TLS回调函数(2)

最新推荐文章于 2024-03-15 10:32:01 发布
最新推荐文章于 2024-03-15 10:32:01 发布
阅读量515 收藏 1
点赞数 3
分类专栏: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CSNN2019/article/details/113097799
版权

手动添加TLS回调函数

设计规划

首先要确定IMAGE_TLS_DIRECTORY结构体与TLS回调函数放到文件的哪个位置。向某个PE文件添加代码或数据时,有如下3种方法查找合适位置:

  1. 添加到节区末尾的空白区域
  2. 添加到最后一个节区的大小
  3. 在最后添加新节区

这里呢,我们采用第二种方法,即增加最后一个节区(.rsrc)的节区头。
在这里插入图片描述

可以看到,最后一个节区(.rsrc)的Pointer to Raw Data=9200,Size of Raw Data=600。所以PE头中定义的文件整体大小为9800。考虑到要添加的代码与数据的大小,我们将最后一个节区的大小增加200(文件的大小增加到9A00)。使用HxD工具打开需要操作的程序,移动光标至最后位置,在菜单栏中选择Edit-Insert bytes 菜单,打开插入字节对话框,然后向Bytecount中输入200,单击OK按钮后,即从光标当前位置添加了200个字节(即512个字节)
另一种方法,直接复制最后很多的零字节内存单元格,然后从文件尾部直接粘贴就行,多粘贴几次,512字节就出来了
在这里插入图片描述

注意:
图中virtual size为43C,PE装载器会按照Section Alignment值对齐该值,即加载到内存中的大小为1000(一定要理解好这个关系)。所以将节区的文件大小增加200后,实际virtual size 变为63C,它比加载到内存中尺寸1000要小,所以不需要再单独增大virtual size 的值

这里加的时候,如果改了之后没法保存的话,记得用 管理员权限来打开编译exe的程序(即打开visual stido),我就是这种情况。。。

编辑PE文件头

.rsrc节区头
分别修改.rsrc节区头中的Size of raw data与Characteristics的值,即size of Raw data =800,characteristics=E0000060,如下所示

在这里插入图片描述

修改后:
在这里插入图片描述

在这里插入图片描述

Characteristics=E0000060的含义如下所示:

Characteristics属性
00000020IMAGE_SCN_CNT_DODE
00000040IMAGE_SCN_CNT_INITIALIZED_DATA
20000020IMAGE_SCN_MEM_EXECUTE
40000020IMAGE_SCN_CNT_READ
80000020IMAGE_SCN_CNT_WRITE

即在原有属性的基础上增加了IMAGE_SCN_CNT_DODE | IMAGE_SCN_MEM_EXECUTE| IMAGE_SCN_CNT_WRITE属性

注意:
由于要在扩展区域内创建IMAGE_TLS_DIRECTORY结构体与TLS回调函数,所以需要向节区添加IMAGE_SCN_CNT_DODE | IMAGE_SCN_MEM_EXECUTE属性,此外,还必须包括IMAGE_TLS_DIRECTORY 结构体的节区添加 IMAGE_SCN_CNT_WRITE属性,才能保证正常运行

IMAGE_DATA_DIRECTORY[9]

接下来要设置TLS表(IMAGE_NT_HEADERS-IMAGE_OPTIONAL_HEADER-IMAGE_DATA_DIRECTORY[9])。在PRVIEW中查看该地址为9800(RVA地址),我们将从改地址创建IMAGE_TLS_DIRECTORY结构体。因此要修改PE文件投中的IMAGE_DATA_DIRECTORY[9],即(RVA=9800,Size=18)
在这里插入图片描述
在这里插入图片描述

改完之后用PEview查看一下是否改好即可。

设置IMAGE_TLS_DIRECTORY结构体

接下来设置 IMAGE_TLS_DIRECTORY 结构体,只要把TLS回调函数注册到其中即可,编辑设置IMAGE_TLS_DIRECTORY结构体

我们在文件偏移9800地址处创建了IMAGE_TLS_DIRECTORY结构体。AddressOfCallbacks成员的值为 假设为0x40C224 ,它是array of TLS CallBack Function (TLS回调函数数组)的起始地址。只要把TLS回调函数的地址(40C230)放入该数组,即可成功注册TLS回调函数

TLS系列

TLS回调函数(1)

TLS回调函数(2)

寻梦&之璐
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
selene:SSLTLS
05-25
Selene-一个SSL / TLS库 Selene的一些目标使其不同于传统的SSL库: 完全异步:Selene本身不做任何IO,它仅向用户提供应完成IO的通知。 异步回调:回调函数提供了自己的回调,以在用户完成操作后通知Selene。 测试驱动:测试所有代码路径的测试框架。 用于密码学的可插拔后端:当前仅专注于OpenSSL,但其他可能。 自由许可证:在Apache许可证下,版本为2.0。 塞琳娜以名字命名,因为我在命名项目上很糟糕。 地位 原型后端(openssl线程)用于验证selene_ * API的基础。 我目前正在缓慢地研究本机Selene TLS后端,该后端仅使用OpenSSL进行加密操作,而不使用实际的协议解析。 骇客注意事项: 所有贡献者都必须签署 ,并同意Selene可以在将来的日期移至ASF。 外部函数和类型以selene_ *为前缀 内部函数和类型以
Php大马的简单解密[技巧]
热门推荐
Php大马的简单解密
03-18 1万+
作者:aoy 最近朋友遇到一枚php加密大马,遂发给了我。   加密源码: eval(gzuncompress(base64_decode("eJzsffl3G8eR8M/ye/4fRhOuAJggLt6kQIniLfESQVKURD48HAMCIoCBBgMesrX/C6PdxCtrN6JE6qKoi7RJURJFkbTk6DlZX+vE0drZyPlsJ4rzvq4+ZnoGA5B
TLS回调函数–一文看懂(详)
Joyce_hjll的博客
03-15 1340
TLS回调函数 CTF RE
’string‘ does not name a type
Millet827的专栏
08-18 2440
1,没有加头文件 #include; 2,没有加命名空间 using namespace std;
TLS回调函数
qq_39249347的博客
09-03 1675
练习:HelloTls.exe 运行练习程序,弹出一个消息框,单击确定按钮后,程序终止运行。 在OllyDbg调试器中打开并运行HelloTls.exe文件。 消息对话框中显示的内容于程序运行时显示的内容不同,单击确定按钮,HelloTls.exe进程随机终止。 原因在于,程序运行EP代码前先调用了TLS回调函数,而该回调函数中含有反调试代码,使程序在被调试时弹出“Debugger Detected!“消息对话框。 TLS TLS是各线程的独立的数据存储空间,使用TLS技术可在线程内部独立使用或
线程本地存储TLS详解
For Geek
05-12 5261
博客的大部分原理转自:https://blog.csdn.net/zhangmiaoping23/article/details/44345341 本人自己把觉得自己需要的部分自己进行了综合。 TLS(Thread Local Storage)是为了多线程考虑其线程本身需要维持一些状态而设置的一种机制. TLS在概念上并不复杂。常规设计是将所有对TLS的访问都通过TEB中的指针来进行间接访问,TE...
手动给程序添加TLS回调函数,使程序具有反调试功能
mengxj168的博客
10-03 953
TLS是线程独立的存储空间,使用TLS技术可以在线程内部独立使用或修改进程的全局数据或静态数据,就像对待自己的局部变量一样。TLS在系统启动时先于EP代码执行。如下是TLS的结构体union {struct {TLS结构体的大小是18h个字节,tls中重要的成员是,该值指向含有tls回调函数地址的数组。TLS回调函数是指每当创建、终止进程的线程时会自动调用执行的函数。创建线程的主线程时也会自动调用回调函数,且其调用执行先于EP代码。
2.4 PE结构:节表详细解析
CSDN
09-05 4377
节表(Section Table)是Windows PE/COFF格式的可执行文件中一个非常重要的数据结构,它记录了各个代码段、数据段、资源段、重定向表等在文件中的位置和大小信息,是操作系统加载文件时根据节表来进行各个段的映射和初始化的重要依据。节表中的每个记录则被称为`IMAGE_SECTION_HEADER`,它记录了一个段的各种属性信息和在文件中的位置和大小等信息,一个文件可以由多个`IMAGE_SECTION_HEADER`构成。
TLS回调函数(一)
Hotspurs的博客
05-17 2391
TLS (Thread Local Storage 线程局部存储 )回调函数常用于反调试。 程序运行时,TLS数据初始化和TLS回调函数都在入口处(OEP)之前执行,也就是说,TLS是程序开始执行的地方。(许多病毒或外壳程序会利用这一点执行一些特殊的操作) TLS 定义: typedef VOID (NTAPI *PIMAGE_TLS_CALLBACK) ( PVOID DllHandl...
TLS_CallBack.rar_TLS CALLBA_pe debugger_tlsCallback_tls_callba_手
09-19
漫谈TLS_CallBack:原理、编程、手工感染及检测.利用TLS_CallBack(线程局部存储回调函数)玩弄调试器以及感染PE文件.
ACMECert:用于加密PHP客户端库(ACME v2)
05-01
ACMECert 用于PHP客户端库( ) 版本... 此函数将用户定义的回调函数作为第三个参数,每次需要完成挑战时都会调用该函数。 您可以设置/删除质询令牌: $ handler = function ( $ opts ){ // Write code to setup the ch
nksip:Erlang SIP应用程序服务器
03-03
服务可以提供一个回调模块,在其中可以实现许多回调函数。 所有这些都是可选的,如果未实现,则具有默认值。 对于仅传出SIP应用程序,不需要回调模块。 NkSIP还包括一个功能强大的插件机制,即使服务使用了大量...
支持鸿蒙系统的AWS IoT 亚马逊物联网云平台接入软件包
最新发布
04-03
aws资源支持鸿蒙系统的AWS IoT...此连接用于任何进一步的发布操作,并允许订阅 MQTT 主题,该主题将在收到这些主题时调用可配置的回调函数。设备开发工具包实施了一些功能,以方便使用 AWS Jobs 服务。作业服务可用于设
【逆向工程核心原理:TLS回调函数
qq_42363151的博客
05-17 900
reverse
TLS回调函数的学习为
woshiyanfu的博客
09-26 124
本篇文章主要学习有关TLS(Thread Local Storage,线程局部存储)回调函数(CallBack Function),这种回调函数由于其特殊的特性通常会被运用于反调试技术中。本篇文章将通过分析代码,直接调试和手动创建TLS回调函数三个部分来学习有关TLS回调函数的知识。
TLS回调函数的学习
stopys6的博客
09-11 183
本篇文章主要学习有关TLS(Thread Local Storage,线程局部存储)回调函数(CallBack Function),这种回调函数由于其特殊的特性通常会被运用于反调试技术中。本篇文章将通过分析代码,直接调试和手动创建TLS回调函数三个部分来学习有关TLS回调函数的知识。
TLS反调试
Tandy12356_的博客
05-14 742
在多线程编程中,如果在线程函数内部直接定义一个私有变量,那么这个变量将会是在栈上分配的,每次调用线程函数时都会创建一个新的变量,而在线程函数返回后,这个变量将被销毁,这样就无法在多次调用线程函数时保持这个变量的状态。因此,线程局部存储提供了一种在线程之间共享变量的方法,同时又保证了每个线程都有自己的私有变量,可以在多次调用线程函数时保持变量的状态。线程局部存储通过为每个线程创建一个唯一的指针来实现。
tls 回调
x
08-07 244
不修改aop, 用静态 tls回调在线程初始化时做一些事 * 线程启动前会先初始化tls结构 , 依次调用tls回调数组 1.在全局变量定义一个IMAGE_TLS_DIRECTORY 变量 模拟tls结构 2.在回调部分放上自己的函数 3.修改数据目录tls的位置, 指向自己的结构 模拟tls 的C代码: tls回调函数跟dllentry 参数一样 tls结构的第4个参数是一个回调数组, 依次调用 前3个参数在这里没用 , 具体参考msdn #include <i...
openssl回调函数
07-28
OpenSSL 提供了一些回调函数,用于在特定事件发生时通知应用程序。以下是一些常用的 OpenSSL 回调函数: 1. `SSL_CTX_set_cert_verify_callback`: 这个回调函数用于验证服务器证书。你可以自定义这个回调函数来实现自定义的证书验证逻辑。 2. `SSL_CTX_set_verify`: 该函数用于设置验证模式和自定义验证回调函数。你可以使用自定义的回调函数来验证服务器证书的有效性。 3. `SSL_CTX_set_verify_depth`: 设置证书链验证的最大深度。这个回调函数可以帮助你限制证书链的深度,以防止可能的恶意攻击。 4. `SSL_CTX_set_info_callback`: 这个回调函数在 SSL/TLS 握手过程中提供有关事件的详细信息。它可用于记录日志或执行其他自定义操作。 这只是一小部分常见的回调函数示例,OpenSSL 还提供了其他回调函数来处理不同的事件和任务。你可以根据具体的需求选择合适的回调函数来满足你的应用程序需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

寻梦&之璐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值