C++ 反反调试(TLS回调函数)

最新推荐文章于 2024-05-21 10:03:39 发布
最新推荐文章于 2024-05-21 10:03:39 发布
阅读量1.2k 收藏 4
点赞数 1
分类专栏: 调试&检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Simon798/article/details/100557976
版权

关于 TSL 反调试的内容,参考这篇文章

说完反调试,如果不说反反调试就 毫无意义
在这里插入图片描述

下面讲下针对 TLS 回调函数的反反调试方法。

引用了 TLS 功能的程序会在 PE 文件里生成一个 TLS 表:
在这里插入图片描述进入这个表中查看,发现它的大小为 24 个字节:
在这里插入图片描述

关于 TLS 的结构体,有 32 位和 64 位两个版本:
在这里插入图片描述
在这里插入图片描述
其中 _IMAGE_TLS_DIRECTORY64 大小为:8x4+4x2=40,_IMAGE_TLS_DIRECTORY32 大小为:4x6=24,那么就说明,我们刚刚看到的程序使用了 _IMAGE_TLS_DIRECTORY32 。我们需要的是 AddressOfCallBacks 这个成员,也就是下图中 +12 的这个位置。
在这里插入图片描述
在 hex 界面找到 +12 这个位置,又因为 DWORD 大小为 4 ,所以再向后查 4 字节,也就是下图这个样子:
在这里插入图片描述把它的内容清空(设置为 0),保存。再次用 OD 打开程序,发现反反调试已经生效:
在这里插入图片描述在这里插入图片描述
拜拜了您嘞

(-: LYSM :-)
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C++中的回调函数(callback)
qionggaobi9328的博客
02-28 510
回调函数就是一个通过函数指针调用的函数。如果你把函数的指针(地址)作为参数传递给另一个函数,当这个指针被用来调用其所指向的函数时,我们就说这是回调函数回调函数不是由该函数的实现方直接调用,而是在特定的事件或条件发生时由另外的一方调用的,用于对该事件或条件进行响应。通俗一点,回调函数就是在两个独立函数或者独立类通信的通道。 初级版: #include <stdio.h> ...
TLS调试VC6
04-01
TLS调试技术中,开发者会在TLS回调函数中加入检查代码,如检测调试标志(IsDebuggerPresent API),检查异常处理链(CheckRemoteDebuggerPresent API),或者查找特定的内存模式(如调试器通常会插入的断点指令...
C/C++ 程序反调试的方法
CSDN
08-18 5981
C/C++ 要实现程序反调试有多种方法,BeingDebugged,NtGlobalFlag,ProcessHeap,CheckRemoteDebuggerPresent,STARTUPINFO,IsDebuggerPresent,父进程检测,TLS 线程局部存储,RDTSC时钟检测反调试,MapFileAndCheckSum,等都可实现反调试,这里我分别编写了一些案例,基本上一锅端了。 使用W...
C++中实现回调机制的几种方式
xiaonanxiatian的专栏
08-28 619
(1)Callback方式 Callback的本质是设置一个函数指针进去,然后在需要需要触发某个事件时调用该方法, 比如Windows的窗口消息处理函数就是这种类型。 比如下面的示例代码,我们在Download完成时需要触发一个通知外面的事件: typedef void (__stdcall *DownloadCallback)(const char* pURL, bool bOK)
推荐使用:C++的有序哈希表库——`tsl::ordered_map`与`tsl::ordered_set`
最新发布
gitblog_00072的博客
05-21 376
推荐使用:C++的有序哈希表库——tsl::ordered_map与tsl::ordered_set 项目地址:https://gitcode.com/Tessil/ordered-map 在编程中,高效且易用的数据结构是提高代码质量的关键因素之一。tsl::ordered_map和tsl::ordered_set是一个卓越的C++开源库,它提供了保持插入顺序的散列映射和集合,类似于Python的...
TSL调试
madjoe的专栏
09-01 457
// AntiDbgWithTLS.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include #include #include #pragma comment(linker,"/INCLUDE:__tls_used") BOOL LookupProcess(); BOOL IsBeingDbg(); void WINAPI tls_c
Windows下反(反)调试技术汇总
03-03 1737
调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用反调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多种反调试技术可以达到反调试效果。这里介绍当前常用的几种反调试技术,同时也会介绍一些逃避反调试的技巧。 一.探测Windows调试器 恶意代码会使用多种技术探测调试调试它的痕迹,其中包括使用Windo
Windows下反反调试技术汇总
qq138480084的博客
09-15 2496
Windows下反反调试技术汇总 Windows下反反调试技术汇总一、前言二、静态反调试技术2.1 进程状态检测2.2 调试环境检测三、动态反调试技术3.1 时钟检测3.2 异常处理3.3 0xCC探测3.4 硬件断点检测3.5 单步检测3.6自调试四、总结 一、前言 对于安全研究人员来说,调试过程中经常会碰到反调试技术,原因很简单:调试可以窥视程序的运行“秘密”,而程序作者想要通过反调试手段隐藏他们的“秘密”,普通程序需要防止核心代码被调试逆向,恶意代码需要隐藏自己的恶意行为防止被跟
调试技术实例_VC版
06-13
一些高级的反调试技术可能利用TLS回调函数来检测调试器,因为调试器的介入会改变TLS的正常流程。 6. **异常处理**: `StdAfx.cpp`通常包含预编译头文件,可能涉及到异常处理。反调试策略有时会利用异常处理机制来...
TLSCHECK.zip
08-06
如果它是源代码文件,那么它可能包含实现TLS回调检测和反调试逻辑的C++源代码。如果是编译后的可执行文件,则是项目运行的结果。 “Release”目录通常包含项目在Release模式下编译生成的文件,包括优化过的可执行...
C++回调函数详解及简单实例
08-30
主要介绍了C++回调函数详解及简单实例的相关资料,需要的朋友可以参考下
各种反调试技术原理与实例VC版.pdf
12-15
- **原理**:调试器会修改TLS回调函数。 - **示例**:检查TLS回调函数列表。 - **注意事项**:这种方法可能会受到调试器模拟的影响。 #### 结论 本书通过详尽的例子和深入的解释,为读者提供了丰富的反调试技术...
TLS回调函数
qq_39249347的博客
09-03 1706
练习:HelloTls.exe 运行练习程序,弹出一个消息框,单击确定按钮后,程序终止运行。 在OllyDbg调试器中打开并运行HelloTls.exe文件。 消息对话框中显示的内容于程序运行时显示的内容不同,单击确定按钮,HelloTls.exe进程随机终止。 原因在于,程序运行EP代码前先调用了TLS回调函数,而该回调函数中含有反调试代码,使程序在被调试时弹出“Debugger Detected!“消息对话框。 TLS TLS是各线程的独立的数据存储空间,使用TLS技术可在线程内部独立使用或
调试技术(1) 函数检测
jentle8的博客
10-04 1430
什么是反调试调试是一种重要的软件保护技术,特别是在各种游戏保护中被尤其重视。另外, 恶意代码往往也会利用反调试来对抗安全分析。当程序意识到自己可能处于调试中 的时候,可能会改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试 时间和复杂度。 反调试技术(1) 函数检测 函数检测就是通过 Windows 自带的公开或未公开的函数直接检测程序是否处于调 试状态。最简单的调试器检测函数是 I...
调试技术揭秘(转)
weixin_33935505的博客
03-04 514
调试一些病毒程序的时候,可能会碰到一些反调试技术,也就是说,被调试的程序可以检测到自己是否被调试器附加了,如果探知自己正在被调试,肯定是有人试图反汇编啦之类的方法破解自己。为了了解如何破解反调试技术,首先我们来看看反调试技术。   一、Windows API方法   Win32提供了两个API, IsDebuggerPresent和CheckRemoteDebuggerPresent可以...
c++ array容器 传参_一文理解C++常见容器用法
weixin_39983350的博客
11-21 653
容器一个容器是特定类型对象的集合,在C++标准库中包含了大部分常见的容器。STL 是“Standard Template Library”的缩写,中文译为“标准模板库”。STL 是 C++ 标准库的一部分,不用单独安装。TSL核心包括3个组件。容器(containers),算法(algorithms),迭代器(iterators)。除此外还有仿函数,内存配置器和配接器。按照容器的存储结构可以分为顺...
C++STL用法解析
m0_46122129的博客
06-07 477
STL的三个基本组成部分 迭代器 算法 容器 (一)迭代器 迭代器实际上就是面向对象版本的指针。 用法: e.g: vector<string>A; vector<string>::iterator Aiterator;//定义迭代器 for(Aiterator=A.begin();Aiterator!=A.end();++Aiterator) { cout<<*Aiterator<<endl;//使用迭代器循环显示A中内容 } (二)算法 对容器进行处
openssl回调函数
07-28
OpenSSL 提供了一些回调函数,用于在特定事件发生时通知应用程序。以下是一些常用的 OpenSSL 回调函数: 1. `SSL_CTX_set_cert_verify_callback`: 这个回调函数用于验证服务器证书。你可以自定义这个回调函数来实现自定义的证书验证逻辑。 2. `SSL_CTX_set_verify`: 该函数用于设置验证模式和自定义验证回调函数。你可以使用自定义的回调函数来验证服务器证书的有效性。 3. `SSL_CTX_set_verify_depth`: 设置证书链验证的最大深度。这个回调函数可以帮助你限制证书链的深度,以防止可能的恶意攻击。 4. `SSL_CTX_set_info_callback`: 这个回调函数在 SSL/TLS 握手过程中提供有关事件的详细信息。它可用于记录日志或执行其他自定义操作。 这只是一小部分常见的回调函数示例,OpenSSL 还提供了其他回调函数来处理不同的事件和任务。你可以根据具体的需求选择合适的回调函数来满足你的应用程序需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值