TLS回调函数(一)

最新推荐文章于 2023-09-26 14:04:59 发布
最新推荐文章于 2023-09-26 14:04:59 发布
阅读量2.4k 收藏 4
点赞数 4
分类专栏: 反调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hotspurs/article/details/90298636
版权

TLS (Thread Local Storage 线程局部存储 )回调函数常用于反调试。

程序运行时,TLS数据初始化和TLS回调函数都在入口处(OEP)之前执行,也就是说,TLS是程序开始执行的地方。(许多病毒或外壳程序会利用这一点执行一些特殊的操作)

TLS 定义:

typedef VOID
(NTAPI *PIMAGE_TLS_CALLBACK) (
 PVOID DllHandle, 
 DWORD Reason, 
 PVOID Reserved
 );

其中Reason 有以下几种参数:

#define DLL_PROCESS_DETACH 0 进程退出
#define DLL_PROCESS_ATTACH 1 进程启动
#define DLL_THREAD_ATTACH 2  线程启动
#define DLL_THREAD_DETACH 3  线程退出

实例:(小白写的简单,多多包涵)

TLS.cpp

#include <Windows.h>
#include <stdio.h>

void NTAPI __stdcall TLS_CALLBACK(PVOID DllHandle, DWORD dwReason, PVOID Reserved) //DllHandle模块句柄、Reason调用原因、 Reserved加载方式(显式/隐式)
{
	switch (dwReason)
	{
	case DLL_THREAD_ATTACH:									//Reason会有4种参数
		MessageBox(0, "TLS函数DLL_THREAD_ATTACH", "TLS", 0); break;
	case DLL_PROCESS_ATTACH:									//debug
		MessageBox(0, "TLS函数DLL_PROCESS_ATTACH", "TLS", 0); break;
	case DLL_THREAD_DETACH:
		MessageBox(0, "TLS函数DLL_THREAD_DETACH", "TLS", 0); break;
	case DLL_PROCESS_DETACH:
		MessageBox(0, "TLS函数DLL_PROCESS_DETACH", "TLS", 0); break;
	}
		
}
//使用TLS需要在程序中新建一个data段专门存放TLS数据,
//并且需要通知链接器在PE头中添加相关数据,所以有了这一段代码
#pragma comment (linker, "/INCLUDE:__tls_used")
#pragma comment (linker, "/INCLUDE:__tls_callback")

EXTERN_C

#pragma data_seg (".CRT$XLB")//.CRT表明是使用C RunTime机制,$后面的XLB中:X表示随机的标识,L表示是TLS callback section,B可以被换成B到Y之间的任意一个字母,
//但是不能使用“.CRT$XLA”和“.CRT$XLZ”,因为“.CRT$XLA”和“.CRT$XLZ”是用于tlssup.obj的。
PIMAGE_TLS_CALLBACK _tls_callback = TLS_CALLBACK;       //共享数据段
#pragma data_seg ()

int main()
{
	::MessageBox(0, "主窗口", "main'函数", 0);
	return 0;
}

运行:

第一个窗口:(TLS)

第二个窗口:(main函数)

ToTHotSpur
关注
专栏目录
TLS.rar_PE TLS
09-24
在这个例子中,汇编代码可能包括了如何定义TLS回调函数、在TLS表中登记回调地址以及如何在回调函数中执行特定的线程初始化任务。 通过分析和学习这个示例,开发者可以深入了解PE文件结构,特别是与TLS相关的部分,...
TLS回调函数–一文看懂(详)
Joyce_hjll的博客
03-15 1838
TLS回调函数 CTF RE
TLS回调函数
qq_39249347的博客
09-03 1771
练习:HelloTls.exe 运行练习程序,弹出一个消息框,单击确定按钮后,程序终止运行。 在OllyDbg调试器中打开并运行HelloTls.exe文件。 消息对话框中显示的内容于程序运行时显示的内容不同,单击确定按钮,HelloTls.exe进程随机终止。 原因在于,程序运行EP代码前先调用了TLS回调函数,而该回调函数中含有反调试代码,使程序在被调试时弹出“Debugger Detected!“消息对话框。 TLS TLS是各线程的独立的数据存储空间,使用TLS技术可在线程内部独立使用或
【逆向工程核心原理:TLS回调函数
qq_42363151的博客
05-17 1073
reverse
TLS回调函数的学习
stopys6的博客
09-11 277
本篇文章主要学习有关TLS(Thread Local Storage,线程局部存储)回调函数(CallBack Function),这种回调函数由于其特殊的特性通常会被运用于反调试技术中。本篇文章将通过分析代码,直接调试和手动创建TLS回调函数三个部分来学习有关TLS回调函数的知识。
TLS回调函数的学习为
woshiyanfu的博客
09-26 160
本篇文章主要学习有关TLS(Thread Local Storage,线程局部存储)回调函数(CallBack Function),这种回调函数由于其特殊的特性通常会被运用于反调试技术中。本篇文章将通过分析代码,直接调试和手动创建TLS回调函数三个部分来学习有关TLS回调函数的知识。
mbedtls RSA加解密
最新发布
05-28
该函数需要指定随机数生成器、密钥长度(通常为2048、3072或4096位)以及一个回调函数用于生成随机数。 2. **公钥导出**:生成的密钥对中,公钥可以安全地分享给他人。使用mbedtls_rsa_public()函数,我们可以将...
一种基于TLS的高级反调试技术
11-18
TLS回调函数是一个由用户编写的函数,在应用程序初始化阶段,系统将调用该函数以完成信号量的初始化以及其他的一些初始化工作。TLS回调函数具有如下的函数原型:void NTAPI TlsCallBackFunction(PVOID Handle, DWORD...
微信企业号开发php完整回调版
11-24
5. **回调机制**:回调函数是微信企业号处理消息的核心部分。当微信服务器接收到用户的消息或事件后,会将这些信息发送到开发者设定的回调URL,开发者需要在这个URL上编写代码来处理这些消息。 6. **自动回复**:...
TLS_CallBack.rar_TLS CALLBA_pe debugger_tlsCallback_tls_callba_手
09-19
TLS回调函数则是在线程开始执行之前调用的,这样开发者就可以在线程上下文中设置特定的数据或执行其他初始化任务。 **TLS Callback编程**涉及到在PE文件中定义TLS目录,并注册回调函数。这通常通过`IMAGE_TLS_...
TLS编程学习一 简单认识TLS
01-01
用一个最简单的例子来说明TLS的使用,本源码测试环境VC6.0,正常使用,里面包含了一个大牛自己写的一个lib,原版的VC6.0是不能使用tls的。大家可以放心下载吧!
TLS callback
xkdlzy的专栏
08-20 2212
TLS CALLBACK 回调函数 线程局部存储
线程局部存储(TLS
qq_42814021的博客
12-03 1273
TLS TLS:Thread Local Storage,线程局部存储,是一种存储变量的方法。 这个变量在它所在的线程内是全局访问的,但是不能被其他线程访问,因而实现了变量的线程独立性,适用于多线程编程。 通过TLS机制,可以让程序拥有全局变量,但该变量在不同的线程中有不同的值。 TLS的分类 根据线程局部存储的数据所用空间在程序运行期,操作系统完成的是动态申请还是静态分配,TLS技术分为两种: 动态TLS:通过四个Win32 API实现对线程局部数据的存储; 静态TLS:通过预先在PE文件中声明数据存储
手动给程序添加TLS回调函数,使程序具有反调试功能
mengxj168的博客
10-03 1075
TLS是线程独立的存储空间,使用TLS技术可以在线程内部独立使用或修改进程的全局数据或静态数据,就像对待自己的局部变量一样。TLS在系统启动时先于EP代码执行。如下是TLS的结构体union {struct {TLS结构体的大小是18h个字节,tls中重要的成员是,该值指向含有tls回调函数地址的数组。TLS回调函数是指每当创建、终止进程的线程时会自动调用执行的函数。创建线程的主线程时也会自动调用回调函数,且其调用执行先于EP代码。
PIMAGE_TLS_CALLBACK
谢绝(无视)留言与私信
08-01 1349
前言找到资料, 可以在VC6工程中, 直接设置TLS回调函数. 编译出来就带TLS段. 不用去分析TLS回调函数地址 + 手工填回调函数地址. 整理成了一个cpp, 在工程中包上, 修改回调函数就可以用了.代码片段// TlsMaker.cpp: implementation of the CTlsMaker class. // /////////////////////////////////
MemoryModule阅读与PE文件解析(四)---深入理解TLS
商少
04-05 1908
下面的操作是关于TLS 和 PE 入口点函数的,首先,了解什么是TLSTLS 是线程局部存储的简称,这种机制的特殊之处就在于,线程相关。对于普通的变量来说,如果它是全局或静态的,那么如果多线程程序同时访问可能会造成逻辑问题,TLS 提供了一种简便的方法来实现线程访问与该线程相关联的全局或静态变量的方法。 TLS 分为静态和动态 动态TLS 如下图所示: PEB 中有一个
TLS回调函数(1)
寻梦&之璐
01-24 1779
简述 代码逆向分析领域中,TLS(Thread Local Storage,线程局部存储)回调函数(Callback Function)常用反调试。TLS回调函数的调用运行要先于EP代码的执行,该特征使它可以作为一种反调试技术的使用。 TLS TLS是各线程的独立的数据存储空间,使用TLS技术可在线程内部独立使用或修改进程的全局数据或静态数据,就像对待自身的局部变量一样。 IMAGE_DATA_DIRECTORY[9] 若在编程中启用了TLS功能,PE头文件中就会设置TLS表(TLS Table)项目,如下
openssl回调函数
07-28
OpenSSL 提供了一些回调函数,用于在特定事件发生时通知应用程序。以下是一些常用的 OpenSSL 回调函数: 1. `SSL_CTX_set_cert_verify_callback`: 这个回调函数用于验证服务器证书。你可以自定义这个回调函数来实现自定义的证书验证逻辑。 2. `SSL_CTX_set_verify`: 该函数用于设置验证模式和自定义验证回调函数。你可以使用自定义的回调函数来验证服务器证书的有效性。 3. `SSL_CTX_set_verify_depth`: 设置证书链验证的最大深度。这个回调函数可以帮助你限制证书链的深度,以防止可能的恶意攻击。 4. `SSL_CTX_set_info_callback`: 这个回调函数在 SSL/TLS 握手过程中提供有关事件的详细信息。它可用于记录日志或执行其他自定义操作。 这只是一小部分常见的回调函数示例,OpenSSL 还提供了其他回调函数来处理不同的事件和任务。你可以根据具体的需求选择合适的回调函数来满足你的应用程序需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值