Криптография

Монитор реестра (Registry Monitor) и монитор доступа к файлам (File Monitor) — это активные инструменты.
А пассивные инструменты просто запоминают состояния реестра или файлов и по расхождениям позволяют определить, что именно изменилось.

Для того чтобы найти какую-нибудь информацию в ресурсах исполняемого модуля, можно воспользоваться даже таким инструментом, как редактором Microsoft Visual Studio. Но лучше использовать специализированные редакторы ресурсов, которых существует довольно много. Эти редакторы, как правило, позволяют просматривать ресурсы известных типов (например текстовые строки, иконки, картинки и описания диалогов) в естественном виде, а незнакомые ресурсы — в [...]

Для защиты от отладки программа должна уметь определять наличие отладчика. Для обнаружения того же Softlce разработано более десяти способов.
Но в некоторых случаях можно определить, что программа исследуется при помощи отладчика по косвенным признакам, таким как время выполнения.

Отладчики уровня ядра (Kernel-mode Debuggers) встраиваются внутрь операционной системы и имеют гораздо больше возможностей, чем отладчики пользовательского уровня. Из ядра операционной системы можно контролировать многие процессы, не доступные другими способами. Одним из самых мощных и часто используемых отладчиков уровня ядра является Softlce, разработанный в компании NuMega Labs (Compuware Corporation).

Правда, стоит отметить, что, например, дизассемблер IDA Pro имеет весьма мощные средства расширения (подключаемые модули и язык сценариев), предоставляя тем самым возможность нейтрализовать все попытки противодействия дизассемблированию и последующему анализу.