通过TLS回调函数的反调试

最新推荐文章于 2023-09-26 13:46:29 发布
最新推荐文章于 2023-09-26 13:46:29 发布
阅读量293 收藏
点赞数
文章标签: 数据结构与算法
原文链接:http://www.cnblogs.com/aliflycoris/p/5212660.html
版权

下面是TLS数据结构的定义

typedef struct _IMAGE_TLS_DIRECTORY
{
          DWORD StartAddressOfRawData;
          DWORD EndAddressOfRawData;
          DWORD AddressOfIndex;
          DWORD AddressOfCallBacks;  //PIMAGE_TLS_CALLBACK*
          DWORD SizeOfZeroFill;
          DWORD Characteristics;
}IMAGE_TLS_DIRECTORY;

AddressOfCallBacks是一个数组,表示可以有多个TLS回调函数,所谓的TLS回调函数,就是当创建/终止进程的线程时会自动调用的执行的函数。

创建进程的主线程也会自动调用回调函数,且其调用执行先于EP代码,反调试技术利用的就是TLS回调函数这一特性。

回调函数定义如下

typedef VOID 
(NTAPI *PIMAGE_TLS_CALLBACK)(
         PVOID DllHandle,
         DOWRD Reason,  //DLL_PROCESS_ATTACH,DLL_THREAD_ATTACH,DLL_THREAD_DETACH,DLL_PROCESS_DETACH
         PVOID Reserved
);

进程调用main前,已注册的TLS回调函数会被调用执行,此时Reason为DLL_PROCESS_ATTACH

之后创建线程,结束线程,进程结束都会调用TLS回调函数,进程周期内TLS回调函数会被调用4次。

 

#include "stdafx.h"
#include<windows.h>
#include "tlhelp32.h"


#pragma comment(linker, "/INCLUDE:__tls_used")
VOID NTAPI TLS_CALLBACK(PVOID DllHandle,DWORD Reason,DWORD Reserved)
{
    DWORD Flag;
    __asm{
        mov eax,fs:[0x30]
        movzx eax,BYTE PTR DS:[eax+2]  //PEB.BingDebugged
        mov Flag,eax
    }
    if(Flag==1)
    {
        MessageBox(NULL,L"Error",L"Error",1);
        ULONG nProcessID = 0;
        HWND  hFindWindow = FindWindow(NULL,L"OLLYDBG");
        ::GetWindowThreadProcessId( hFindWindow, &nProcessID );
        HANDLE hProcessHandle = ::OpenProcess( PROCESS_TERMINATE, FALSE,nProcessID );
        TerminateProcess( hProcessHandle, 4 );
        ExitProcess(0);
    }
    else
    {
        MessageBox(NULL,L"OK",L"OK",1);
    }
}

#pragma  data_seg(".CRT$XLX")
    PIMAGE_TLS_CALLBACK pTLS_CALLBACKs[] ={(PIMAGE_TLS_CALLBACK)TLS_CALLBACK,0};
#pragma data_seg()

int _tmain(int argc, _TCHAR* argv[])
{
    MessageBox(NULL,L"HelloWorld",L"Exit",1);
}

这里就是利用TLS回调函数检测是否处于调试状态

 

转载于:https://www.cnblogs.com/aliflycoris/p/5212660.html

weixin_30871701
关注
TLS调试检测调试
hambaga的博客
09-13 934
TLS是线程本地存储,定义TLS函数,在函数内可以调用内核函数 NtQueryInformationProcess 检查当前是否处于被调试状态,也可以调用 NtSetInformationThread 让调试崩溃。 // TLS调试.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。 // #include <stdio.h> #include <Windows.h> #include "MINT.h" #pragma comment(linker,"/I
TLS回调函数的学习
stopys6的博客
09-11 295
本篇文章主要学习有关TLS(Thread Local Storage,线程局部存储)回调函数(CallBack Function),这种回调函数由于其特殊的特性通常会被运用于调试技术中。本篇文章将通过分析代码,直接调试和手动创建TLS回调函数三个部分来学习有关TLS回调函数的知识。
C++ 调试TLS回调函数
LYSM
09-05 1338
关于 TSL 调试的内容,参考这篇文章 说完调试,如果不说调试就 毫无意义 ! 下面讲下针对 TLS 回调函数调试方法。 引用了 TLS 功能的程序会在 PE 文件里生成一个 TLS 表: 进入这个表中查看,发现它的大小为 24 个字节: 关于 TLS 的结构体,有 32 位和 64 位两个版本: 其中 _IMAGE_TLS_DIRECTORY64 大小为:84+42=40,...
TLS调试
xuqi7
08-21 344
TLS, Thread Local Storage, 线程局部存储,其它线程不可访问,可实现多线程安全。利用TLS可以实现一种调试
TLS调试 调试
ADADQDQQ的博客
07-19 462
TLS回调函数的学习3
最新发布
luoxiayan的博客
09-26 74
本篇文章主要学习有关TLS(Thread Local Storage,线程局部存储)回调函数(CallBack Function),这种回调函数由于其特殊的特性通常会被运用于调试技术中。本篇文章将通过分析代码,直接调试和手动创建TLS回调函数三个部分来学习有关TLS回调函数的知识。
WIN10 X64下通过TLS实现调试
liuyez123的博客
04-27 9661
1 TLS技术简介Thread Local Storage(TLS),是Windows为解决一个进程中多个线程同时访问全局变量而提供的机制。TLS可以简单地由操作系统代为完成整个互斥过程,也可以由用户自己编写控制信号量的函数。当进程中的线程访问预先制定的内存空间时,操作系统会调用系统默认的或用户自定义的信号量函数,保证数据的完整性与正确性。 基于TLS调试,原理实为在实际的入口点代码执行
一种基于TLS的高级调试技术
11-18
充分利用TLS回调函数在程序入口点之前就能获得程序控制权的特性,在TLS回调函数中进行调试操作比传统的调试技术有更好的效果。 知识点5:在程序中使用TLS Microsoft提供的VC编译器都支持直接在程序中使用TLS。...
TLS调试VC6
04-01
TLS调试VC6编译无压力通过,可OD
手动给程序添加TLS回调函数,使程序具有调试功能
mengxj168的博客
10-03 1098
TLS是线程独立的存储空间,使用TLS技术可以在线程内部独立使用或修改进程的全局数据或静态数据,就像对待自己的局部变量一样。TLS在系统启动时先于EP代码执行。如下是TLS的结构体union {struct {TLS结构体的大小是18h个字节,tls中重要的成员是,该值指向含有tls回调函数地址的数组。TLS回调函数是指每当创建、终止进程的线程时会自动调用执行的函数。创建线程的主线程时也会自动调用回调函数,且其调用执行先于EP代码。
C++ 调试 - TLS
LYSM
09-05 682
这个调试的手法有一定的局限性,因为 TLS (线程局部存储)只是优先于 main 函数运行而已,并不是专门的调试,所以 —— 这种调试只能放置 OD ~ 打开,而不能防止 OD ~ 附加。 上代码: // 指定一个 "/INCLUDE:__tls_used" 连接选项 #pragma comment(linker, "/INCLUDE:__tls_used") VOID NTAPI TLS...
【逆向工程核心原理:TLS回调函数
qq_42363151的博客
05-17 1136
reverse
调试-通过手动添加TLS回调函数
王二娃的生活的博客
08-02 1281
内容摘要:windows在创建线程时回先调用TLS回调函数,如果我们在回调函数中加入调试器探测代码就可以方便的探测调试器的存在。 TLS回调函数是指,每当创建/终止进程的线程时会自动调用执行的函数。创建的主线程也会自动调用回调函数,且其调用执行先于EP代码。 IMAGE_DATA_DIRECTORY[9]:IMAGE_TLS_DIRECTORY typedef struct _IMA
TLS回调函数
夜空中最亮的星
12-07 2841
TLS回调函数是指,每当创建/终止进程的线程时会自动调用执行的函数。创建的主线程也会自动调用回调函数,且其调用执行先于EP代码。 IMAGE_DATA_DIRECTORY[9]:IMAGE_TLS_DIRECTORY typedef struct _IMAGE_TLS_DIRECTORY64 {     ULONGLONG StartAddressOfRawData;     
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值