pe启动逻辑记录[TLS_0]

最新推荐文章于 2019-09-10 16:59:23 发布
最新推荐文章于 2019-09-10 16:59:23 发布
阅读量323 收藏 3
点赞数
文章标签: 操作系统 大数据
原文链接:http://www.cnblogs.com/w0nderful/archive/2011/12/06/2278264.html
版权

摘自reactos

  1 /**********************************************************************
  2  * NAME
  3  *      LdrPEStartup
  4  *
  5  * DESCRIPTION
  6  *      1. Relocate, if needed the EXE.
  7  *      2. Fixup any imported symbol.
  8  *      3. Compute the EXE's entry point.
  9  *
 10  * ARGUMENTS
 11  *      ImageBase
 12  *              Address at which the EXE's image
 13  *              is loaded.
 14  *
 15  *      SectionHandle
 16  *              Handle of the section that contains
 17  *              the EXE's image.
 18  *
 19  * RETURN VALUE
 20  *      NULL on error; otherwise the entry point
 21  *      to call for initializing the DLL.
 22  *
 23  * REVISIONS
 24  *
 25  * NOTE
 26  *      04.01.2004 hb Previous this function was used for all images (dll + exe).
 27  *                    Currently the function is only used for the exe.
 28  */
 29 PEPFUNC LdrPEStartup (PVOID  ImageBase,
 30                       HANDLE SectionHandle,
 31                       PLDR_DATA_TABLE_ENTRY* Module,
 32                       PWSTR FullDosName)
 33 {
 34     NTSTATUS             Status;
 35     PEPFUNC              EntryPoint = NULL;
 36     PIMAGE_DOS_HEADER    DosHeader;
 37     PIMAGE_NT_HEADERS    NTHeaders;
 38     PLDR_DATA_TABLE_ENTRY tmpModule;
 39     PVOID ActivationContextStack;
 40 
 41     DPRINT("LdrPEStartup(ImageBase %p SectionHandle %p)\n",
 42            ImageBase, SectionHandle);
 43 
 44     /*
 45      * Overlay DOS and WNT headers structures
 46      * to the DLL's image.
 47 */
 48     DosHeader = (PIMAGE_DOS_HEADER) ImageBase;
 49     NTHeaders = (PIMAGE_NT_HEADERS) ((ULONG_PTR)ImageBase + DosHeader->e_lfanew);
 50 
 51     /*
 52      * If the base address is different from the
 53      * one the DLL is actually loaded, perform any
 54      * relocation.
 55 */
 56     if (ImageBase != (PVOID)NTHeaders->OptionalHeader.ImageBase)
 57     {
 58         DPRINT("LDR: Performing relocations\n");
 59         Status = LdrPerformRelocations(NTHeaders, ImageBase);
 60         if (!NT_SUCCESS(Status))
 61         {
 62             DPRINT1("LdrPerformRelocations() failed\n");
 63             return NULL;
 64         }
 65     }
 66 
 67     if (Module != NULL)
 68     {
 69         *Module = LdrAddModuleEntry(ImageBase, NTHeaders, FullDosName);
 70         (*Module)->SectionPointer = SectionHandle;
 71     }
 72     else
 73     {
 74         Module = &tmpModule;
 75         Status = LdrFindEntryForAddress(ImageBase, Module);
 76         if (!NT_SUCCESS(Status))
 77         {
 78             return NULL;
 79         }
 80     }
 81 
 82     if (ImageBase != (PVOID) NTHeaders->OptionalHeader.ImageBase)
 83     {
 84         (*Module)->Flags |= LDRP_IMAGE_NOT_AT_BASE;
 85     }
 86 
 87     /* Allocate memory for the ActivationContextStack */
 88     /* FIXME: Verify RtlAllocateActivationContextStack behavior */
 89     Status = RtlAllocateActivationContextStack(&ActivationContextStack);
 90     if (NT_SUCCESS(Status))
 91     {
 92         DPRINT("ActivationContextStack %x\n",ActivationContextStack);
 93         DPRINT("ActiveFrame %x\n", ((PACTIVATION_CONTEXT_STACK)ActivationContextStack)->ActiveFrame);
 94         NtCurrentTeb()->ActivationContextStackPointer = ActivationContextStack;
 95         NtCurrentTeb()->ActivationContextStackPointer->ActiveFrame = NULL;
 96     }
 97     else
 98         DPRINT1("Warning: Unable to allocate ActivationContextStack\n");
 99 
100     /*
101      * If the DLL's imports symbols from other
102      * modules, fixup the imported calls entry points.
103 */
104     DPRINT("About to fixup imports\n");
105     Status = LdrFixupImports(NULL, *Module);
106     if (!NT_SUCCESS(Status))
107     {
108         DPRINT1("LdrFixupImports() failed for %wZ\n", &(*Module)->BaseDllName);
109         return NULL;
110     }
111     DPRINT("Fixup done\n");
112     RtlEnterCriticalSection(NtCurrentPeb()->LoaderLock);
113     Status = LdrpInitializeTlsForProccess();
114     if (NT_SUCCESS(Status))
115     {
116         Status = LdrpAttachProcess();
117     }
118     if (NT_SUCCESS(Status))
119     {
120         LdrpTlsCallback(*Module, DLL_PROCESS_ATTACH);
121     }
122 
123 
124     RtlLeaveCriticalSection(NtCurrentPeb()->LoaderLock);
125     if (!NT_SUCCESS(Status))
126     {
127         return NULL;
128     }
129 
130     /*
131      * Compute the DLL's entry point's address.
132 */
133     DPRINT("ImageBase = %p\n", ImageBase);
134     DPRINT("AddressOfEntryPoint = 0x%lx\n",(ULONG)NTHeaders->OptionalHeader.AddressOfEntryPoint);
135     if (NTHeaders->OptionalHeader.AddressOfEntryPoint != 0)
136     {
137         EntryPoint = (PEPFUNC) ((ULONG_PTR)ImageBase
138                                 + NTHeaders->OptionalHeader.AddressOfEntryPoint);
139     }
140     DPRINT("LdrPEStartup() = %p\n",EntryPoint);
141     return EntryPoint;
142 }


先加载了输入表->然后检查tls地址是否存在->然后在调用tls

调用的时候会获取lock,所以tls入口和dllmain入口一样不要调用一些会导致获取这个进程全局lock的函数。

寻找tls表

 1 static NTSTATUS
 2 LdrpInitializeTlsForProccess(VOID)
 3 {
 4     PLIST_ENTRY ModuleListHead;
 5     PLIST_ENTRY Entry;
 6     PLDR_DATA_TABLE_ENTRY Module;
 7     PIMAGE_TLS_DIRECTORY TlsDirectory;
 8     PTLS_DATA TlsData;
 9     ULONG Size;
10 
11     DPRINT("LdrpInitializeTlsForProccess() called for %wZ\n", &ExeModule->BaseDllName);
12 
13     if (LdrpTlsCount > 0)
14     {
15         LdrpTlsArray = RtlAllocateHeap(RtlGetProcessHeap(),
16                                        0,
17                                        LdrpTlsCount * sizeof(TLS_DATA));
18         if (LdrpTlsArray == NULL)
19         {
20             DPRINT1("Failed to allocate global tls data\n");
21             return STATUS_NO_MEMORY;
22         }
23 
24         ModuleListHead = &NtCurrentPeb()->Ldr->InLoadOrderModuleList;
25         Entry = ModuleListHead->Flink;
26         while (Entry != ModuleListHead)
27         {
28             Module = CONTAINING_RECORD(Entry, LDR_DATA_TABLE_ENTRY, InLoadOrderLinks);
29             if (Module->LoadCount == LDRP_PROCESS_CREATION_TIME &&
30                     Module->TlsIndex != 0xFFFF)
31             {
32                 TlsDirectory = (PIMAGE_TLS_DIRECTORY)
33                                RtlImageDirectoryEntryToData(Module->DllBase,
34                                        TRUE,
35                                        IMAGE_DIRECTORY_ENTRY_TLS,
36                                        &Size);
37                 ASSERT(Module->TlsIndex < LdrpTlsCount);
38                 TlsData = &LdrpTlsArray[Module->TlsIndex];
39                 TlsData->StartAddressOfRawData = (PVOID)TlsDirectory->StartAddressOfRawData;
40                 TlsData->TlsDataSize = TlsDirectory->EndAddressOfRawData - TlsDirectory->StartAddressOfRawData;
41                 TlsData->TlsZeroSize = TlsDirectory->SizeOfZeroFill;
42                 if (TlsDirectory->AddressOfCallBacks)
43                     TlsData->TlsAddressOfCallBacks = (PIMAGE_TLS_CALLBACK *)TlsDirectory->AddressOfCallBacks;
44                 else
45                     TlsData->TlsAddressOfCallBacks = NULL;
46                 TlsData->Module = Module;
47 #if 0
48                 DbgPrint("TLS directory for %wZ\n", &Module->BaseDllName);
49                 DbgPrint("StartAddressOfRawData: %x\n", TlsDirectory->StartAddressOfRawData);
50                 DbgPrint("EndAddressOfRawData:   %x\n", TlsDirectory->EndAddressOfRawData);
51                 DbgPrint("SizeOfRawData:         %d\n", TlsDirectory->EndAddressOfRawData - TlsDirectory->StartAddressOfRawData);
52                 DbgPrint("AddressOfIndex:        %x\n", TlsDirectory->AddressOfIndex);
53                 DbgPrint("AddressOfCallBacks:    %x\n", TlsDirectory->AddressOfCallBacks);
54                 DbgPrint("SizeOfZeroFill:        %d\n", TlsDirectory->SizeOfZeroFill);
55                 DbgPrint("Characteristics:       %x\n", TlsDirectory->Characteristics);
56 #endif
57                 /*
58                  * FIXME:
59                  *   Is this region allways writable ?
60 */
61                 *(PULONG)TlsDirectory->AddressOfIndex = Module->TlsIndex;
62             }
63             Entry = Entry->Flink;
64         }
65     }
66 
67     DPRINT("LdrpInitializeTlsForProccess() done\n");
68     return STATUS_SUCCESS;
69 }

调用tls

 1 static __inline VOID LdrpTlsCallback(PLDR_DATA_TABLE_ENTRY Module, ULONG dwReason)
 2 {
 3     PIMAGE_TLS_CALLBACK *TlsCallback;
 4     if (Module->TlsIndex != 0xFFFF && Module->LoadCount == LDRP_PROCESS_CREATION_TIME)
 5     {
 6         TlsCallback = LdrpTlsArray[Module->TlsIndex].TlsAddressOfCallBacks;
 7         if (TlsCallback)
 8         {
 9             while (*TlsCallback)
10             {
11                 TRACE_LDR("%wZ - Calling tls callback at %x\n",
12                           &Module->BaseDllName, *TlsCallback);
13                 (*TlsCallback)(Module->DllBase, dwReason, NULL);
14                 TlsCallback++;
15             }
16         }
17     }
18 }
while (*TlsCallback)这样导致上一个Tls有机会修改下一个tls值,也就是动态添加tls

tls_callback会在其他事件中被调用

dll加载/卸载

 1 static BOOLEAN LdrpCallDllEntry(PLDR_DATA_TABLE_ENTRY Module, DWORD dwReason, PVOID lpReserved)
 2 {
 3     if (!(Module->Flags & LDRP_IMAGE_DLL) ||
 4             Module->EntryPoint == 0)
 5     {
 6         return TRUE;
 7     }
 8     LdrpTlsCallback(Module, dwReason);
 9     return  ((PDLLMAIN_FUNC)Module->EntryPoint)(Module->DllBase, dwReason, lpReserved);
10 }

dll卸载

  1 /*
  2  * @implemented
  3  */
  4 VOID
  5 WINAPI
  6 ExitProcess(UINT uExitCode)
  7 {
  8     CSR_API_MESSAGE CsrRequest;
  9     ULONG Request;
 10     NTSTATUS Status;
 11 
 12     /* kill sibling threads ... we want to be alone at this point */
 13     NtTerminateProcess(NULL, 0);
 14 
 15     /* unload all dll's */
 16     LdrShutdownProcess();
 17 
 18     /* notify csrss of process termination */
 19     Request = TERMINATE_PROCESS;
 20     Status = CsrClientCallServer(&CsrRequest,
 21                                  NULL,
 22                                  MAKE_CSR_API(Request, CSR_NATIVE),
 23                                  sizeof(CSR_API_MESSAGE));
 24     if (!NT_SUCCESS(Status) || !NT_SUCCESS(CsrRequest.Status))
 25     {
 26         DPRINT("Failed to tell csrss about terminating process\n");
 27     }
 28 
 29     NtTerminateProcess(NtCurrentProcess (),
 30                        uExitCode);
 31 
 32     /* should never get here */
 33     ASSERT(0);
 34     while(1);
 35 }
 36 
 37 /*
 38  * @implemented
 39  */
 40 NTSTATUS NTAPI
 41 LdrShutdownProcess (VOID)
 42 {
 43     LdrpDetachProcess(TRUE);
 44     return STATUS_SUCCESS;
 45 }
 46 
 47 
 48 /**********************************************************************
 49  * NAME                                                         LOCAL
 50  *      LdrpDetachProcess
 51  *
 52  * DESCRIPTION
 53  *      Unload dll's which are no longer referenced from others dll's
 54  *
 55  * ARGUMENTS
 56  *      none
 57  *
 58  * RETURN VALUE
 59  *      none
 60  *
 61  * REVISIONS
 62  *
 63  * NOTE
 64  *      The loader lock must be held on enty.
 65  */
 66 static VOID
 67 LdrpDetachProcess(BOOLEAN UnloadAll)
 68 {
 69     PLIST_ENTRY ModuleListHead;
 70     PLIST_ENTRY Entry;
 71     PLDR_DATA_TABLE_ENTRY Module;
 72     static ULONG CallingCount = 0;
 73 
 74     DPRINT("LdrpDetachProcess() called for %wZ\n",
 75            &ExeModule->BaseDllName);
 76 
 77     if (UnloadAll)
 78         LdrpDllShutdownInProgress = TRUE;
 79 
 80     CallingCount++;
 81 
 82     ModuleListHead = &NtCurrentPeb()->Ldr->InInitializationOrderModuleList;
 83     Entry = ModuleListHead->Blink;
 84     while (Entry != ModuleListHead)
 85     {
 86         Module = CONTAINING_RECORD(Entry, LDR_DATA_TABLE_ENTRY, InInitializationOrderModuleList);
 87         if (((UnloadAll && Module->LoadCount == LDRP_PROCESS_CREATION_TIME) || Module->LoadCount == 0) &&
 88                 Module->Flags & LDRP_ENTRY_PROCESSED &&
 89                 !(Module->Flags & LDRP_UNLOAD_IN_PROGRESS))
 90         {
 91             Module->Flags |= LDRP_UNLOAD_IN_PROGRESS;
 92             if (Module == LdrpLastModule)
 93             {
 94                 LdrpLastModule = NULL;
 95             }
 96             if (Module->Flags & LDRP_PROCESS_ATTACH_CALLED)
 97             {
 98                 TRACE_LDR("Unload %wZ - Calling entry point at %x\n",
 99                           &Module->BaseDllName, Module->EntryPoint);
100                 LdrpCallDllEntry(Module,
101                                  DLL_PROCESS_DETACH,
102                                  (PVOID)(Module->LoadCount == LDRP_PROCESS_CREATION_TIME ? 1 : 0));
103             }
104             else
105             {
106                 TRACE_LDR("Unload %wZ\n", &Module->BaseDllName);
107             }
108             Entry = ModuleListHead->Blink;
109         }
110         else
111         {
112             Entry = Entry->Blink;
113         }
114     }
115 
116     if (CallingCount == 1)
117     {
118         Entry = ModuleListHead->Blink;
119         while (Entry != ModuleListHead)
120         {
121             Module = CONTAINING_RECORD(Entry, LDR_DATA_TABLE_ENTRY, InInitializationOrderModuleList);
122             Entry = Entry->Blink;
123             if (Module->Flags & LDRP_UNLOAD_IN_PROGRESS &&
124                     ((UnloadAll && Module->LoadCount != LDRP_PROCESS_CREATION_TIME) || Module->LoadCount == 0))
125             {
126                 /* remove the module entry from the list */
127                 RemoveEntryList (&Module->InLoadOrderLinks);
128                 RemoveEntryList (&Module->InInitializationOrderModuleList);
129 
130                 NtUnmapViewOfSection (NtCurrentProcess (), Module->DllBase);
131                 NtClose (Module->SectionPointer);
132 
133                 TRACE_LDR("%wZ unloaded\n", &Module->BaseDllName);
134 
135                 RtlFreeUnicodeString (&Module->FullDllName);
136                 RtlFreeUnicodeString (&Module->BaseDllName);
137 
138                 RtlFreeHeap (RtlGetProcessHeap (), 0, Module);
139             }
140         }
141     }
142     CallingCount--;
143     DPRINT("LdrpDetachProcess() done\n");
144 }



线程创建

 1 NTSTATUS
 2 LdrpAttachThread (VOID)
 3 {
 4     PLIST_ENTRY ModuleListHead;
 5     PLIST_ENTRY Entry;
 6     PLDR_DATA_TABLE_ENTRY Module;
 7     NTSTATUS Status;
 8 
 9     DPRINT("LdrpAttachThread() called for %wZ\n",
10            &ExeModule->BaseDllName);
11 
12     RtlEnterCriticalSection (NtCurrentPeb()->LoaderLock);
13 
14     Status = LdrpInitializeTlsForThread();
15 
16     if (NT_SUCCESS(Status))
17     {
18         ModuleListHead = &NtCurrentPeb()->Ldr->InInitializationOrderModuleList;
19         Entry = ModuleListHead->Flink;
20 
21         while (Entry != ModuleListHead)
22         {
23             Module = CONTAINING_RECORD(Entry, LDR_DATA_TABLE_ENTRY, InInitializationOrderModuleList);
24             if (Module->Flags & LDRP_PROCESS_ATTACH_CALLED &&
25                     !(Module->Flags & LDRP_DONT_CALL_FOR_THREADS) &&
26                     !(Module->Flags & LDRP_UNLOAD_IN_PROGRESS))
27             {
28                 TRACE_LDR("%wZ - Calling entry point at %x for thread attaching\n",
29                           &Module->BaseDllName, Module->EntryPoint);
30                 LdrpCallDllEntry(Module, DLL_THREAD_ATTACH, NULL);
31             }
32             Entry = Entry->Flink;
33         }
34 
35         Entry = NtCurrentPeb()->Ldr->InLoadOrderModuleList.Flink;
36         Module = CONTAINING_RECORD(Entry, LDR_DATA_TABLE_ENTRY, InLoadOrderLinks);
37         LdrpTlsCallback(Module, DLL_THREAD_ATTACH);
38     }
39 
40     RtlLeaveCriticalSection (NtCurrentPeb()->LoaderLock);
41 
42     DPRINT("LdrpAttachThread() done\n");
43 
44     return Status;
45 }

线程创建的时候先调用了已经存在的模块tls_callback,然后调用dllmian.

在调用dllmian之前就调用了RtlEnterCriticalSection (NtCurrentPeb()->LoaderLock);所以一些同学调用disbaleThreadxxx来防止dllmain锁是无效滴。

 线程结束

 1 /*
 2  * @implemented
 3  */
 4 VOID
 5 WINAPI
 6 ExitThread(DWORD uExitCode)
 7 {
 8     NTSTATUS Status;
 9     ULONG LastThread;
10 
11     /*
12      * Terminate process if this is the last thread
13      * of the current process
14 */
15     Status = NtQueryInformationThread(NtCurrentThread(),
16                                       ThreadAmILastThread,
17                                       &LastThread,
18                                       sizeof(LastThread),
19                                       NULL);
20     if (NT_SUCCESS(Status) && LastThread)
21     {
22         /* Exit the Process */
23         ExitProcess(uExitCode);
24     }
25 
26     /* Notify DLLs and TLS Callbacks of termination */
27     LdrShutdownThread();
28 
29     /* Tell the Kernel to free the Stack */
30     NtCurrentTeb()->FreeStackOnTermination = TRUE;
31     NtTerminateThread(NULL, uExitCode);
32 
33     /* We should never reach this place */
34     DPRINT1("It should not happen\n");
35     while (TRUE) ;
36 }

所以只要dllmian会被调用 tls总是会被调用,并且tls先被调用。

 

上面都是个人了解,不保证完全准确,仅供参考。



转载于:https://www.cnblogs.com/w0nderful/archive/2011/12/06/2278264.html

weixin_30587927
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
今天公司电脑系统崩溃,将制作PE启动过程记录用于以后使用。
m0_60353617的博客
07-20 248
一,什么是PE 根据维基百科的解释,PE,Windows预先安装环境,简称Windows PE或WinPE。 二,PE的使用 PE不仅仅可以用来重装系统,还可以清楚登陆密码,磁盘分区,系统崩溃时拷贝桌面重要资料。 三,使用U盘启动制作u盘启动 直接开机选择u盘启动,不同的电脑启动方式不同 ...
PE基础3-资源表-重定位表-TLS表-DLL延迟加载表
weixin_30634661的博客
06-26 222
PE基础3 导入表的作用是什么? 没有它exe能运行吗? 导入外部模块,提供的API,变量,类 可以没有导入表(这个程序没有用到其它模块) 导出表的作用是什么? 没有它exe能运行吗? 导出模块名,函数(序号),变量,类 通常导出表用于dll,没有导出表程序也可以运行 已知一个dll名,和一个dll导出函数的名字,如何得到这个函数名的地址? 导出表中查找 ENT(导出名称表) E...
怎么理解堆栈指针(Stack Pointer
热门推荐
进击的小怪兽
03-07 1万+
如果的堆栈的实现是往上长的(就是说往顶的方向长,其实质是栈底是定死的不能动,入栈的东西只能不断往上叠,这就像在书桌上放书一样,桌底是定死的,所以书只能一本一本地往上堆,往上长),计算机内部的堆栈的实现采取的就是这种模式,所以就得“先修改指针,然后插入数 据,出栈时刚好相反”,因为堆栈指针指向的总是栈顶元素,栈底不能动,所以数据入栈前要先修改指针使它指向新的空余空间然后再把数据存进去,出栈的时候 自
Windows内核基础之线程
tutucoo
12-07 926
1. 线程结构体 在0环,每个线程都有一个结构体ETHREAD。 nt!_ETHREAD +0x000 Tcb : _KTHREAD +0x200 CreateTime : _LARGE_INTEGER +0x208 ExitTime : _LARGE_INTEGER +0x208 KeyedWaitChain : ...
反调试—利用SEH链表
王二娃的生活的博客
08-03 2626
内容摘要:进程在被调试的时候,进程中TEB中的PEB中的BeingDebugged成员的值为1而正常情况下为0,于是通过访问该成员可知道当前是否为调试状态,来决定是否继续执行程序,原理和TLS反调试相似,不过这里把反调试代码放到了SEH中。 在说明该技术前要先来引用相关知识块: TEB(Thread Environment Block,线程环境块)系统在此TEB中保存频繁使用的线程相关的数据。
TLS_CallBack_test.rar_PE TLS_TLS_TLS PE_pe_pe文件
09-14
PE文件TLS表演示程序。在文件运行前先执行一个函数。
TLS_CallBack.rar_TLS CALLBA_pe debugger_tlsCallback_tls_callba_手
09-19
TLS回调在PE(Portable Executable)文件中被广泛使用,不仅用于初始化线程本地数据,还可能被恶意软件滥用以逃避调试和实现自我保护。 首先,我们来理解一下**TLS回调**的工作原理。当一个PE文件加载到进程内存时...
TLS.rar_PE TLS
09-24
标题中的“TLS.rar_PE TLS”指的是与PE(Portable Executable)文件格式相关的TLS(Transport Layer Security)技术,但这里的TLS并非我们通常理解的网络通信安全协议,而是PE文件中的一个特性,即“线程局部存储”...
TLS_TEST.rar_TLS_Thread Local Storage
09-24
标题“TLS_TEST.rar_TLS_Thread Local Storage”涉及到的是关于网络安全中的Transport Layer Security(TLS)协议以及在编程中的Thread Local Storage(TLS)概念。TLS是互联网上用于保护数据传输的安全标准,而...
wire1x_2_1_src.zip_TLS_XP EAP-pe_eap tls_wire1x_wm6 wifi
09-23
在"wire1x_2_1_src.zip"这个压缩包中,包含了相关的源代码和资源,如"www.pudn.com.txt"可能是项目介绍或引用的文档,而"wire1x_2_0_src"则可能包含了实现802.1x supplicant的具体代码,特别是对于TLS、TTLSPEAP和...
!teb 调试
ilzx53xx0的博客
09-11 1178
Sometimes there is no private PDB file available for a module in a crash dump although we know they exist for different versions of the same module. The typical example is when we have a public PDB fi
TLS底层实现的详解
For Geek
05-12 2055
我在之前的博客里并未提及过Tls的底层初始化,现在好好来谈谈。 首先我们要知道Tls的初始化是在入口之前。先从一开始的LdrInitializeThunk说起,在调用LdrPEStartup时,其在修复完导入表后,调用了一次LdrpInitializeTlsForProccess,我们看看他是怎样处理的。 static NTSTATUS LdrpInitializeTlsForProccess(V...
NTDLL.dll4 : Load and Unload (ZT)
it技术学习
07-14 1310
一、前言 在前一段时间,我遭遇了一个现象诡异的Bug,最后原因归结 为在DllMain里错误地调用了FreeLibrary(在本文最后对此Bug有详细的解释)。MSDN里关于禁止在DllMain里调用 LoadLibrary和FreeLibrary的解释过于含糊不清,所以我重温了一遍Russ Osterlund的"Windows 2000 Loader"一文,并仔细阅读了泄漏的Win20
DllMain中不当操作导致死锁问题的分析--DisableThreadLibraryCalls对DllMain中死锁的影响
方亮的专栏
11-07 8400
        《windows核心编程》作者在讨论DllMain执行序列化的时候,曾说过一个他的故事:他试图通过调用DisableThreadLibraryCalls以使得新线程不在调用DllMain从而解决死锁问题。但是该方案最后失败了。思考作者的思路,他可能一开始认为:因为线程要调用DllMain而加锁,于是windows在发现DllMain不用调用时就不用加锁了。本文将探讨DisableT...
反调试 - PEB(BeingDebugged ,NtGlobalFlag)
LYSM
09-10 1583
姜姜姜姜 ··················· ~! 如题,PEB 里其实本来有很多可以用来检测调试器的成员(虽然有的本意不一定是,但确实在被调试时会有固定变化),但是在 Win7 之后,能用的只剩下了两个:(所以这到底是好事还是坏事) /*002*/ UCHAR BeingDebugged; /*068*/ LARGE_INTEGER NtGlobalFlag; 以上两个都来自于 _PEB...
XX游戏R3层反调试 初探
把梦想放飞在蓝色的天空里...
12-24 8506
转载于织梦未来 本机环境:win7 64位 首先用工具PC Hunter 来查看下应用层钩子   首先直接映入眼帘的就是DbgBreakPoint,DbgUiRemoteBreakin,DbgUserBreakPoint 这三个inline hook 对反调试做得手脚     len(1) ntdll.dll->DbgBreakPoint                0
TP保护的研究和学习-用户态下调试附加篇(二)
星空漫步者
04-23 1052
TP保护的研究和学习-用户态下调试附加篇 引言: ​ 本篇系列旨在研究学习腾讯保护系统的保护方案实现,文中尽量以“发现问题然后尝试解决问题”的模式来处理遇到的问题,此前网上有太多相关的资料都只是给出了一个结论式答案或者方法,对于想要深入学习的人太不友好。 我相信有很多人和我一样在尝试去深入分析的时候遇到了各种问题,我的处理方式就是遇到实际问题实际分析的方式来推进学习; ​ 计算机理论到现在为止已经...
FS 寄存器使用
wowbell的专栏
03-18 1077
<br />在用户层下,FS寄存器指向当前活动线程的TEB结构                  nt!_TEB<br /> +0x000 NtTib : _NT_TIB<br /> +0x01c EnvironmentPointer : Ptr32 Void<br /> +0x020 ClientId : _CLIENT_ID<br /> +0x028 ActiveRpcHandle : Ptr32 Void<br /> +0
PE进阶】手动添加TLS回调函数
weixin_33672109的博客
11-26 683
前情提要 Demo代码 #include <windows.h> int tls(){ MessageBox(NULL,"This is TLS CallBack!","TLS Success",MB_OK); return 0; } int main(){ MessageBox(NULL,"This ...
怎么mbedtls_config.h 中定义 MBEDTLS_SSL_RENEGOTIATION 为 MBEDTLS_SSL_RENEGOTIATION_DISABLED
最新发布
07-27
要在 mbedtls_config.h 中将 `MBEDTLS_SSL_RENEGOTIATION` 定义为 `MBEDTLS_SSL_RENEGOTIATION_DISABLED`,请按照以下步骤操作: 1. 打开 mbedtls_config.h 文件,该文件通常位于 mbedtls 库的 include/mbedtls ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值