TLS回调函数实现反调试

已于 2023-01-08 15:06:36 修改
阅读量591 收藏
点赞数 2
分类专栏: CTF逆向 文章标签: c++ java 算法
于 2023-01-08 14:59:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a257131460266666/article/details/128601388
版权

title: TLS回调函数实现反调试.md
date: 2022-06-16 23:40:49.231
updated: 2022-06-16 23:41:11.924
url: /archives/tls回调函数实现反调试
categories:
tags:

  • 逆向

TLS回调函数实现反调试

TLS-线程局部存储

先于我们OEP执行

#include<stdlib.h>
#include<time.h>
#include<string.h>
#include<tchar.h>
#include <stdio.h>  
#include <stdint.h>  
#include <windows.h>
#include <winternl.h>
#pragma comment(linker,"/INCLUDE:__tls_used")  
// 告诉链接器我要用到TLS

DWORD isDebug = 0;

void NTAPI TLS_CALLBACK1(PVOID DllHandle, DWORD Reason, PVOID Reserved) {

	if (Reason == DLL_PROCESS_ATTACH)
	{
		::MessageBoxA(0,"TLS函数执行1",0,0);
		//不接受内核调试信息
		/*NtSetInformationThread(GetCurrentThread(),ThreadHideFromDebugger,0,0);
		  
		  NtSetInformationProcess(GetCurrentProcess(),ProcessDebugPort,(PVOID)&isDebug,sizeof(DWORD),NULL);
		
		*/

	}

}

void NTAPI TLS_CALLBACK2(PVOID DllHandle, DWORD Reason, PVOID Reserved) {

	if (Reason == DLL_PROCESS_ATTACH)
	{
		::MessageBoxA(0, "TLS函数执行2", 0, 0);

	}

}



int main()
{
	::MessageBoxA(0,"Main函数启动了",0,0);
}
//新建一段数据放入TLS这个目录里面
#pragma data_seg(".CRT$XLX")			
PIMAGE_TLS_CALLBACK pTLS_CALLBACKs[] = { TLS_CALLBACK1,  TLS_CALLBACK2, NULL };
#pragma data_seg()

image-20220616180649848

描述了TLS的结构体

image-20220616180820595

对应

在这里插入图片描述

可以理解为函数指针的数组

实例

#include <stdio.h>  
#include <stdint.h>  
#include <windows.h>
#include <winternl.h>
#pragma comment(linker,"/INCLUDE:__tls_used")  
// 告诉链接器我要用到TLS

DWORD dwDebugPort;
typedef NTSTATUS(__stdcall* pNtQueryInformationProcess)(
	IN HANDLE           ProcessHandle,
	IN PROCESSINFOCLASS ProcessInformationClass,
	OUT PVOID           ProcessInformation,
	IN ULONG            ProcessInformationLength,
	OUT PULONG          ReturnLength
	);

void NTAPI TLS_CALLBACK1(PVOID DllHandle, DWORD Reason, PVOID Reserved) {

	if (Reason == DLL_PROCESS_ATTACH)
	{
		::MessageBoxA(0,"TLS函数执行1",0,0);
		//不接受内核调试信息
		HMODULE hModule = LoadLibrary(TEXT("Ntdll.dll"));
		pNtQueryInformationProcess ntQueryInformationProcess = (pNtQueryInformationProcess)GetProcAddress(hModule, "NtQueryInformationProcess");
		ntQueryInformationProcess(GetCurrentProcess(), ProcessDebugPort, &dwDebugPort, sizeof(dwDebugPort), NULL);//dwDebugPort 为0表示没用被调试,反之则是

	}

}

//void NTAPI TLS_CALLBACK2(PVOID DllHandle, DWORD Reason, PVOID Reserved) {
//
//	if (Reason == DLL_PROCESS_ATTACH)
//	{
//		::MessageBoxA(0, "TLS函数执行2", 0, 0);
//
//	}
//
//}



int main()
{     
	char str[] = "wust_is_good!";
	for (int i = 0; i < 14; ++i) {
		str[i] ^= dwDebugPort;
	}

	

	::MessageBoxA(NULL,str,"提示", MB_OK);
}
//新建一段数据放入TLS这个目录里面
#pragma data_seg(".CRT$XLX")			
PIMAGE_TLS_CALLBACK pTLS_CALLBACKs[] = { TLS_CALLBACK1,  /*TLS_CALLBACK2,*/ NULL };
#pragma data_seg()

如果直接运行

在这里插入图片描述

本地调试运行

在这里插入图片描述

一堆乱码

由于dwDebugPort是全局变量, 发现不是调试,置为0,0异或任何数都是该数本身

题目 Dest0g3 520迎新赛 tttea

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

注意到是xxtea的特征值

在这里插入图片描述

加密方式也是xxtea,实现部分把输入的44位flag ,组成11位int 类型的数据进行xxtea加密,最后与密文对比

原本是直接写的东西,直接魔改xxtea直接弄,发现跑出来是乱码,直接动态调试

构造flag

flag{12345678912345678912345678912345678911}

注意到字符串,image-20220616193828367

image-20220616193859423

发现TLS和反调试函数

image-20220616193937181

该字符串地址后24正好是key的位置

由于TLS一般在程序难以发现

最好使用查看PE文件的软件看各个段

PE结构里->数据目录表(常见的导出表、导入表等)->TLS表

所以,加入TLS_CALLBACK,在TLS表里会找到TLS回调函数,这是找到TLS回调的一个方法

image-20220616194825241

image-20220616194121230

image-20220616194354897

2个反调试

image-20220616194413039

这个是异或

所以真正的delta为0x66403319 ^ 0x12345678,即0x74746561

EXP

#include <stdio.h>  
#include <stdint.h>  
#include <windows.h>

#define MX (((z>>6^y<<2) + (y>>3^z<<4)) ^ ((sum^y) + (key[(p&3)^e] ^ z))) 

void xxtea_decode(uint32_t* v, int n, DWORD delta)
{
    char* key = (char*)&delta;
    uint32_t y, z, sum;
    unsigned p, rounds, e;
    rounds = 6 + 52 / n;
    sum = rounds * delta;
    y = v[0];
    do
    {
        e = (sum >> 2) & 3;
        for (p = n - 1; p > 0; p--)
        {
            z = v[p - 1];
            y = v[p] -= MX;
        }
        z = v[n - 1];
        y = v[0] -= MX;
        sum -= delta;
    } while (--rounds);
}


int main()
{
    DWORD delta = 0x74746561;

    char enc[] = { 3, 35, 34, 47, 54, 136, 253, 67, 33, 232, 91, 101, 49, 30, 59, 166, 75, 184, 220, 136, 128, 25, 132, 111, 151, 114, 33, 38, 173, 100, 238, 187, 136, 4, 77, 6, 47, 38, 229, 107, 129, 75, 245, 115 };

    xxtea_decode((uint32_t*)enc, 11, delta);
    printf("%s", enc);
    return 0;
}
//Dest0g3{73dd38c2-9d45-4f7a-9bd0-90a1e9907c1}
雨后初霁&
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
TLS调试检测和调试
hambaga的博客
09-13 882
TLS是线程本地存储,定义TLS函数,在函数内可以用内核函数 NtQueryInformationProcess 检查当前是否处于被调试状态,也可以用 NtSetInformationThread 让调试崩溃。 // TLS调试.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。 // #include <stdio.h> #include <Windows.h> #include "MINT.h" #pragma comment(linker,"/I
TLS调试
Tandy12356_的博客
05-14 755
在多线程编程中,如果在线程函数内部直接定义一个私有变量,那么这个变量将会是在栈上分配的,每次用线程函数时都会创建一个新的变量,而在线程函数后,这个变量将被销毁,这样就无法在多次用线程函数时保持这个变量的状态。因此,线程局部存储提供了一种在线程之间共享变量的方法,同时又保证了每个线程都有自己的私有变量,可以在多次用线程函数时保持变量的状态。线程局部存储通过为每个线程创建一个唯一的指针来实现
TLS调试 调试
ADADQDQQ的博客
07-19 406
一种基于TLS的高级调试技术
11-18
充分利用TLS函数在程序入口点之前就能获得程序控制权的特性,在TLS函数中进行调试操作比传统的调试技术有更好的效果。 知识点5:在程序中使用TLS Microsoft提供的VC编译器都支持直接在程序中使用TLS。...
TLS调试VC6
04-01
TLS调试VC6编译无压力通过,可OD
TLS加密Java实现
02-26
TLS加密Java实现
Docker启用TLS实现安全配置的步骤
09-29
Docker启用TLS(Transport Layer Security)是保护Docker守护进程套接字安全的重要步骤,它为Docker远程API提供加密和身份验证,防止未授权访问和数据泄露。TLS是一种广泛使用的网络安全协议,用于确保网络通信的...
利用TLS调试
qq_43147121的博客
08-22 731
今天说一下利用TLS提供的静态绑定函数调试
C++ 调试 - TLS
LYSM
09-05 634
这个调试的手法有一定的局限性,因为 TLS (线程局部存储)只是优先于 main 函数运行而已,并不是专门的调试,所以 —— 这种调试只能放置 OD ~ 打开,而不能防止 OD ~ 附加。 上代码: // 指定一个 "/INCLUDE:__tls_used" 连接选项 #pragma comment(linker, "/INCLUDE:__tls_used") VOID NTAPI TLS...
TLS线程本地存储进行调试
左手
08-03 435
[TOC] 盗版技术中,起最大作用的当属调试技术。然而传统的调试技术都存在一个弱点:他们都在程序真正开始执行之后才采取调试手段。实际上在调试代码被执行前,调试器有大量的时间来影响程序的执行,甚至可以在程序入口处插入断点命令来调试程序。对于使用C/C++语言编译的程序来说,问题通常会更严重,在执行到main()函数之前,会执行C/C++编译器插入的很大一段代码,这也给调试器带来影响程序执行
TLS中检测断点调试
热门推荐
小驹的专栏
11-21 1万+
TLS 原理:通过检测程序入口点处的200字节内是否有下的cc断点,如果有,刚程序退出 // TLS_test.cpp : Defines the entry point for the application. // #include "stdafx.h" #include "TLS_test.h" #include #include #pragma comment(linker, "
TLS式浅谈
weixin_44711063的博客
03-30 197
TLS,局部线程存储。先于OEP执行,可防止多线程争用资源,现常用于调试 AddressOfCallBacks为一个函数指针数组,里面存放callback函数地址,系统会在OEP之前用。 简单使用TLS: #include "iostream" #include "Windows.h" #include "tchar.h" //#include "ntdll/ntdll.h" //使用TLS #pragma comment(linker,"/INCLUDE:__tls_used") DWORD isD
【逆向工程核心原理:TLS函数
qq_42363151的博客
05-17 919
reverse
调试调试系列丨跑的比main快的调试
最新发布
qq_44005305的博客
08-27 129
5.1 选择属性5.2修改运行库,应用6.添加#include、#include7.向链接器声明,要使用TLS8.复制PIMAGE_TLS_CALLBACK里的三个参数9.完成注册TLS函数10.重新生成->运行发现没有运行到main函数11.加断点,再运行发现还是运行不起来.但是直接运行,可以正常打印,正常停止12.试下其他调试器12.1在od里运行:发现不能进入主模块12.2在IDA里打开:Ida会自动停在main函数上,意味着静态调试也发现不了TLS
手动给程序添加TLS函数,使程序具有调试功能
mengxj168的博客
10-03 975
TLS是线程独立的存储空间,使用TLS技术可以在线程内部独立使用或修改进程的全局数据或静态数据,就像对待自己的局部变量一样。TLS在系统启动时先于EP代码执行。如下是TLS的结构体union {struct {TLS结构体的大小是18h个字节,tls中重要的成员是,该值指向含有tls函数地址的数组。TLS函数是指每当创建、终止进程的线程时会自动用执行的函数。创建线程的主线程时也会自动函数,且其用执行先于EP代码。
WIN10 X64下通过TLS实现调试
liuyez123的博客
04-27 9553
1 TLS技术简介Thread Local Storage(TLS),是Windows为解决一个进程中多个线程同时访问全局变量而提供的机制。TLS可以简单地由操作系统代为完成整个互斥过程,也可以由用户自己编写控制信号量的函数。当进程中的线程访问预先制定的内存空间时,操作系统会用系统默认的或用户自定义的信号量函数,保证数据的完整性与正确性。 基于TLS调试,原理实为在实际的入口点代码执行
openssl函数
07-28
你可以自定义这个函数实现自定义的证书验证逻辑。 2. `SSL_CTX_set_verify`: 该函数用于设置验证模式和自定义验证函数。你可以使用自定义的函数来验证服务器证书的有效性。 3. `SSL_CTX_set_verify_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值