TLS全称线程局部存储器,它用来保存变量或回调函数。
TLS里面的变量和回调函数都在程序入口点(AddressOfEntry)之前执行,也就是说程序在被调试时,还没有在入口点处断下来之前,TLS中的变量和回调函数就已经执行完了,所以TLS可以用作反调试之类的操作。
要在程序中使用TLS,必须为TLS数据单独建一个数据段,用相关数据填充此段,并通知链接器为TLS数据在PE文件头中添加数据。
__declspec (thread)int g_nNum = 0x9597;
__declspec (thread)char g_szStr[] = "TLS g_nNum = 0x%p ...\r\n";
void NTAPI t_TlsCallBack_A(PVOID DllHandle, DWORD Reason, PVOID Red)
{
if (DLL_PROCESS_ATTACH == Reason)
{
printf("t_TlsCallBack_A -> ThreadDetach!\r\n");
return;
}
}
void NTAPI t_TlsCallBack_B(PVOID DllHandle, DWORD Reason, PVOID Red)
{
if (DLL_PROCESS_ATTACH == Reason)
{
printf("t_TlsCallBack_B -> ThreadDetach!\r\n");
return;
}
}
#pragma data_seg(".CRT$XLX")
PIMAGE_TLS_CALLBACK p_thread_callback[] = {
t_TlsCallBack_A,
t_TlsCallBack_B,
NULL
};
#pragma data_seg()
上述代码中,创建TLS段的部分“.CRT$XLX”的含义如下:.CRT表明是使用C RunTime机制,$后面的XLX中:X表示随机的标识,L表示是TLS callback section,X可以被换成B到Y的任意一个字母,但是不能使用“.CRT$XLA”和“.CRT$XLZ”。
其中p_thread_callback数组中保存了所有的TLS回调函数指针。值得指出的是,数组必须以NULL指针结束,且数组中的每一个回调函数在程序初始化时都会被调用,程序员可按需要添加。但程序员不应当假设操作系统已何种顺序调用回调函数。在实际测试中,回调函数是依次被调用的。
TLS回调函数中第二个参数决定了函数在那种情况下(DllMain函数一样)被调用:
DLL_PROCESS_ATTACH:是指新进程创建时,初始化主线程时执行。
DLL_PROCESS_DETACH: 是指在进程终止时执行。
DLL_THREAD_ATTACH:是指创建新线程时,但是不包括主线程。
DLL_THREAD_DETACH:是指在所有线程终止时执行,但是同样不包括主线程。
需要指出的是,在TLS回调函数执行时,VC运行库msvcrt.dll,mfc.dll等并未载入,不能使用C库的函数(比如printf)。如果有需要使用,应该使用LoadLibrary()函数载入相应的库并使用GetProcAddress()获得函数地址。但此类操作可能会导致调试器的相关事件触发,不建议进行此类操作。
再来看看PE文件中的TLS表,结构如下
typedef struct _IMAGE_TLS_DIRECTORY32 {
DWORD StartAddressOfRawData; TLS初始化数据的起始地址
DWORD EndAddressOfRawData; TLS初始化数据的结束地址 两个正好定位一个范围,范围放初始化的值
DWORD AddressOfIndex; TLS 索引的位置
DWORD AddressOfCallBacks; Tls回调函数的数组指针
DWORD SizeOfZeroFill; 填充0的个数
union {
DWORD Characteristics; 保留
struct {
DWORD Reserved0 : 20;
DWORD Alignment : 4;
DWORD Reserved1 : 8;
} DUMMYSTRUCTNAME;
} DUMMYUNIONNAME;
} IMAGE_TLS_DIRECTORY32;