TLS回调函数(二)手工去除TLS

最新推荐文章于 2024-03-28 10:06:16 发布
最新推荐文章于 2024-03-28 10:06:16 发布
阅读量1k 收藏 1
点赞数 1
分类专栏: 反调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hotspurs/article/details/102669045
版权

我们知道TLS常用于反调试中

TLS的简单介绍:https://blog.csdn.net/Hotspurs/article/details/90298636

手工去除TLS要使用的工具:IDA,Winhex,PEview.exe

我在一个程序的代码中添加了两端TLS回调函数,用来进行反调试。

extern "C" NTSTATUS NTAPI NtQueryInformationProcess(HANDLE hProcess, ULONG InfoClass, PVOID Buffer, ULONG Length, PULONG ReturnLength);

void NTAPI __stdcall TLS_CALLBACK(PVOID DllHandle, DWORD dwReason, PVOID Reserved) //DllHandle模块句柄、Reason调用原因、 Reserved加载方式(显式/隐式)
{
	if (IsDebuggerPresent())
	{
		MessageBoxA(NULL, "What are you doing??", "QUST-SEC warning", MB_ICONSTOP);
		//MessageBoxA(NULL, "", "", MB_ICONSTOP);
		ExitProcess(1);
	}
}
void NTAPI __stdcall TLS_CALLBACK_2(PVOID DllHandle, DWORD Reason, PVOID Reserved)
{
	HANDLE DebugPort = NULL;
	if (!NtQueryInformationProcess(
		NtCurrentProcess(),
		7,          // ProcessDebugPort
		&DebugPort, // If debugger is present, it will be set to -1 | Otherwise, it is set to NULL
		sizeof(HANDLE),
		NULL))
	{
		if (DebugPort)
		{
			MessageBoxA(NULL, "", "", MB_ICONSTOP);
			ExitProcess(1);
		}
	}
}

//使用TLS需要在程序中新建一个data段专门存放TLS数据,
//并且需要通知链接器在PE头中添加相关数据,所以有了这一段代码
#pragma comment (linker, "/INCLUDE:__tls_used")
#pragma comment (linker, "/INCLUDE:__tls_callback")

EXTERN_C
#pragma data_seg (".CRT$XLB")
//.CRT表明是使用C RunTime机制,$后面的XLB中:X表示随机的标识,L表示是TLS callback section,B可以被换成B到Y之间的任意一个字母,
//但是不能使用“.CRT$XLA”和“.CRT$XLZ”,因为“.CRT$XLA”和“.CRT$XLZ”是用于tlssup.obj的。

//共享数据段
PIMAGE_TLS_CALLBACK _tls_callback[] = { TLS_CALLBACK, TLS_CALLBACK_2, 0 };
//PIMAGE_TLS_CALLBACK _tls_callback[] = {  0 };

此时,在IDA中的导出窗口中,我们可以看到两个TLS函数以及start

下面就进行 TLS的手动去除

1.首先使用PEview打开目标文件

找到了TLS在头部的位置,在winhex中打开,找到1B0位置

将这一块填充为0

2.之后再找到TLS在数据段里的位置,并在winhex里将其填充为0

很明显,就是这一段

之后就可以保存文件,大功告成了

 

ToTHotSpur
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WIN10 X64下通过TLS实现反调试
liuyez123的博客
04-27 9572
1 TLS技术简介Thread Local Storage(TLS),是Windows为解决一个进程中多个线程同时访问全局变量而提供的机制。TLS可以简单地由操作系统代为完成整个互斥过程,也可以由用户自己编写控制信号量的函数。当进程中的线程访问预先制定的内存空间时,操作系统会调用系统默认的或用户自定义的信号量函数,保证数据的完整性与正确性。 基于TLS的反调试,原理实为在实际的入口点代码执行
TLS回调函数
夜空中最亮的星
12-07 2813
TLS回调函数是指,每当创建/终止进程的线程时会自动调用执行的函数。创建的主线程也会自动调用回调函数,且其调用执行先于EP代码。 IMAGE_DATA_DIRECTORY[9]:IMAGE_TLS_DIRECTORY typedef struct _IMAGE_TLS_DIRECTORY64 {     ULONGLONG StartAddressOfRawData;     
ssl-provider:您永远需要的唯一适用于Android的TLS实用程序库
03-25
SSLProvider 您永远需要的唯一适用于Android的TLS实用程序库。 这是什么? SSLProvider是一个简单的轻量级库,可在任何受支持的Android版本(低至4.1-API 16!)上使用任何TLS版本(1.0-1.3)。 考虑到API级别和Google Play服务(GMS)的可用性,该库使用最合适的方法来启用TLS: 不需要Android 4.1-5.0,GMS,TLSv1.3-使用GMS提供程序 Android 4.1-5.0,无需GMS,无需TLSv1.3-使用Conscrypt Android 5.1-8.0,无需GMS /无需GMS,无需TLSv1.3-无需执行任何操作(支持1.0-1.2) Android 4.1-8.0,GMS /无GMS,TLSv1.3是必需的-使用Conscrypt Android 8.1+-无所事事,因为它本地支持所有
linux上关闭tls1.0协议,NGINX禁用TLS1.0和TLS1.1使网站更安全
weixin_39758956的博客
05-15 1万+
一、为什么要禁用 TLS1.0、TLS1.1:SSL 由于以往发现的漏洞,已经被证实不安全。而 TLS1.0 与 SSL3.0 的区别实际上并不太多,并且 TLS1.0 可以通过某些方式被强制降级为 SSL3.0。由此,支付卡行业安全标准委员会(PCI SSC)强制取消了支付卡行业对 TLS 1.0 的支持,同时强烈建议取消对 TLS 1.1 的支持。苹果、谷歌、微软、Mozilla 也发表了声明...
PE文件结构
南宫封清的博客
04-19 3732
什么是可执行文件 可执行文件(executable file)指的是可以由操作系统进行加载执行的文件 windows平台:PE(Portable Executable)文件结构 Linux平台:ELF(Executable and Linking Format)文件结构 一些用到的概念 地址空间:这个地址空间指的是PE文件被加载到内存的空间,是一个虚拟的地址空...
pe文件节区的删除和增加
m0_62690279的博客
04-10 1442
pe文件节区的删除和增加 节区(.reloc)的删除(按照《逆核》书中的步骤来进行) 整个过程需要四个步骤: 1.删除节区头 2.删除节区 3.修改节区数(number of section) 4.修改映像大小(size of image) 删除节区头 在hxd中找到rva从270到297区域,用0填充 删除节区内容 在hxd中找到poiner to raw data(磁盘中地址c000),删除其后面的所有内容 修改节区数量 找到文件头中的 number of section 同样在hxd中修改其
TLS.rar_PE TLS
09-24
在这个例子中,汇编代码可能包括了如何定义TLS回调函数、在TLS表中登记回调地址以及如何在回调函数中执行特定的线程初始化任务。 通过分析和学习这个示例,开发者可以深入了解PE文件结构,特别是与TLS相关的部分,...
SVD-TLS算法_SVD-TLS算法_
10-01
SVD-TLS算法在许多领域都有实际应用,如地震学中的信号分离、通信系统中的信道估计、金融数据分析中的时间序列建模以及图像处理中的噪声去除等。 综上所述,SVD-TLS算法是一种强大的工具,尤其在面临复杂和噪声...
TLS_CallBack.rar_TLS CALLBA_pe debugger_tlsCallback_tls_callba_手
09-19
至于**手工感染PE文件**,这里指的是手动修改PE文件的结构以插入TLS回调函数。这种操作通常需要对PE文件格式有深入的理解,包括节区、导出表、导入表以及TLS目录等。恶意软件作者可能使用这种方法将恶意的TLS回调...
TCP/UDP/HTTP/TLS服务器的第
03-30
1.优化tcp断开重启功能 2.支持TCP,HTTP,UDP,TLS/HTTPS 3.支持可以配置自动回复,TLS双向认证,HEX转化功能 4.无需安装,window 7/10,直接运行,小巧方便,用于嵌入式测试的最佳选择工具
mbedtls开源sdk
04-06
mbedTLS(前身 PolarSSL)是一个由 ARM 公司开源和维护的 SSL/TLS 算法库。其使用 C 编程语言以最小的编码占用空间实现了 SSL/TLS 功能及各种加密算法,易于理解、使用、集成和扩展,方便开发人员轻松地在嵌入式产品...
调试与反调试系列丨跑的比main快的反调试
qq_44005305的博客
08-27 139
5.1 选择属性5.2修改运行库,应用6.添加#include、#include7.向链接器声明,要使用TLS8.复制PIMAGE_TLS_CALLBACK里的三个参数9.完成注册TLS函数的回调10.重新生成->运行发现没有运行到main函数11.加断点,再运行发现还是运行不起来.但是直接运行,可以正常打印,正常停止12.试下其他调试器12.1在od里运行:发现不能进入主模块12.2在IDA里打开:Ida会自动停在main函数上,意味着静态调试也发现不了TLS
Android平台HTTPS抓包全方案
CHAMPION8888的博客
11-26 965
前言 HTTP协议发展至今已经有十多年的历史,整个发展的趋势主要是两个方向:效率和安全。效率方面,从HTTP1.0的一次请求一个连接,到HTTP1.1的连接复用,到SPDY/HTTP2的多路复用,到QUIC/HTTP3的基于UDP传输,在效率方面越来越高效。安全方面,从HTTP的明文,到HTTP2强制使用TLSv1.2,到QUIC/HTTP3强制使用TLSv1.3,越来越注重数据传输的安全性。总而言之,HTTP协议的发展对用户是友好的,但是对开发者而言却不那么友善。 抓包是每个程序员的必修技能之一,.
android兼容tls版本,低版本Android上TLS版本导致的诡异握手失败问题
weixin_33780516的博客
05-27 1188
接入某国外支付平台CashFree时,发现在低版本系统(小米红米1S青春版,Android4.3)上完全无法打开页面:低版本Android上TLS协议问题导致的SSL握手失败1详情提示SSL握手失败:低版本Android上TLS协议问题导致的SSL握手失败2在Logcat中可以看到大量报错:低版本Android上TLS协议问题导致的SSL握手失败3这些错误有几种:E/chromium_net: e...
Android解决HTTPS连接SSL的问题
生活,需要你的温暖。
01-09 2369
Android 5.0以下版本(API 21以下),系统默认没有开启TLS协议,因此如果直接使用OKHTTP请求HTTPS链接,会出现SSL超时的问题。 先来看下SSL在android版本中支持的情况: Android在5.0的行为变更里面提到: https://developer.android.google.cn/about/versions/android-5.0-changes#ssl ...
Android HTTPS、TLS版本支持相关解决方案
热门推荐
s003603u的专栏
12-29 2万+
解决4.xAndroid系统在进行HTTPS访问时报javax.net.ssl.SSLProtocolException的问题
初探反调试&Youngter-drive
最新发布
2301_81223471的博客
03-28 1554
链接链接进程的每个线程共享其虚拟地址,函数的局部变量对于每个线程都是唯一的。但是全局变量和静态变量我们都知道,它们可以随时随地访问,也就是说被进程的所有线程共享。所以,在多线程程序中,这些全局变量和静态变量可能会被一个线程修改和访问,这可能会给其他程序带来麻烦,为了避免这种问题,几乎所有的多线程操作系统都提供一种可以在每个线程的基础上有效存储状态的机制,通过TLS,我们可以为每个线程提供只能访问的唯一数据所以TLS就是为每个线程创建一个私密的空间供其访问与修改。
调试TLS
谢绝留言与私信
02-20 1206
前言看资料时, 看到了TLS, 复习一下. 看看如果程序中带TLS回调, 如何找到并调试. 发现了一个知识点 : 在TLS函数中必须执行一个和Windows消息相关的API, 才会进(DLL_PROCESS_DETACH == Reason) 网上其他TLS资料, 演示TLS时, 都是在TLS中调用MessageBox, 都没有注意这个知识点. 在TLS中弹MessageBo
openssl回调函数
07-28
OpenSSL 提供了一些回调函数,用于在特定事件发生时通知应用程序。以下是一些常用的 OpenSSL 回调函数: 1. `SSL_CTX_set_cert_verify_callback`: 这个回调函数用于验证服务器证书。你可以自定义这个回调函数来实现自定义的证书验证逻辑。 2. `SSL_CTX_set_verify`: 该函数用于设置验证模式和自定义验证回调函数。你可以使用自定义的回调函数来验证服务器证书的有效性。 3. `SSL_CTX_set_verify_depth`: 设置证书链验证的最大深度。这个回调函数可以帮助你限制证书链的深度,以防止可能的恶意攻击。 4. `SSL_CTX_set_info_callback`: 这个回调函数在 SSL/TLS 握手过程中提供有关事件的详细信息。它可用于记录日志或执行其他自定义操作。 这只是一小部分常见的回调函数示例,OpenSSL 还提供了其他回调函数来处理不同的事件和任务。你可以根据具体的需求选择合适的回调函数来满足你的应用程序需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值