TLS回调函数

最新推荐文章于 2024-03-15 10:32:01 发布
最新推荐文章于 2024-03-15 10:32:01 发布
阅读量1.7k 收藏 9
点赞数 3
分类专栏: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39249347/article/details/108376839
版权

练习:HelloTls.exe

  1. 运行练习程序,弹出一个消息框,单击确定按钮后,程序终止运行。
    在这里插入图片描述
  2. 在OllyDbg调试器中打开并运行HelloTls.exe文件。
    在这里插入图片描述
  3. 消息对话框中显示的内容于程序运行时显示的内容不同,单击确定按钮,HelloTls.exe进程随机终止。
    在这里插入图片描述
  4. 原因在于,程序运行EP代码前先调用了TLS回调函数,而该回调函数中含有反调试代码,使程序在被调试时弹出“Debugger Detected!“消息对话框。

TLS

  1. TLS是各线程的独立的数据存储空间,使用TLS技术可在线程内部独立使用或修改进程的全局数据或静态数据,就像对待自身的局部变量一样。
  2. IMAGE_DATA_DIRECTORY[9]
  • 若在编程中启用了TLS功能,PE头文件中就会设置TLS表项目。
    在这里插入图片描述
  • IMAGE_TLS_DIRECTORY结构体位于RVA 1A0.
    在这里插入图片描述
  • IMAGE_TLS_DIRECTORY结构体有2种版本,分别为32位版本与64位版本,使用PEView工具查看IMAGE_TLS_DIRECTORY结构体。
    在这里插入图片描述
  • 比较重要的成员为AddressOfCallbacks,该值指向含有TLS回调函数地址数组,这意味着可用向同一程序注册多个TLS回调函数。(数组以NULL值结束。)
    在这里插入图片描述
  • 该数组实际存储的就是TLS回调函数的地址,进程启动运行时,(执行EP代码前)系统会逐一调用存储在该数组该数组种的函数。

TLS回调函数

  1. TLS回调函数是指,没当创建/终止进程的线程时会自动调用执行的函数,创建进程的主线程时也会自动调用回调函数,且其调用执行先于EP代码,反调试技术利用的就是TLS回调函数的这一特征。
  2. IMAGE_TLS_CALLBACK
  • TLS回调函数的定义如下:
(NTAPI *PIMAGE_TLS_CALLBACK)(
	PVOID DllHandle,
	DWORD Reason,
	PVOID Reserved
);
  • 仔细观察TLS回调函数的定义可用发现,它于DllMain()函数的定义类似:
BOOL WINAPI DllMain(
	__in HINSTANCE hinstDLL,
	__in DWORD fdwReason,
	__in LPVOID lpReserved
);
  • 它们的参数顺序与含义都是一样的,其中,参数DllHandle为模块句柄(即加载地址),参数Reason表示调用TLS回调函数的原因,具体原因有4种。
#define DLL_PROCESS_ATTACH 1
#define DLL_THREAD_ATTACH 2
#define DLL_THREAD_DETACH 3
#define DLL_PROCESS_DETACH 0

TlsTest.exe

  1. TlsTest.exe程序的源代码。
#include <windows.h>

#pragma comment(linker, "/INCLUDE:__tls_used")

void print_console(char* szMsg)
{
    HANDLE hStdout = GetStdHandle(STD_OUTPUT_HANDLE);

    WriteConsoleA(hStdout, szMsg, strlen(szMsg), NULL, NULL);
}

void NTAPI TLS_CALLBACK1(PVOID DllHandle, DWORD Reason, PVOID Reserved)
{
    char szMsg[80] = {0,};
    wsprintfA(szMsg, "TLS_CALLBACK1() : DllHandle = %X, Reason = %d\n", DllHandle, Reason);
    print_console(szMsg);
}

void NTAPI TLS_CALLBACK2(PVOID DllHandle, DWORD Reason, PVOID Reserved)
{
    char szMsg[80] = {0,};
    wsprintfA(szMsg, "TLS_CALLBACK2() : DllHandle = %X, Reason = %d\n", DllHandle, Reason);
    print_console(szMsg);
}

#pragma data_seg(".CRT$XLX")
    PIMAGE_TLS_CALLBACK pTLS_CALLBACKs[] = { TLS_CALLBACK1, TLS_CALLBACK2, 0 };
#pragma data_seg()

DWORD WINAPI ThreadProc(LPVOID lParam)
{
    print_console("ThreadProc() start\n");

    print_console("ThreadProc() end\n");

    return 0;
}

int main(void)
{
    HANDLE hThread = NULL;

    print_console("main() start\n");

    hThread = CreateThread(NULL, 0, ThreadProc, NULL, 0, NULL);
    WaitForSingleObject(hThread, 60*1000);
    CloseHandle(hThread);

    print_console("main() end\n");

    return 0;
}
  • TlsTest.cpp源代码注册了2个TLS回调函数(TLS_CALLBACK1、TLS_CALLBACK2),它们也非常简单,只是将DllHandle与Reason这2个参数的值输出到控制台,然后终止退出。
  • main()函数也非常,创建用户线程(ThreadProc)后终止,main()与ThreadProc()内部分别将函数开始/终止日志输出到控制台。
    在这里插入图片描述
  1. DLL_PROCESS_ATTACH
  • 进程的主线程调用main()函数前,已经注册了TLS回调函数(TLS_CALLBACK1、TLS_CALLBACK2)会先被调用执行,此时Reason的值为1(DLL_PROCESS_ATTACH)。
  1. DLL_THREAD_ATTACH
  • 所有TLS回调函数完成调用后,main()函数开始调用执行,创建用户线程(ThreadProc)前,TLS回调函数会被再次调用执行,此时Reason=2(DLL_THREAD_ATTACH)。
  1. DLL_THREAD_DETACH
  • TLS回调函数全部执行完毕后,ThreadProc()线程函数开始调用执行,其执行完毕后Reason=3(DLL_THREAD_DETACH),TLS回调函数被调用执行。
  1. DLL_PROCESS_DETACH
  • ThreadProc()线程函数执行完毕后,一直等待线程终止的main()函数(主线程)也会终止,此时Reason=0(DLL_PROCESS_DETACH),TLS回调函数最后依次被调用执行。

调试TLS回调函数

  1. 修改OllyDbg(2.0)选项就可以调试TLS回调函数。
    在这里插入图片描述
  2. 重启应用程序,程序会暂停在TLS回调函数,
    在这里插入图片描述

手工添加TLS回调函数

  1. 本节的目标是直接修改Hello.exe文件(PE文件),为其添加TLS回调函数。
  2. 修改前的原程序。
  • 修改前的原程序为Hello.exe,它非常简单,运行时弹出一个消息框,然后终止退出。
    在这里插入图片描述
  1. 首先要确定IMAGE_TLS_DIRECTORY结构体与TLS回调函数放到文件的哪个位置。
  • 添加到节区末尾的空白区域。
  • 增加最后一个节区的大小。
  • 在最后添加新节区。
  1. 这里采用第二个方法,即增加最后一个节区的大小。
    在这里插入图片描述
  • 最后一个节区(.rsrc)的Pointer to Raw Data = 9000,Size of Raw Data = 200,所以PE头中的定义的文件整体大小为9200,考虑到要添加的代码与数据的大小,我们将最后一个节区大小增加到200(文件的大小增加到9400)。
    在这里插入图片描述
  1. 编辑PE文件头
  • 分别修改.rcrs节区头中Size of Raw Data与Characteristics的值,即Size of Raw Data = 400、Characteristics = E0000060.
    在这里插入图片描述
  • Characteristics=E0000060.
    在这里插入图片描述
  • 在原有属性的基础上新增了IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_WRITE属性。
  1. IMAGE_DATA_DIRECTORY[9]
  • 接下来要设置TLS表(IMAGE_NT_HEADERS-IMAGE_OPTIONAL_HEADER-IMAGE_DATA_DIRECTORY[9])的值,拓展区域的起始地址为9200(文件偏移),在PEView中查看该地址为C200(RVA地址),我们将从该地址处创建IMAGE_TLS_DIRECTORY结构体,因此修改PE文件头的IMAGE_DATA_DIRECTORY[9]。
    在这里插入图片描述
  • 修改后用PEView工具查看。
    在这里插入图片描述
  1. 设置IMAGE_TLS_DIRECTORY结构体
  • 只要把TLS回调函数注册到其中即可,编辑设置IMAGE_TLS_DIRECTORY结构体。
    在这里插入图片描述
  • 在文件偏移9200(RVA C200)地址处创建了IMAGE_TLS_DIRECTORY结构体,AddressOfCallbacks成员的值为VA 40C224(文件偏移9224),它是Array of TLS Callback Function的起始地址。只要把TLS回调函数的地址(40C230)放入该数组,即可成功注册TLS回调函数。
  • 先向TLS回调函数写入C2 0C00 - RETN 0C命令,即在TLS回调函数中不执行任何操作。
  1. 编写TLS回调函数
  • 利用OllyDbg的汇编功能,从40C230地址处开始编写反调试代码。
    在这里插入图片描述
  • 编写好TLS回调函数后,将修改的代码全部选中,鼠标右键Edit->Copy to executable->右键->save file.
  • ESP + 8 存储的是Reason参数的值,若值为1(DLL_PROCESS_ATTACH)时,检查PEB.BeingDebugged成员,若处于调试状态,则弹出消息框(MessageBoxA)后终止并退出进程。
  1. 使用OllyDbg打开我们添加了回调函数的程序,下图表明手工添加TLS回调函数成功。
    在这里插入图片描述
云袖er
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
TLS回调函数的学习
stopys6的博客
09-11 262
本篇文章主要学习有关TLS(Thread Local Storage,线程局部存储)回调函数(CallBack Function),这种回调函数由于其特殊的特性通常会被运用于反调试技术中。本篇文章将通过分析代码,直接调试和手动创建TLS回调函数三个部分来学习有关TLS回调函数的知识。
TLS回调函数(2)
寻梦&之璐
02-03 546
手动添加TLS回调函数 设计规划 首先要确定IMAGE_TLS_DIRECTORY结构体与TLS回调函数放到文件的哪个位置。向某个PE文件添加代码或数据时,有如下3种方法查找合适位置: 添加到节区末尾的空白区域 添加到最后一个节区的大小 在最后添加新节区 这里呢,我们采用第二种方法,即增加最后一个节区(.rsrc)的节区头。 可以看到,最后一个节区(.rsrc)的Pointer to Raw Data=9A00,Size of Raw Data=600。所以PE头中定义的文件整体大小为A000。考虑到
TLS回调函数–一文看懂(详)
最新发布
Joyce_hjll的博客
03-15 1718
TLS回调函数 CTF RE
TLS回调函数(一)
Hotspurs的博客
05-17 2419
TLS (Thread Local Storage 线程局部存储 )回调函数常用于反调试。 程序运行时,TLS数据初始化和TLS回调函数都在入口处(OEP)之前执行,也就是说,TLS是程序开始执行的地方。(许多病毒或外壳程序会利用这一点执行一些特殊的操作) TLS 定义: typedef VOID (NTAPI *PIMAGE_TLS_CALLBACK) ( PVOID DllHandl...
tls回调
patdz的专栏
08-04 1832
最初是因为在一个线程中有加锁,解锁的操作,而如果在线程加锁时候干掉它,这个锁就会永远被锁死。所以想搞个回调来自动释放锁。所以查到了tls callback。 但是。。。。。。 注意,如果用TerminateThread干死的线程,将没有机会回调。。。。 可见TerminateThread是多么邪恶的一个函数吧   参考自:http://www.codeproject.com/Articl
TLS回调函数的学习3
luoxiayan的博客
09-26 58
本篇文章主要学习有关TLS(Thread Local Storage,线程局部存储)回调函数(CallBack Function),这种回调函数由于其特殊的特性通常会被运用于反调试技术中。本篇文章将通过分析代码,直接调试和手动创建TLS回调函数三个部分来学习有关TLS回调函数的知识。
tls 回调
x
08-07 260
不修改aop, 用静态 tls回调在线程初始化时做一些事 * 线程启动前会先初始化tls结构 , 依次调用tls回调数组 1.在全局变量定义一个IMAGE_TLS_DIRECTORY 变量 模拟tls结构 2.在回调部分放上自己的函数 3.修改数据目录tls的位置, 指向自己的结构 模拟tls 的C代码: tls回调函数跟dllentry 参数一样 tls结构的第4个参数是一个回调数组, 依次调用 前3个参数在这里没用 , 具体参考msdn #include <i...
TLS_CallBack.rar_TLS CALLBA_pe debugger_tlsCallback_tls_callba_手
09-19
TLS回调函数则是在线程开始执行之前调用的,这样开发者就可以在线程上下文中设置特定的数据或执行其他初始化任务。 **TLS Callback编程**涉及到在PE文件中定义TLS目录,并注册回调函数。这通常通过`IMAGE_TLS_...
【逆向工程核心原理:TLS回调函数
qq_42363151的博客
05-17 1020
reverse
TLS回调函数的应用
cyxvc
10-22 1283
TLS回调函数是指,每当创建 / 终止进程的线程时会自动调用执行的函数。创建的主线程也会自动调用回调函数,且其调用执行先于EP代码。
TLS回调
125096
05-25 363
#include #pragma comment(linker, "/INCLUDE:__tls_used") #pragma comment(lib, "User32.lib") void NTAPI TLS_CALLBACK(PVOID DllHandle, DWORD Reason, PVOID Reserved) { if (IsDebuggerPresent())
TLS回调函数(1)
寻梦&之璐
01-24 1704
简述 代码逆向分析领域中,TLS(Thread Local Storage,线程局部存储)回调函数(Callback Function)常用反调试。TLS回调函数的调用运行要先于EP代码的执行,该特征使它可以作为一种反调试技术的使用。 TLS TLS是各线程的独立的数据存储空间,使用TLS技术可在线程内部独立使用或修改进程的全局数据或静态数据,就像对待自身的局部变量一样。 IMAGE_DATA_DIRECTORY[9] 若在编程中启用了TLS功能,PE头文件中就会设置TLS表(TLS Table)项目,如下
TLS callback
05-08 2189
每个线程拥有自己的线程局部存储,互补干扰。系统中线程局部存储是存放在线程的TEB中,每个线程都有自己的TEB因此互相独立。见下面的TEB结构中的ThreadLocalStoragePointer、TlsSlots、TlsLinksTlsExpansionSlots域。对TLS的访问通过 TlsAlloc、TlsSetValue和TlsGetValue以及TlsFree几个API进行。这些API也是
171123 逆向-TLS回调函数
whklhhhh的博客
11-28 777
1625-5 王子昂 总结《2017年11月23日》 【连续第419天总结】 A. TLS回调函数 B. 上次HCTF遇到了TLS反调,只大致看了一下,这次正好书上看到,详细记录一发介绍TLS是各线程独立的数据存储空间。 使用TLS技术可在线程内部独立使用或修改进程的全局数据或静态数据,就像对待自身的局部变量一样。进程启动运行时,在执行EP代码前,系统会逐一调用存储在TLS回调函数地址数组
PIMAGE_TLS_CALLBACK
谢绝留言与私信
08-01 1340
前言找到资料, 可以在VC6工程中, 直接设置TLS回调函数. 编译出来就带TLS段. 不用去分析TLS回调函数地址 + 手工填回调函数地址. 整理成了一个cpp, 在工程中包上, 修改回调函数就可以用了.代码片段// TlsMaker.cpp: implementation of the CTlsMaker class. // /////////////////////////////////
通过TLS回调函数的反调试
weixin_30871701的博客
02-24 275
下面是TLS数据结构的定义 typedef struct _IMAGE_TLS_DIRECTORY { DWORD StartAddressOfRawData; DWORD EndAddressOfRawData; DWORD AddressOfIndex; DWORD AddressOfCallBac...
TLS反调试
Tandy12356_的博客
05-14 818
在多线程编程中,如果在线程函数内部直接定义一个私有变量,那么这个变量将会是在栈上分配的,每次调用线程函数时都会创建一个新的变量,而在线程函数返回后,这个变量将被销毁,这样就无法在多次调用线程函数时保持这个变量的状态。因此,线程局部存储提供了一种在线程之间共享变量的方法,同时又保证了每个线程都有自己的私有变量,可以在多次调用线程函数时保持变量的状态。线程局部存储通过为每个线程创建一个唯一的指针来实现。
openssl回调函数
07-28
OpenSSL 提供了一些回调函数,用于在特定事件发生时通知应用程序。以下是一些常用的 OpenSSL 回调函数: 1. `SSL_CTX_set_cert_verify_callback`: 这个回调函数用于验证服务器证书。你可以自定义这个回调函数来实现自定义的证书验证逻辑。 2. `SSL_CTX_set_verify`: 该函数用于设置验证模式和自定义验证回调函数。你可以使用自定义的回调函数来验证服务器证书的有效性。 3. `SSL_CTX_set_verify_depth`: 设置证书链验证的最大深度。这个回调函数可以帮助你限制证书链的深度,以防止可能的恶意攻击。 4. `SSL_CTX_set_info_callback`: 这个回调函数在 SSL/TLS 握手过程中提供有关事件的详细信息。它可用于记录日志或执行其他自定义操作。 这只是一小部分常见的回调函数示例,OpenSSL 还提供了其他回调函数来处理不同的事件和任务。你可以根据具体的需求选择合适的回调函数来满足你的应用程序需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值