TLS反调式浅谈

最新推荐文章于 2023-08-22 21:59:55 发布
最新推荐文章于 2023-08-22 21:59:55 发布
阅读量201 收藏
点赞数
分类专栏: CTF 文章标签: c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44711063/article/details/115337459
版权

TLS,局部线程存储。先于OEP执行,可防止多线程争用资源,现常用于反调试
在这里插入图片描述
AddressOfCallBacks为一个函数指针数组,里面存放callback函数地址,系统会在OEP之前调用。

简单使用TLS:

#include "iostream"
#include "Windows.h"
#include "tchar.h"
//#include "ntdll/ntdll.h"
//使用TLS
#pragma comment(linker,"/INCLUDE:__tls_used")
DWORD isDebug = 0;
void NTAPI TLS_CALLBACK(PVOID DllHandle, DWORD Reason, PVOID Reserved)
{
	if (Reason == DLL_PROCESS_ATTACH)
	{
		::MessageBox(0, 0, 0, 0);
	//不接受内核调试信息
	//NtSetInformationThread(GetCurrentThread(),TreadHidePromDebugger,0,0);
    //NtQueryInformationProcess()
	}
}
void NTAPI TLS_CALLBACK2(PVOID DllHandle, DWORD Reason, PVOID Reserved)
{
	if (Reason == DLL_PROCESS_ATTACH)
	{
		::MessageBox(0, 0, 0, 0);
	}
}
int main()
{
	::MessageBoxA(0, "主函数", 0, 0);
	return 0;
}
//新建一段数据,放到TLS这个目录表里面  函数指针数组
#pragma data_seg (".CRT$XLX")
PIMAGE_TLS_CALLBACK pTlsCallBacks[] = { TLS_CALLBACK,TLS_CALLBACK2 ,NULL};
#pragma data_seg()
小鱼吃大鱼ni
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
TLS调试检测和调试
hambaga的博客
09-13 891
TLS是线程本地存储,定义TLS函数,在函数内可以调用内核函数 NtQueryInformationProcess 检查当前是否处于被调试状态,也可以调用 NtSetInformationThread 让调试崩溃。 // TLS调试.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。 // #include <stdio.h> #include <Windows.h> #include "MINT.h" #pragma comment(linker,"/I
TLS调试
xuqi7
08-21 328
TLS, Thread Local Storage, 线程局部存储,其它线程不可访问,可实现多线程安全。利用TLS可以实现一种调试。
TLS调试 调试
ADADQDQQ的博客
07-19 416
mbedtls开源sdk
04-06
mbedTLS(前身 PolarSSL)是一个由 ARM 公司开源和维护的 SSL/TLS 算法库。其使用 C 编程语言以最小的编码占用空间实现了 SSL/TLS 功能及各种加密算法,易于理解、使用、集成和扩展,方便开发人员轻松地在嵌入式产品...
tls.rar_TLS
09-23
标题中的“tls.rar_TLS”指的是与Transport Layer Security(TLS)协议相关的压缩文件。TLS是一种用于在互联网上提供安全通信的标准,它确保了数据在传输过程中的机密性、完整性和认证性。在这个压缩包中,我们可以...
TLS.rar_PE TLS
09-24
标题中的“TLS.rar_PE TLS”指的是与PE(Portable Executable)文件格式相关的TLS(Transport Layer Security)技术,但这里的TLS并非我们通常理解的网络通信安全协议,而是PE文件中的一个特性,即“线程局部存储”...
基于tls的CA测试证书
12-06
**基于TLS的CA测试证书详解** 在网络安全领域,证书授权(Certificate Authority,简称CA)扮演着至关重要的角色,它为互联网上的通信提供了安全基础。基于TLS(Transport Layer Security,传输层安全协议)的CA...
利用TLS调试
最新发布
qq_43147121的博客
08-22 735
今天说一下利用TLS提供的静态绑定回调函数来调试。
ntdll.lib和ntdll.h文件压缩包
04-11
ntdll.lib和ntdll.h文件压缩包,免积分下载
调式
weixin_30756499的博客
10-11 59
unsigned __stdcall fangdiaoshiThread(void * lParam) { while (true) { DWORD dwTime = GetTickCount(); Sleep(1000); if ((GetTickCount() - dwTime) > 2000) ...
TLS回调函数实现调试
Todog的博客
01-08 618
Tls调试
TLS线程本地存储进行调试
左手
08-03 437
[TOC] 盗版技术中,起最大作用的当属调试技术。然而传统的调试技术都存在一个弱点:他们都在程序真正开始执行之后才采取调试手段。实际上在调试代码被执行前,调试器有大量的时间来影响程序的执行,甚至可以在程序入口处插入断点命令来调试程序。对于使用C/C++语言编译的程序来说,问题通常会更严重,在执行到main()函数之前,会执行C/C++编译器插入的很大一段代码,这也给调试器带来影响程序执行
TLS中检测断点调试
热门推荐
小驹的专栏
11-21 1万+
TLS 原理:通过检测程序入口点处的200字节内是否有下的cc断点,如果有,刚程序退出 // TLS_test.cpp : Defines the entry point for the application. // #include "stdafx.h" #include "TLS_test.h" #include #include #pragma comment(linker, "
【逆向工程核心原理:TLS回调函数】
qq_42363151的博客
05-17 963
reverse
调试与调试
cyynid的博客
05-05 1095
该函数不会对正常运行的程序产生任何影响,但若运行的是调试器程序,因为该函数隐藏了当前线程,调试器无法再收到该线程的调试事件,最终停止调试。一个进程的所有TEB都以堆栈的方式,存放在从0x7FFDE000开始的线性内存中,每 4KB为一个完整的TEB,不过该内存区域是向下扩展的。方案二:暴力破解,定位该函数,对其二进制代码进行修改,进而跳过该函数的判断,该方法几乎对所有的调试都适用,但是定位程序比较繁琐,因为调试代码位置不固定,而且也不一定会有很明显的逻辑区分,比如程序强制关闭等。
线程本地存储TLS详解
For Geek
05-12 5502
博客的大部分原理转自:https://blog.csdn.net/zhangmiaoping23/article/details/44345341 本人自己把觉得自己需要的部分自己进行了综合。 TLS(Thread Local Storage)是为了多线程考虑其线程本身需要维持一些状态而设置的一种机制. TLS在概念上并不复杂。常规设计是将所有对TLS的访问都通过TEB中的指针来进行间接访问,TE...
互联网标准协议:TLS 1.2 协议详解
"The Transport Layer Security (TLS) Protocol Version 1.2.pdf 是一份由 T.Dierks 和 E.Rescorla 编写的互联网标准草案,它详细规定了互联网社区使用的传输层安全(TLS)协议的第1.2版本。这份文档取代了3268、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值