TLS(线程局部存储)以及基于TLS技术的反调试技术

最新推荐文章于 2021-01-24 21:07:46 发布
最新推荐文章于 2021-01-24 21:07:46 发布
阅读量204 收藏
点赞数
原文链接:http://www.cnblogs.com/Toring/p/6628264.html
版权

在说TLS反调试技术之前,我们先看一下TLS技术是什么。

TLS是各线程的独立的数据存储空间,使用TLS技术可在线程内部独立使用或者修改进程的全局数据或是静态数据,就像对待自身的局部变量一样。TLS回调函数常用于反调试,因为TLS回调函数运行会先于EP代码执行。

若在编程中使用了TLS功能,PE头文件中就会设置TLS表项目

IMAGE_TLS_DIRECTORY结构体定义如下:

ypedef struct _IMAGE_TLS_DIRECTORY64 {
    ULONGLONG StartAddressOfRawData;
    ULONGLONG EndAddressOfRawData;
    ULONGLONG AddressOfIndex;         // PDWORD
    ULONGLONG AddressOfCallBacks;     // PIMAGE_TLS_CALLBACK *;
    DWORD SizeOfZeroFill;
    union {
        DWORD Characteristics;
        struct {
            DWORD Reserved0 : 20;
            DWORD Alignment : 4;
            DWORD Reserved1 : 8;
        } DUMMYSTRUCTNAME;
    } DUMMYUNIONNAME;
} IMAGE_TLS_DIRECTORY64;
typedef struct _IMAGE_TLS_DIRECTORY32 {
    DWORD   StartAddressOfRawData;
    DWORD   EndAddressOfRawData;
    DWORD   AddressOfIndex;             // PDWORD
    DWORD   AddressOfCallBacks;         // PIMAGE_TLS_CALLBACK *
    DWORD   SizeOfZeroFill;
    union {
        DWORD Characteristics;
        struct {
            DWORD Reserved0 : 20;
            DWORD Alignment : 4;
            DWORD Reserved1 : 8;
        } DUMMYSTRUCTNAME;
    } DUMMYUNIONNAME;
} IMAGE_TLS_DIRECTORY32;
需要注意的是,AddressOfCallBack成员指向的是一个含有TLS回调函数的数组,这表明可以注册多个TLS回调函数。
TLS回调函数定义如下: 
typedef VOID
(NTAPI *PIMAGE_TLS_CALLBACK) (
    PVOID DllHandle,    //模块句柄
    DWORD Reason,       //调用TLS回调函数时机
    PVOID Reserved      //
    );

第二参数有四个状态:

#define DLL_PROCESS_ATTACH   1   
#define DLL_THREAD_ATTACH    2   
#define DLL_THREAD_DETACH    3   
#define DLL_PROCESS_DETACH   0

我们可以看到TLS回调函数很像DllMain()函数。下面我们来一个例子加深对TLS的印象。

 

#include "stdafx.h"
#include <Windows.h>
#pragma comment(linker,"/INCLUDE:__tls_used")
void PrintAtShell(WCHAR* wzMessage);
DWORD WINAPI ThreadProc(LPVOID lParam);
void NTAPI TLS_CALLBACK1(PVOID DllHandle, DWORD Reason, PVOID Reserved);
void NTAPI TLS_CALLBACK2(PVOID DllHandle, DWORD Reason, PVOID Reserved);
int main()
{
       HANDLE ThreadHandle = NULL;
       PrintAtShell(L"main() start!\r\n");
       ThreadHandle = CreateThread(NULL, 0, ThreadProc, NULL, 0, NULL);
       WaitForSingleObject(ThreadHandle, 60 * 1000);
       CloseHandle(ThreadHandle);
       PrintAtShell(L"main() end!\r\n");
    return 0;
}
void PrintAtShell(WCHAR* wzMessage)
{
       //检索指定设备句柄,STD_OUTPUT_HANDLE指示标准输出设备
       HANDLE StdHandle = GetStdHandle(STD_OUTPUT_HANDLE);
       //将输入内容显示到控制台屏幕上,类似于printf,但是因为TLS回调函数先于main()函数执行,所以有可能printf()函数无法正常使用
       WriteConsole(StdHandle, wzMessage,lstrlen(wzMessage), NULL, NULL);
}
DWORD WINAPI ThreadProc(LPVOID lParam)
{
       PrintAtShell(L"ThreadProc() start!\r\n");
       PrintAtShell(L"ThreadProc() end!\r\n");
       return 0;
}
void NTAPI TLS_CALLBACK1(PVOID DllHandle, DWORD Reason, PVOID Reserved)
{
       WCHAR wzMessage[80] = { 0 };
       wsprintf(wzMessage, L"TLS_CALLBACK1():DllHandle = %X,Reason = %d\r\n", DllHandle, Reason);
       PrintAtShell(wzMessage);
}
void NTAPI TLS_CALLBACK2(PVOID DllHandle, DWORD Reason, PVOID Reserved)
{
       WCHAR wzMessage[80] = { 0 };
       wsprintf(wzMessage, L"TLS_CALLBACK2():DllHandle = %X,Reason = %d\r\n", DllHandle, Reason);
       PrintAtShell(wzMessage);
}
#pragma data_seg(".CRT$XLX")
PIMAGE_TLS_CALLBACK pTLS_CALLBACKs[] = { TLS_CALLBACK1,TLS_CALLBACK2,0 };
#pragma data_seg()

输出结果:

 

TLS_CALLBACK1():DllHandle = 930000,Reason = 1
TLS_CALLBACK2():DllHandle = 930000,Reason = 1
main() start!
TLS_CALLBACK1():DllHandle = 930000,Reason = 2
TLS_CALLBACK2():DllHandle = 930000,Reason = 2
ThreadProc() start!
ThreadProc() end!
TLS_CALLBACK1():DllHandle = 930000,Reason = 3
TLS_CALLBACK2():DllHandle = 930000,Reason = 3
main() end!
TLS_CALLBACK1():DllHandle = 930000,Reason = 0
TLS_CALLBACK2():DllHandle = 930000,Reason = 0

因为我们定义了两个TLS回调函数,当进程刚刚启动时调用TLS回调函数,打印出1,然后main函数启动,之后又启动一个线程,触发TLS回调函数2,然后线程启动,关闭线程之后,调用TLS3,最后进程结束,触发0事件。

 

相信这时候对TLS回调函数有了一定理解了吧,现在我们开始正题,如何利用TLS回调函数进行反调试。

我们知道了TLS回调函数在main()函数执行之前执行,所以,我们可以定义一个TLS回调函数去检测当前进程有没有被调试。我们知道调试器一般会下int 3断点进行调试,我们只需在函数入口处检查是否下了int 3断点即可判断是否被调试。所以我们直接看代码吧:

#include "stdafx.h"
#include <Windows.h>
#pragma comment(linker,"/INCLUDE:__tls_used")
void NTAPI MY_TLS_CALLBACK(PVOID DllHandle, DWORD Reason, PVOID Reserved);
int main()
{
       MessageBox(NULL, L"运行", L"警告", 0);
    return 0;
}
void NTAPI MY_TLS_CALLBACK(PVOID DllHandle, DWORD Reason, PVOID Reserved)
{
       if (Reason == DLL_PROCESS_ATTACH)
       {
              //获得当前Exe模块基地址
              PIMAGE_DOS_HEADER   pDosHeader = (PIMAGE_DOS_HEADER)GetModuleHandle(NULL);
              PIMAGE_NT_HEADERS32 pNtHeader = (PIMAGE_NT_HEADERS32)((DWORD)pDosHeader + (DWORD)pDosHeader->e_lfanew);
              //执行函数入口
              BYTE* OEP = (BYTE*)(pNtHeader->OptionalHeader.AddressOfEntryPoint + (DWORD)pDosHeader);
              //判断函数入口处有没有被调试器下int3断点
              for (int i = 0; i < 200; i++)
              {
                     if (OEP[i] == 0xCC)
                     {
                           MessageBox(NULL, L"调试", L"警告", 0);
                           ExitProcess(0);
                     }
              }
       }
}
#pragma data_seg(".CRT$XLX")
PIMAGE_TLS_CALLBACK pTLS_CALLBACKs[] = { MY_TLS_CALLBACK,0 };
#pragma data_seg()

运行结果:

未调试状态:


用x32dbg或者OD调试状态:


 

转载于:https://www.cnblogs.com/Toring/p/6628264.html

weixin_33836874
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
线程局部存储TLS
whl0071的专栏
03-09 2152
线程局部存储,Part 1:概述 和其它主流多线程操作系统一样,Windows为大家提供一个机制,该机制允许程序员实现基于线程局部状态存储。这种能力通常称为线程局部存储(Thread Local Storage,TLS),这对于那些需要保存线程相关信息但需要全局可见的应用场景非常有用。 尽管TLS的介绍有很好的文档可参考,但关于其实现细节的介绍并不多(尽管也有一些非官方文档进行比较表面的介绍)。 至少从高层来将,TLS在概念上并不复杂。常规设计是将所有对TLS的访问都通过TEB中的指针来进行间接访问
TLS 线程局部存储
z4ky的博客
10-14 817
        在学习逆向的过程中,大家可能了解到利用TLS,可以实现调试,因为TLS回调函数会在入口函数之前执行,但是可能不知道具体的原理,以及TLS是个什么东西,通过下面的介绍,你将会了解TLS的原理以及用法。 什么是线程局部存储?        线程局部存储(Thread Local Storage),又简称T...
PE文件中各IMAGE_DATA_DIRECTORY的定义
热门推荐
testalllife的专栏
11-12 1万+
   首先列出IMAGE_DATA_DIRECTORY结构:(简单的结构就不注释了)typedef struct _IMAGE_DATA_DIRECTORY {    DWORD VirtualAddress;    DWORD Size;} IMAGE_DATA_DIRECTORY,*PIMAGE_DATA_DIRECTORY;    VirtualAddress。是所指向的
TLS回调函数(1)
寻梦&之璐
01-24 1654
简述 代码逆向分析领域中,TLS(Thread Local Storage,线程局部存储)回调函数(Callback Function)常用调试TLS回调函数的调用运行要先于EP代码的执行,该特征使它可以作为一种调试技术的使用。 TLS TLS是各线程的独立的数据存储空间,使用TLS技术可在线程内部独立使用或修改进程的全局数据或静态数据,就像对待自身的局部变量一样。 IMAGE_DATA_DIRECTORY[9] 若在编程中启用了TLS功能,PE头文件中就会设置TLS表(TLS Table)项目,如下
TLS调试VC6
04-01
总结来说,"TLS调试VC6"涉及了C++中的线程局部存储TLS技术与防止逆向分析的策略。开发者通过在TLS回调函数中添加调试检查,能够在程序启动时检测是否存在调试器,从而增强程序的安全性。在VC6这样的早期开发...
test_tls.zip_TLS_show
最新发布
09-23
在`test_tls.cpp`和`test_tls.h`中,我们可以期待看到TLS的初始化、数据存储以及调试技术的具体实现。例如,可能会有`TlsAlloc`函数分配TLS索引,`TlsSetValue`和`TlsGetValue`用于设置和获取线程局部数据。同时,...
收藏的一些小工具(2)exeScope
03-17
2. **头信息分析**:exeScope能够显示可执行文件的头部信息,包括文件版本、PE标志、导出和导入函数、TLS线程局部存储)等,这对于理解和调试程序是至关重要的。 3. **数据区操作**:它允许用户查看和修改可执行...
LordPE和PEid
03-18
LordPE可以帮助用户深入了解PE文件的各个部分,例如节区信息、数字签名、线程局部存储区(TLS)回调等,从而在逆向工程、软件调试和安全分析中发挥重要作用。 PEid则是一款经典的PE文件识别工具,它的主要功能是...
VC++动态链接库编程
08-03
2. TLS线程局部存储):用于为每个线程提供独立的数据存储,避免线程安全问题。 六、延迟加载DLL 1. 延迟加载:通过编译器选项实现,程序运行时只有当调用DLL函数时才加载DLL,提高了程序启动速度。 2. 异常处理...
PE查询工具
08-17
10. **线程局部存储TLS)**:管理每个线程局部存储。 11. **本体(Code和Data)**:实际的程序代码和数据。 **二、PE分析工具的实现** 描述中提到的PE查询工具是基于VC6.0开发的,这是一款较老但经典的C++集成...
Dumpbin命令的使用
07-21
6. **线程局部存储TLS)**:`dumpbin /tls`可以显示DLL的线程局部存储区域,这对于了解多线程程序如何使用局部变量很有用。 使用Dumpbin时,可以通过组合不同的选项来获取特定信息,例如,`dumpbin /all`将显示...
PE文件分析器WinDump的Delphi源代码..rar
05-03
7. **异常处理和线程信息**:PE文件还包含异常处理和线程局部存储TLS)信息。源代码可能包含解析这部分数据的代码,以理解程序的异常处理机制。 8. **代码分析**:高级的WinDump可能包含代码分析功能,如汇编,...
PE查看器 PEinfo
05-01
8. **线程局部存储区(TLS)**:为每个线程分配的数据区域。 9. **调试信息**:帮助开发者调试程序的附加信息,如符号表。 **PEinfo的功能** PEinfo工具能够显示以下详细信息: 1. **基本信息**:如文件大小、...
PE解析器python脚本
03-17
5. 其他元数据解析:如安全属性、异常处理表、线程局部存储TLS)等。 6. 不支持加壳文件:由于脚本不处理加壳文件,这可能意味着它不包含解密或混淆代码来穿透保护层,因此对于经过复杂保护的PE文件,它可能...
WIN10 X64下通过TLS实现调试
liuyez123的博客
04-27 9562
1 TLS技术简介Thread Local Storage(TLS),是Windows为解决一个进程中多个线程同时访问全局变量而提供的机制。TLS可以简单地由操作系统代为完成整个互斥过程,也可以由用户自己编写控制信号量的函数。当进程中的线程访问预先制定的内存空间时,操作系统会调用系统默认的或用户自定义的信号量函数,保证数据的完整性与正确性。 基于TLS调试,原理实为在实际的入口点代码执行
TLS线程局部存储
dre4merp
05-16 818
TLS全称线程局部存储器,它用来保存变量或回调函数。   TLS里面的变量和回调函数都在程序入口点(AddressOfEntry)之前执行,也就是说程序在被调试时,还没有在入口点处断下来之前,TLS中的变量和回调函数就已经执行完了,所以TLS可以用作调试之类的操作。   要在程序中使用TLS,必须为TLS数据单独建一个数据段,用相关数据填充此段,并通知链接器为TLS数据在PE文件头中添加数据。 __declspec (thread)int g_nNum = 0x9597; __declspec (
调试技术(一)--静态调试
weixin_30871293的博客
03-13 228
为了保护自己的程序不被破译等,很多软件使用了调试技术来阻止逆向程序员对自己程序进行爆破,这同时也催生了另一种技术--调试破解技术的出现。调试技术分为静态调试技术和动态调试技术。相比来说静态调试技术更容易实现,破解一般也只需要一次,我们这次就先谈一下静态调试技术,以及对应的破解之道。 1.PEB结构中有几个重要的成员标示了进程是否处于被调试状态。(以下以32位为例) +0x0...
详解:TLS SSL技术.docx
10-30
“详解:TLS SSL技术.docx” 传输层安全性(TLS)与安全套接字层(SSL)是网络通信中广泛使用的安全协议,旨在确保数据在不受信任的网络上安全传输。这两种协议的主要目标是对服务器和客户端进行身份验证,并加密...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值