利用TLS反调试

已于 2023-10-01 17:09:17 修改
阅读量733 收藏
点赞数
分类专栏: 逆向分析 Windows系统调用 windows内核 文章标签: windows 逆向 反调试
于 2023-08-22 21:59:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43147121/article/details/132437423
版权

利用TLS反调试

今天说一下利用TLS提供的静态绑定回调函数来反调试

原理

首先说一下tls为什么可以反调试
一般我们调试时候是断点在oep(pe文件的程序入口点)上的,而tls回调函数会在加载可执行程序之前调用
首先简单描述一下程序的加载过程

  1. 创建process对应的内核对象
  2. 读取pe文件
  3. 拉伸到内存中
  4. 加载模块修复各种表如iat表
  5. 创建线程
  6. 将线程context的eip指向oep
  7. 程序执行
    上面就是简述的程序加载过程,如果有一种机制可以在指向oep之前判断是否有人在我的process中设置dr系列寄存器(调试寄存器)那么就可以直接退出进程,以此来达到反调试的目的

tls是什么

TLS主要是为了解决多线程中变量的同步问题

进程中的全局变量和函数内定义的静态(static)变量,是每个线程都可以访问的共享变量。只要有任何一个线程修改了共享变量,其他所有线程中的共享变量也会同步被修改

乍看之下,这种方式使得数据交换十分的便捷,无需额外的通信就可以实现数据之间的交换。但是当共享变量要修改前,需要对该变量上锁,其他要访问该共享变量的线程必须等共享变量修改完成释放锁后才能继续执行。这期间线程等待所耗费的资源就是所谓的开销。关于同步异步、并发并行、互斥信号量等基础知识这里不再赘述

TLS全称Thread Local Storage,即线程局部存储。TLS是一种方法,通过这种方法,给定多线程进程中的每个线程可以分配位置来存储特定于线程的数据。通过TLS API (TlsAlloc)支持动态绑定(运行时)特定于线程的数据。Win32和Microsoft c++编译器现在除了现有的API实现外,还支持静态绑定(加载时)每个线程数据。

这边我们只说静态绑定

程序可以提供一个或多个TLS回调函数,以支持TLS数据对象的附加初始化和终止

如果有多个回调函数,则按其地址在数组中出现的顺序调用每个函数。空指针终止数组。空列表是完全有效的(不支持回调),在这种情况下,回调数组只有一个成员时最后要跟一个0,类似于pe文件结构中的一些表结束的方式

下面是代码:

#include <Windows.h>
#include <stdio.h>

#ifdef _WIN64       //64位
#pragma comment (linker, "/INCLUDE:_tls_used")  
#pragma comment (linker, "/INCLUDE:tls_callback_func") 
#else               //32位
#pragma comment (linker, "/INCLUDE:__tls_used") 
#pragma comment (linker, "/INCLUDE:_tls_callback_func")
#endif

void __stdcall tls_callback(PVOID handle, DWORD type, PVOID data) {
	BOOL res;
	CheckRemoteDebuggerPresent(GetCurrentProcess(), &res);
	if (res)
		ExitProcess(0);
}

#ifdef _WIN64                           //64位
#pragma const_seg(".CRT$XLF")
EXTERN_C const
#else
#pragma data_seg(".CRT$XLF")        //32位
EXTERN_C
#endif
PIMAGE_TLS_CALLBACK tls_callback_func[] = { tls_callback,0 };
#ifdef _WIN64                           //64位
#pragma const_seg()
#else
#pragma data_seg()                  //32位
#endif //_WIN64


int main() {
	printf("staring...\n");
	system("pause");
	return 0;
}

我们在tls函数中判断如果有人调试自己就直接退出
下面来看一下效果
这是正常执行的时候
在这里插入图片描述
这是放入od的时候
进程会直接退出导致无法调试
在这里插入图片描述

幺幺满地乱爬
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
TLS调试检测和调试
hambaga的博客
09-13 887
TLS是线程本地存储,定义TLS函数,在函数内可以调用内核函数 NtQueryInformationProcess 检查当前是否处于被调试状态,也可以调用 NtSetInformationThread 让调试崩溃。 // TLS调试.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。 // #include <stdio.h> #include <Windows.h> #include "MINT.h" #pragma comment(linker,"/I
TLS调试
Tandy12356_的博客
05-14 772
在多线程编程中,如果在线程函数内部直接定义一个私有变量,那么这个变量将会是在栈上分配的,每次调用线程函数时都会创建一个新的变量,而在线程函数返回后,这个变量将被销毁,这样就无法在多次调用线程函数时保持这个变量的状态。因此,线程局部存储提供了一种在线程之间共享变量的方法,同时又保证了每个线程都有自己的私有变量,可以在多次调用线程函数时保持变量的状态。线程局部存储通过为每个线程创建一个唯一的指针来实现。
TLS调试 调试
ADADQDQQ的博客
07-19 413
TLS调试VC6
04-01
标题“TLS调试VC6”指的是在Visual C++ 6.0(简称VC6)环境中,利用TLS(Thread Local Storage)技术实现的一种调试策略。TLS是编程中的一个概念,特别是在C++中,它允许每个线程拥有自己的局部变量副本,即使...
一种基于TLS的高级调试技术
11-18
充分利用TLS回调函数在程序入口点之前就能获得程序控制权的特性,在TLS回调函数中进行调试操作比传统的调试技术有更好的效果。 知识点5:在程序中使用TLS Microsoft提供的VC编译器都支持直接在程序中使用TLS。...
调试技术实例_VC版
06-13
一些高级的调试技术可能利用TLS回调函数来检测调试器,因为调试器的介入会改变TLS的正常流程。 6. **异常处理**: `StdAfx.cpp`通常包含预编译头文件,可能涉及到异常处理。调试策略有时会利用异常处理机制来...
test_tls.zip_TLS_show
09-23
当程序运行时,如果调试器附加到进程中,正常的入口点会被调试器改变,而这个程序会利用TLS来检测这一变化,从而可能触发某种调试行为。 【标签】"tls show" 表明该程序的重点在于展示TLS的使用,可能是通过可视...
TLS回调函数实现调试
Todog的博客
01-08 608
Tls调试
TLS线程本地存储进行调试
左手
08-03 435
[TOC] 盗版技术中,起最大作用的当属调试技术。然而传统的调试技术都存在一个弱点:他们都在程序真正开始执行之后才采取调试手段。实际上在调试代码被执行前,调试器有大量的时间来影响程序的执行,甚至可以在程序入口处插入断点命令来调试程序。对于使用C/C++语言编译的程序来说,问题通常会更严重,在执行到main()函数之前,会执行C/C++编译器插入的很大一段代码,这也给调试器带来影响程序执行
TLS中检测断点调试
小驹的专栏
11-21 1万+
TLS 原理:通过检测程序入口点处的200字节内是否有下的cc断点,如果有,刚程序退出 // TLS_test.cpp : Defines the entry point for the application. // #include "stdafx.h" #include "TLS_test.h" #include #include #pragma comment(linker, "
TLS调式浅谈
weixin_44711063的博客
03-30 199
TLS,局部线程存储。先于OEP执行,可防止多线程争用资源,现常用于调试 AddressOfCallBacks为一个函数指针数组,里面存放callback函数地址,系统会在OEP之前调用。 简单使用TLS: #include "iostream" #include "Windows.h" #include "tchar.h" //#include "ntdll/ntdll.h" //使用TLS #pragma comment(linker,"/INCLUDE:__tls_used") DWORD isD
【逆向工程核心原理:TLS回调函数】
qq_42363151的博客
05-17 932
reverse
TLSTLS调试
lixiangminghate的专栏
07-06 5776
不得不说这个标题写的有点大,大到涉及到编译连接的内容,我还是努力把他写好吧。这里只讨论TLS静态存储,T不讨论TLS动态存储,毕竟跟调试关系不大。     TLS设计的本意,是为了解决多线程程序中变量同步的问题,是Thread Local Storage的缩写,意为线程本地存储。线程本身有独立于其他线程的栈空间,因此线程中的局部变量不用考虑同步问题。多线程同步问题在于对全局变量的访问,TLS
调试调试系列丨跑的比main快的调试
最新发布
qq_44005305的博客
08-27 132
5.1 选择属性5.2修改运行库,应用6.添加#include、#include7.向链接器声明,要使用TLS8.复制PIMAGE_TLS_CALLBACK里的三个参数9.完成注册TLS函数的回调10.重新生成->运行发现没有运行到main函数11.加断点,再运行发现还是运行不起来.但是直接运行,可以正常打印,正常停止12.试下其他调试器12.1在od里运行:发现不能进入主模块12.2在IDA里打开:Ida会自动停在main函数上,意味着静态调试也发现不了TLS
TLS调试机制
ylh的博客
11-05 987
什么是TLSTLS是 Thread Local Storage的缩写线程局部存储。主要是为了先说传统的全局变量或者静态变量:进程中的与函数内定义的,是各个线程都可以访问的共享变量。在一个线程修改的内存内容,对所有线程都生效。这是一个优点也是一个缺点。如果需要在一个线程内部的各个函数调用都能访问、(被称为static memory local to a thread 线程局部静态变量),就需要新的机制来实现。这就是TLS
详解调试技术
热门推荐
houjingyi的博客
10-14 3万+
调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多种调试技术可以达到调试效果。这里介绍当前常用的几种调试技术,同时也会介绍一些逃避
tls 1.0漏洞利用
06-06
攻击者可以利用这些漏洞,在TLS 1.0的加密通信过程中,窃取敏感信息或者劫持通信。 攻击者可以使用一些工具,如The BEAST,CRIME以及Lucky13等,利用TLS 1.0的漏洞完成攻击。其中,The BEAST利用了与加密器使用的块...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值