TLS（线程局部存储）

TLS全称线程局部存储器，它用来保存变量或回调函数。　　

TLS里面的变量和回调函数都在程序入口点（AddressOfEntry）之前执行，也就是说程序在被调试时，还没有在入口点处断下来之前，TLS中的变量和回调函数就已经执行完了，所以TLS可以用作反调试之类的操作。

　　要在程序中使用TLS，必须为TLS数据单独建一个数据段，用相关数据填充此段，并通知链接器为TLS数据在PE文件头中添加数据。

__declspec (thread)int g_nNum = 0x9597;
__declspec (thread)char g_szStr[] = "TLS g_nNum = 0x%p ...\r\n";

void NTAPI t_TlsCallBack_A(PVOID DllHandle, DWORD Reason, PVOID Red)
{
	if (DLL_PROCESS_ATTACH == Reason)
	{
		printf("t_TlsCallBack_A -> ThreadDetach!\r\n");
		return;
	}
}
void NTAPI t_TlsCallBack_B(PVOID DllHandle, DWORD Reason, PVOID Red)
{
	if (DLL_PROCESS_ATTACH == Reason)
	{
		printf("t_TlsCallBack_B -> ThreadDetach!\r\n");
		return;
	}
}

#pragma  data_seg(".CRT$XLX")
PIMAGE_TLS_CALLBACK p_thread_callback[] = {
	t_TlsCallBack_A,
	t_TlsCallBack_B,
	NULL
};
#pragma  data_seg()

　　上述代码中，创建TLS段的部分“.CRT$XLX”的含义如下：.CRT表明是使用C RunTime机制，$后面的XLX中：X表示随机的标识，L表示是TLS callback section，X可以被换成B到Y的任意一个字母，但是不能使用“.CRT$XLA”和“.CRT$XLZ”。

　　其中p_thread_callback数组中保存了所有的TLS回调函数指针。值得指出的是，数组必须以NULL指针结束，且数组中的每一个回调函数在程序初始化时都会被调用，程序员可按需要添加。但程序员不应当假设操作系统已何种顺序调用回调函数。在实际测试中，回调函数是依次被调用的。

　　TLS回调函数中第二个参数决定了函数在那种情况下（DllMain函数一样）被调用：

　　DLL_PROCESS_ATTACH：是指新进程创建时，初始化主线程时执行。

　　DLL_PROCESS_DETACH： 是指在进程终止时执行。

　　DLL_THREAD_ATTACH：是指创建新线程时，但是不包括主线程。

　　DLL_THREAD_DETACH：是指在所有线程终止时执行，但是同样不包括主线程。

　　需要指出的是，在TLS回调函数执行时，VC运行库msvcrt.dll,mfc.dll等并未载入，不能使用C库的函数（比如printf）。如果有需要使用，应该使用LoadLibrary()函数载入相应的库并使用GetProcAddress()获得函数地址。但此类操作可能会导致调试器的相关事件触发，不建议进行此类操作。

 

再来看看PE文件中的TLS表，结构如下

typedef struct _IMAGE_TLS_DIRECTORY32 {
    DWORD   StartAddressOfRawData;　　　　TLS初始化数据的起始地址
    DWORD   EndAddressOfRawData;　　　　　 TLS初始化数据的结束地址  两个正好定位一个范围,范围放初始化的值
    DWORD   AddressOfIndex;              TLS 索引的位置
    DWORD   AddressOfCallBacks;          Tls回调函数的数组指针
    DWORD   SizeOfZeroFill;　　　　　　　　 填充0的个数
    union {
        DWORD Characteristics;　　　　　　保留
        struct {
            DWORD Reserved0 : 20;
            DWORD Alignment : 4;
            DWORD Reserved1 : 8;
        } DUMMYSTRUCTNAME;
    } DUMMYUNIONNAME;

} IMAGE_TLS_DIRECTORY32;