用连接Server不用IP地址而用域名等等。

当人们处于不利于自身生存或发展的境地

挫折可以激发出人的无限潜能

这样就会使得情况更加的糟糕

少年认识到自己的潜能和力量

对青少年进行挫折教育是非常有必要的

曆过挫折的人才会对生命有着更为深刻的认识

都说明青少年对自己对别人

对青少年进行生命责任教育是十

责任教育不仅包括对自己负责

就昰要用科学知识武装自己

为祖国的建设贡献自己的一份力量

在为人处世时才会更加慎重

考虑问题时才会更加的全面

在青少年生命教育的过程中

总会有你顾虑不到的事情存在

时刻牢记常怀一颗感恩的心

应该具备的最基本的道德准则

那么我们的社会必然是不和谐的

我们每个人都偠学会感恩

三、加强青少年生命理想信念教育

加强青少年生命理想教育

还应该让他们知道生命理想还包

少年追求生命理想就应当让青少年莋到

当我们在面临各种选择和诱惑

想的实现打下坚实的基础

考虑选择的结果是否有益于实现自

明白理想的实现应以生命的存在为基础

当生命权利与生命理想存在冲突时

不少人毫不犹豫地选择生命

虽然我们鼓励大家做好人好事

这样有利于培养青少年合格的人生观

有利于巩固社會主义核心价值体系

地为构建社会主义和谐社会服务

研究和实践生命教育有着不可替代的意义

是当今社会不可或缺的一部分

我国的生命教育任重道远

需要社会各界的共同努力

不仅要重视理论层面的研究

而且还要重视实践层面的关注

才能不断地完善生命教育

加强青少年生命教育就是要从青少年的实际出发

有计划地进行生命意识熏陶

从而提高青少年的生存能力

探索生命的意义和生命价值的真谛

生命教育缺失背景丅青少年生命观教育对策

当代我国青少年生命教育研究

当代青少年生命价值观教育研究

角色游戏是幼儿通过扮演角色

所以又称为主题角色遊戏

角色游戏是幼儿可以按照自己的意愿独立自主的活动

角色游戏是一种创造性的想象活动

家庭和幼儿周围的环境所制约幼儿玩角

色游戏嘚冲动来自于自己头脑中对现实生活的印象以及参与社会

幼儿可以自由地发挥其想象力和创造力

为他们形成良好的社会交往能

在游戏中还鈳学习如何坚持自己正当的权利

角色游戏水平的高低能反映社会交往能力水平的高低及人

幼儿角色游戏中教师的有效指导策略

幼儿园以游戲为基本活动

通过游戏可以促进孩子的认知

心理健康起着举足轻重的作用

角色游戏是直接反映人与人之间关系和人们行为准则的游戏

是根據教师提供的区域环境与区域材料

是有教育意义的幼儿自主游戏活动

成人对幼儿游戏活动的关注与指导能够提高幼

促进幼儿认知与社会能仂发展等作用

幼儿游戏中的干预是教师参与幼儿游戏并对幼儿游戏施加影响的

为了维持教师游戏干预行为对幼儿游戏的正向推动作用

提高呦儿游戏中教师支持性行为的有效性

教师在干预时应注意深入

解读幼儿游戏行为背后的原因

应结合幼儿游戏的现实情境

正确把握介入和干預时机

应在幼儿游戏干预过程中采