TLS回调函数的应用

最新推荐文章于 2024-03-15 10:32:01 发布
最新推荐文章于 2024-03-15 10:32:01 发布
阅读量1.2k 收藏
点赞数
分类专栏: 学习笔记 文章标签: TLS 反调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cyxvc/article/details/49330491
版权

每当创建 / 终止进程的线程时会自动调用执行的函数。创建的主线程也会自动调用回调函数,且其调用执行先于EP代码。

1 TLS技术简介
TLS全称为Thread Local Storage,是Windows为解决一个进程中多个线程同时访问全局变量而提供的机制。TLS可以简单地由操作系统代为完成整个互斥过程,也可以由用户自己编写控制信号量的函数。当进程中的线程访问预先制定的内存空间时,操作系统会调用系统默认的或用户自定义的信号量函数,保证数据的完整性与正确性。
1.1 TLS回调函数
当用户选择使用自己编写的信号量函数时,在应用程序初始化阶段,系统将要调用一个由用户编写的初始化函数以完成信号量的初始化以及其他的一些初始化工作。此调用必须在程序真正开始执行到入口点之前就完成,以保证程序执行的正确性。
TLS回调函数具有如下的函数原型:
void NTAPI TlsCallBackFunction(PVOID Handle, DWORD Reason, PVOID Reserve);
1.2 TLS的数据结构
Windows的可执行文件为PE格式,在PE格式中,专门为TLS数据开辟了一段空间,具体位置为IMAGE_NT_HEADERS.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_TLS]。其中
DataDirectory的元素具有如下结构:
typedef struct _IMAGE_DATA_DIRECTORY {
DWORD VirtualAddress;
DWORD Size;
} IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;
对于TLS的DataDirectory元素,VirtualAddress成员指向一个结构体,结构体中定义了访问需要互斥的内存地址、TLS回调函数地址以及其他一些信息。
2 反调试实现及原理
充分利用TLS回调函数在程序入口点之前就能获得程序控制权的特性,在TLS回调函数中进行反调试操作比传统的反调试技术有更好的效果。
2.1 在程序中使用TLS
Microsoft提供的VC编译器都支持直接在程序中使用TLS,下文都将使用VC进行操作。要在程序中使用TLS,必须为TLS数据单独建一个数据段,用相关数据填充此段,并通知链接器为TLS数据在PE文件头中添加数据。为此,需要在程序源文件中添加如下代码:
#pragma comment(linker, "/INCLUDE:__tls_used")
#pragma data_seg(".CRT$XLB")
PIMAGE_TLS_CALLBACK TlsCallBackArray[] = {
TlsCallBackFunction1,
TlsCallBackFunction2,
......
NULL
};
#pragma data_seg()
其中TlsCallBackArray数组中保存了所有的TLS回调函数指针。值得指出的是,数组必须以NULL指针结束,且数组中的每一个回调函数在程序初始化时都会被调用,程序员可按需要添加。但程序员不应当假设操作系统已何种顺序调用回调函数。如此则要求在TLS回调函数中进行反调试操作需要一定的独立性。


需要指出的是,在TLS回调函数执行时,VC运行库msvcrt.dll,mfc.dll等并未载入,不能使用C库的函数。如果有需要使用,应该使用LoadLibrary()函数载入相应的库并使用GetProcAddress()获得函数地址。但此类操作可能会导致调试器的相关事件触发,不建议进行此类操作。

OD反调试实现代码:

// TLS.cpp : 定义控制台应用程序的入口点。
//
//TLS回调函数在Main函数之前执行,也会在OD下断之前执行
// 运行结果:
//t_TlsCallBack_A->ThreadATTACH!
//t_TlsCallBack_B->ThreadATTACH!
//t_Thread->First Printf : TLS gt_szStr = 0x11111111     (第一个线程将gt_szStr修改为0x22222222)
//t_Thread->Second Printf : TLS gt_szStr = 0x22222222
//t_TlsCallBack_A->ThreadDetach!
//t_TlsCallBack_B->ThreadDetach!
//
//t_TlsCallBack_A->ThreadATTACH!
//t_TlsCallBack_B->ThreadATTACH!
//t_Thread->First Printf : TLS gt_szStr = 0x11111111     (但并未影响到第二个线程中gt_szStr的值)
//t_Thread->Second Printf : TLS gt_szStr = 0x22222222
//t_TlsCallBack_A->ThreadDetach!
//t_TlsCallBack_B->ThreadDetach!

#include "stdafx.h"
#include <Windows.h>

首先需要准备TLS变量与回调函数
//TLS变量
__declspec (thread) int gt_nNum = 0x11111111;
TCHAR gt_szStr[] = _T("TLS gt_szStr = 0x%p \r\n");

//TLS回调函数A (TLS回调函数在Main函数之前执行,也会在OD下断之前执行)
void NTAPI t_TlsCallBack_A(PVOID DLLHandle, DWORD Reason, PVOID Red)
{
	//OD反调试
	HWND hWnd = FindWindow(L"OllyDbg", NULL);
	PostMessage(hWnd, WM_DESTROY, 0, 0);

	if (Reason==DLL_THREAD_DETACH)//如果线程退出则打印信息
	{
		_tprintf(_T("t_TlsCallBack_A -> ThreadDetach!\r\n"));
	}
	if (Reason == DLL_THREAD_ATTACH)//如果线程创建则打印信息
	{
		_tprintf(_T("t_TlsCallBack_A -> ThreadATTACH!\r\n"));
	}
	return;
}

//TLS回调函数B
void NTAPI t_TlsCallBack_B(PVOID DLLHandle, DWORD Reason, PVOID Red)
{
	if (Reason == DLL_THREAD_DETACH)//如果线程退出则打印信息
	{
		_tprintf(_T("t_TlsCallBack_B -> ThreadDetach!\r\n"));
	}
	if (Reason == DLL_THREAD_ATTACH)//如果线程创建则打印信息
	{
		_tprintf(_T("t_TlsCallBack_B -> ThreadATTACH!\r\n"));
	}
	return;
}


//声明一个区段,注册TLS回调函数信息
 #pragma data_seg(".CRT$XLB")
 //	保存TLS回调函数的数组,NULL表示结束
 PIMAGE_TLS_CALLBACK p_thread_callbackp[] = { t_TlsCallBack_A, t_TlsCallBack_B,NULL };
 #pragma data_seg()


//编写一个多线程程序,并在内部使用TLS
DWORD WINAPI t_ThreadFun(PVOID pParam)
{
	_tprintf(_T("t_Thread -> First Printf:"));
	_tprintf(gt_szStr, gt_nNum);
	gt_nNum = 0x22222222;//其中一个线程修改了gt_nNum
	_tprintf(_T("t_Thread -> Second Printf:"));
	_tprintf(gt_szStr, gt_nNum);
	return 0;
}

int _tmain(int argc, _TCHAR* argv[])
{
	CreateThread(NULL, 0, t_ThreadFun, NULL, 0, 0);
	Sleep(100);	//暂停100毫秒,让第一个线程运行完
	_tprintf(_T("\r\n"));

	CreateThread(NULL, 0, t_ThreadFun, NULL, 0, 0);
	Sleep(100);
	_tprintf(_T("\r\n"));

	system("pause");
	return 0;
}




cyxvc
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
golang简单tls协议用法完整示例
09-21
主要介绍了golang简单tls用法,分析了tls协议的使用步骤及客户端与服务器端的相关实现代码,需要的朋友可以参考下
TLS回调函数
qq_39249347的博客
09-03 1665
练习:HelloTls.exe 运行练习程序,弹出一个消息框,单击确定按钮后,程序终止运行。 在OllyDbg调试器中打开并运行HelloTls.exe文件。 消息对话框中显示的内容于程序运行时显示的内容不同,单击确定按钮,HelloTls.exe进程随机终止。 原因在于,程序运行EP代码先调用了TLS回调函数,而该回调函数中含有调试代码,使程序在被调试时弹出“Debugger Detected!“消息对话框。 TLS TLS是各线程的独立的数据存储空间,使用TLS技术可在线程内部独立使用或
TLS回调函数–一文看懂(详)
最新发布
Joyce_hjll的博客
03-15 1261
TLS回调函数 CTF RE
TLS回调函数(一)
Hotspurs的博客
05-17 2382
TLS (Thread Local Storage 线程局部存储 )回调函数常用于调试。 程序运行时,TLS数据初始化和TLS回调函数都在入口处(OEP)之执行,也就是说,TLS是程序开始执行的地方。(许多病毒或外壳程序会利用这一点执行一些特殊的操作) TLS 定义: typedef VOID (NTAPI *PIMAGE_TLS_CALLBACK) ( PVOID DllHandl...
tls回调
patdz的专栏
08-04 1811
最初是因为在一个线程中有加锁,解锁的操作,而如果在线程加锁时候干掉它,这个锁就会永远被锁死。所以想搞个回调来自动释放锁。所以查到了tls callback。 但是。。。。。。 注意,如果用TerminateThread干死的线程,将没有机会回调。。。。 可见TerminateThread是多么邪恶的一个函数吧   参考自:http://www.codeproject.com/Articl
C++采用TLS线程局部存储的用法实例
01-20
本文实例讲述了C++采用TLS线程局部存储的用法。分享给大家供大家参考。 具体方法如下: 代码如下:// useTLS.cpp : 定义控制台应用程序的入口点。  //    #include “stdafx.h”  #include   #include     //...
mbedtls开源sdk
04-06
mbedTLS身 PolarSSL)是一个由 ARM 公司开源和维护的 SSL/TLS 算法库。其使用 C 编程语言以最小的编码占用空间实现了 SSL/TLS 功能及各种加密算法,易于理解、使用、集成和扩展,方便开发人员轻松地在嵌入式产品...
mbedtls官方文档离线版本
10-30
mbedtls官方文档(包括所有API说明)的离线版本,方便没网时候单机查询,chm格式,原始网站为:https://tls.mbed.org/api/,手工拉取所有网站内容制作的离线版本文档。
tls 回调
x
08-07 244
不修改aop, 用静态 tls回调在线程初始化时做一些事 * 线程启动会先初始化tls结构 , 依次调用tls回调数组 1.在全局变量定义一个IMAGE_TLS_DIRECTORY 变量 模拟tls结构 2.在回调部分放上自己的函数 3.修改数据目录tls的位置, 指向自己的结构 模拟tls 的C代码: tls回调函数跟dllentry 参数一样 tls结构的第4个参数是一个回调数组, 依次调用 3个参数在这里没用 , 具体参考msdn #include <i...
【逆向工程核心原理:TLS回调函数
qq_42363151的博客
05-17 880
reverse
TLS回调函数(2)
寻梦&之璐
02-03 508
手动添加TLS回调函数 设计规划 首先要确定IMAGE_TLS_DIRECTORY结构体与TLS回调函数放到文件的哪个位置。向某个PE文件添加代码或数据时,有如下3种方法查找合适位置: 添加到节区末尾的空白区域 添加到最后一个节区的大小 在最后添加新节区 这里呢,我们采用第二种方法,即增加最后一个节区(.rsrc)的节区头。 可以看到,最后一个节区(.rsrc)的Pointer to Raw Data=9A00,Size of Raw Data=600。所以PE头中定义的文件整体大小为A000。考虑到
TLS回调
125096
05-25 347
#include #pragma comment(linker, "/INCLUDE:__tls_used") #pragma comment(lib, "User32.lib") void NTAPI TLS_CALLBACK(PVOID DllHandle, DWORD Reason, PVOID Reserved) { if (IsDebuggerPresent())
171123 逆向-TLS回调函数
whklhhhh的博客
11-28 763
1625-5 王子昂 总结《2017年11月23日》 【连续第419天总结】 A. TLS回调函数 B. 上次HCTF遇到了TLS调,只大致看了一下,这次正好书上看到,详细记录一发介绍TLS是各线程独立的数据存储空间。 使用TLS技术可在线程内部独立使用或修改进程的全局数据或静态数据,就像对待自身的局部变量一样。进程启动运行时,在执行EP代码,系统会逐一调用存储在TLS回调函数地址数组
通过TLS回调函数调试
weixin_30871701的博客
02-24 268
下面是TLS数据结构的定义 typedef struct _IMAGE_TLS_DIRECTORY { DWORD StartAddressOfRawData; DWORD EndAddressOfRawData; DWORD AddressOfIndex; DWORD AddressOfCallBac...
【PE进阶】手动添加TLS回调函数
weixin_33672109的博客
11-26 672
情提要 Demo代码 #include <windows.h> int tls(){ MessageBox(NULL,"This is TLS CallBack!","TLS Success",MB_OK); return 0; } int main(){ MessageBox(NULL,"This ...
TLS调试
Tandy12356_的博客
05-14 726
在多线程编程中,如果在线程函数内部直接定义一个私有变量,那么这个变量将会是在栈上分配的,每次调用线程函数时都会创建一个新的变量,而在线程函数返回后,这个变量将被销毁,这样就无法在多次调用线程函数时保持这个变量的状态。因此,线程局部存储提供了一种在线程之间共享变量的方法,同时又保证了每个线程都有自己的私有变量,可以在多次调用线程函数时保持变量的状态。线程局部存储通过为每个线程创建一个唯一的指针来实现。
TLS回调函数的使用
qq_33522888的博客
07-29 954
按照一些教材写了TLS回调函数,但运行后发现了各种各样的问题,例如debug下运行TLS回调函数,但是release下无法运行。。。所以整理了一下正确定义TLS回调函数的方法。第一步:去掉工程的预编译头,并添加文件tls.c//tls.c start #include <Windows.h> #pragma data_seg(".tls") #pragma comment(linker, "/INC
openssl回调函数
07-28
4. `SSL_CTX_set_info_callback`: 这个回调函数在 SSL/TLS 握手过程中提供有关事件的详细信息。它可用于记录日志或执行其他自定义操作。 这只是一小部分常见的回调函数示例,OpenSSL 还提供了其他回调函数来处理...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值