TSL反调试

最新推荐文章于 2021-08-07 05:17:40 发布
最新推荐文章于 2021-08-07 05:17:40 发布
阅读量450 收藏
点赞数
分类专栏: c/c++ Debug/Anti-Debug 
// AntiDbgWithTLS.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include <windows.h>
#include <tlhelp32.h>
#include <iostream>

#pragma comment(linker,"/INCLUDE:__tls_used")
BOOL LookupProcess();
BOOL IsBeingDbg();

void WINAPI	 tls_callback(PVOID h, DWORD dwReason, PVOID pv)
{
	if (LookupProcess())
	{
		MessageBox(NULL, _T("Debugger found!"), NULL, 0);
		exit(0);
	}
	if (IsBeingDbg())
	{
		MessageBox(NULL, _T("Being debugged!"), NULL, 0);
		exit(1);
	}
	std::cout << "In tls_callback" << std::endl;
	
}

#pragma data_seg(".CRT$XLB")
PIMAGE_TLS_CALLBACK p_Thread_CallBack = tls_callback;
#pragma data_seg()

int _tmain(int argc, _TCHAR* argv[])
{
	std::cout << "In main..." << std::endl;
	return 0;
}

BOOL LookupProcess()
{
	BOOL bRet = FALSE;
	PROCESSENTRY32 pe32;
	pe32.dwSize = sizeof(pe32);
	HANDLE hSnap = ::CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
	if (hSnap == INVALID_HANDLE_VALUE)
	{
		std::cout << "CreateToolhelp32Snapshot failed" << std::endl;
	}

	BOOL bMore = ::Process32First(hSnap, &pe32);
	while (bMore)
	{
		_tcslwr_s(pe32.szExeFile,_tcslen(pe32.szExeFile) * sizeof(TCHAR));
		if (_tcscmp(pe32.szExeFile,_T("ollydbg.exe")) == 0)
		{
			bRet = TRUE;
			break;
		}
		if (_tcscmp(pe32.szExeFile, _T("peid.exe")) == 0)
		{
			bRet = TRUE;
			break;
		}
		if (_tcscmp(pe32.szExeFile, _T("ollyice.exe")) == 0)
		{
			bRet = TRUE;
			break;
		}
		if (_tcscmp(pe32.szExeFile, _T("windbg.exe")) == 0)
		{
			bRet = TRUE;
			break;
		}
		if (_tcscmp(pe32.szExeFile, _T("idaq.exe")) == 0)
		{
			bRet = TRUE;
			break;
		}
		bMore = ::Process32Next(hSnap, &pe32);
	}
	::CloseHandle(hSnap);
	return bRet;
}

BOOL IsBeingDbg()
{
	BOOL bRet;
	bRet = FALSE;
	__asm
	{
		mov		ebx, fs:[0x30]//偏移0x30处为PEB
		movzx	edx, byte ptr ds:[ebx+0x2]//取PEB中Being debug,若为1则被调试
		mov     bRet,edx
	}
	if (IsDebuggerPresent())
	{
		bRet = TRUE;
	}
	return bRet;
}

madjoe
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C++ 调试(TLS回调函数)
LYSM
09-05 1223
关于 TSL 调试的内容,参考这篇文章 说完调试,如果不说调试就 毫无意义 ! 下面讲下针对 TLS 回调函数的调试方法。 引用了 TLS 功能的程序会在 PE 文件里生成一个 TLS 表: 进入这个表中查看,发现它的大小为 24 个字节: 关于 TLS 的结构体,有 32 位和 64 位两个版本: 其中 _IMAGE_TLS_DIRECTORY64 大小为:84+42=40,...
TLS调试
xuqi7
08-21 315
TLS, Thread Local Storage, 线程局部存储,其它线程不可访问,可实现多线程安全。利用TLS可以实现一种调试
TLS回调函数
qq_39249347的博客
09-03 1665
练习:HelloTls.exe 运行练习程序,弹出一个消息框,单击确定按钮后,程序终止运行。 在OllyDbg调试器中打开并运行HelloTls.exe文件。 消息对话框中显示的内容于程序运行时显示的内容不同,单击确定按钮,HelloTls.exe进程随机终止。 原因在于,程序运行EP代码前先调用了TLS回调函数,而该回调函数中含有调试代码,使程序在被调试时弹出“Debugger Detected!“消息对话框。 TLS TLS是各线程的独立的数据存储空间,使用TLS技术可在线程内部独立使用或
windows API 第九篇 _tcslwr _strlwr _wcslwr _mbslwr
10-08 285
将字符串转化为小写Convert a string to lowercase.函数原型: char *_strlwr( char *string ); //#include <string.h> wchar_t *_wcslwr( wchar_t *string ); //#include <strin...
TLS及TLS调试
lixiangminghate的专栏
07-06 5750
不得不说这个标题写的有点大,大到涉及到编译连接的内容,我还是努力把他写好吧。这里只讨论TLS静态存储,T不讨论TLS动态存储,毕竟跟调试关系不大。     TLS设计的本意,是为了解决多线程程序中变量同步的问题,是Thread Local Storage的缩写,意为线程本地存储。线程本身有独立于其他线程的栈空间,因此线程中的局部变量不用考虑同步问题。多线程同步问题在于对全局变量的访问,TLS在
tsl1401CCD调试心得
11-11
本人参加第八届飞思卡尔智能车竞赛光电平衡组,成绩尚可 对于线性ccd调试积累了一定经验 文档讲述了调试过程中的一些细节经验。 对于初学者很有帮助
TSL2591.pdf
05-08
TSL2591.pdf
TSL2591中文手册
03-01
TSL2591中文手册,手工加机翻
TSL2561传感器
01-30
该篇介绍了TSL2561传感器的概念,内部结构,管脚的功能等内容
CCD调试上位机+TSL1401中文资料
10-15
TSL1401文档资料英文版和中文版数据手册, 多个上位机调试软件,帮助您快速开发。飞思卡尔智能车比赛必胜秘诀
一种基于TLS的高级调试技术
胸怀世界,一点一滴的编程可以改变世界,实现梦想。
06-08 2874
盗版行为日益猖獗,严重影响到软件开发者和开发商的知识产权及利益,盗版技术的重要性也越来越引起人们的重视。在盗版技术中,起最大作用的当属调试技术。然而传统的调试技术都存在一个弱点:他们都在程序真正开始执行之后才采取调试手段。实际上在调试代码被执行前,调试器有大量的时间来影响程序的执行,甚至可以在程序入口处插入断点命令来调试程序。对于使用C/C++语言编译的程序来说,问题通常会更严重,在执
TLS调试检测和调试
hambaga的博客
09-13 871
TLS是线程本地存储,定义TLS函数,在函数内可以调用内核函数 NtQueryInformationProcess 检查当前是否处于被调试状态,也可以调用 NtSetInformationThread 让调试崩溃。 // TLS调试.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。 // #include <stdio.h> #include <Windows.h> #include "MINT.h" #pragma comment(linker,"/I
TLS回调函数(一)
Hotspurs的博客
05-17 2379
TLS (Thread Local Storage 线程局部存储 )回调函数常用于调试。 程序运行时,TLS数据初始化和TLS回调函数都在入口处(OEP)之前执行,也就是说,TLS是程序开始执行的地方。(许多病毒或外壳程序会利用这一点执行一些特殊的操作) TLS 定义: typedef VOID (NTAPI *PIMAGE_TLS_CALLBACK) ( PVOID DllHandl...
tls 回调
x
08-07 243
不修改aop, 用静态 tls回调在线程初始化时做一些事 * 线程启动前会先初始化tls结构 , 依次调用tls回调数组 1.在全局变量定义一个IMAGE_TLS_DIRECTORY 变量 模拟tls结构 2.在回调部分放上自己的函数 3.修改数据目录tls的位置, 指向自己的结构 模拟tls 的C代码: tls回调函数跟dllentry 参数一样 tls结构的第4个参数是一个回调数组, 依次调用 前3个参数在这里没用 , 具体参考msdn #include <i...
常用的字符串操作
zhanghaodx082的专栏
01-25 877
// Format string _vsntprintf_s/_vstprintf_s: Write formatted output using a pointer to a  list of arguments. _sntprintf_s/_stprintf_s: Writes formatted data to a string. _sntscanf_s/_stscanf_s: Re
13.使用更安全CRT函数(C语言)
wangqifeng10_16的专栏
08-03 3474
CRT函数
websocket tsl
最新发布
08-29
WebSocket是一种在网络上进行全双工通信的通信协议。它允许服务器和客户端之间建立持久连接,使双方能够实时地进行数据传输。TLS(Transport Layer Security)是一种加密协议,用于保护通过网络传输的数据的安全性和完整性。当WebSocket与TLS一起使用时,通信数据会在传输过程中进行加密,确保数据的保密性和安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值