171123 逆向-TLS回调函数

最新推荐文章于 2024-03-15 10:32:01 发布
最新推荐文章于 2024-03-15 10:32:01 发布
阅读量782 收藏 1
点赞数 2
分类专栏: 杂七杂八
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/78660248
版权

1625-5 王子昂 总结《2017年11月23日》 【连续第419天总结】
A. TLS回调函数
B.
上次HCTF遇到了TLS反调,只大致看了一下,这次正好书上看到,详细记录一发

介绍

TLS是各线程独立的数据存储空间。
使用TLS技术可在线程内部独立使用或修改进程的全局数据或静态数据,就像对待自身的局部变量一样。

进程启动运行时,在执行EP代码前,系统会逐一调用存储在TLS回调函数地址数组中的函数
这个特性使得它经常被用来作为反调试机制

每当创建、终止线程时都会自动调用TLS回调函数,甚至包括主线程。

定义

typedef VOID 
(NTAPI *PIMAGE_TLS_CALLBACK)(
 PVOID DllHandle,
 DWORD Reason,
 PVOID Reserved
);

它与DllMain函数很相似,包括参数顺序和意义:
DllHandle模块句柄、Reason调用原因、 Reserved加载方式(显式/隐式)

其中调用原因Reason也同样有4个值,分别宏定义为

DLL_PROCESS_ATTACH 1  //主线程main函数执行之前调用
DLL_THREAD_ATTACH 2   //线程函数开启之前调用
DLL_THREAD_DETACH 3   //线程执行完毕后调用
DLL_PROCESS_DETACH 0  //主线程main函数执行完毕后调用

C. 明日计划
TEB和PEB

奈沙夜影
关注
专栏目录
TLS回调函数
夜空中最亮的星
12-07 2826
TLS回调函数是指,每当创建/终止进程的线程时会自动调用执行的函数。创建的主线程也会自动调用回调函数,且其调用执行先于EP代码。 IMAGE_DATA_DIRECTORY[9]:IMAGE_TLS_DIRECTORY typedef struct _IMAGE_TLS_DIRECTORY64 {     ULONGLONG StartAddressOfRawData;     
190404 逆向-利用溢出修改TLS的re题
热门推荐
whklhhhh的博客
04-04 2万+
偶然在52上看到 这个帖子 顺手打开看了一下 主函数这里有个错误指令,附近没有跳转所以大概不是花 往上翻一下 标准的try语句,新增了一个异常处理结构 可以看到handler指向了401269+1的地方,而401269正好就是错误指令地址 也就是说相当于一个花了 修正一下变成这个样子 直接输出RROR!然后退出 就全完了233 注意到输入的buff在data段,以及scanf是%s来的,所...
逆向工程核心原理:TLS回调函数
qq_42363151的博客
05-17 1069
reverse
TLS回调函数(一)
Hotspurs的博客
05-17 2436
TLS (Thread Local Storage 线程局部存储 )回调函数常用于反调试。 程序运行时,TLS数据初始化和TLS回调函数都在入口处(OEP)之前执行,也就是说,TLS是程序开始执行的地方。(许多病毒或外壳程序会利用这一点执行一些特殊的操作) TLS 定义: typedef VOID (NTAPI *PIMAGE_TLS_CALLBACK) ( PVOID DllHandl...
TLS回调函数的学习
stopys6的博客
09-11 276
本篇文章主要学习有关TLS(Thread Local Storage,线程局部存储)回调函数(CallBack Function),这种回调函数由于其特殊的特性通常会被运用于反调试技术中。本篇文章将通过分析代码,直接调试和手动创建TLS回调函数三个部分来学习有关TLS回调函数的知识。
TLS回调函数的学习3
luoxiayan的博客
09-26 63
本篇文章主要学习有关TLS(Thread Local Storage,线程局部存储)回调函数(CallBack Function),这种回调函数由于其特殊的特性通常会被运用于反调试技术中。本篇文章将通过分析代码,直接调试和手动创建TLS回调函数三个部分来学习有关TLS回调函数的知识。
180822 逆向-网鼎杯(2-1)
whklhhhh的博客
08-22 2232
Reverse martricks main函数中接收输入以后将input和一个字符串异或一下存入savedregs中 这里7*(i_23/7)+i_23%7这种写法实际上还是i_23,只不过表示成了第x行y列的形式(7个元素/行) 两个数组分别存放在了savedregs-192和savedregs-128中 下面两层嵌套循环,中间进行了一个累加的运算 关键是箭头所指向的积的累...
TLS_CallBack.rar_TLS CALLBA_pe debugger_tlsCallback_tls_callba_手
09-19
TLS回调函数则是在线程开始执行之前调用的,这样开发者就可以在线程上下文中设置特定的数据或执行其他初始化任务。 **TLS Callback编程**涉及到在PE文件中定义TLS目录,并注册回调函数。这通常通过`IMAGE_TLS_...
逆向工程学习笔记(17):回调函数
嵌云阁
04-18 507
在C++中经常使用回调函数,下面看一段代码: 0x30001009 mov ecx, dword [esp + 0xc] 0x3000100D mov edx, dword [esp + 8] 0x30001011 push ecx 0x30001012 mov ecx, dword [esp + 8] 0x30001016 push edx 0x30001017 push ecx 0x30001018 call eax 从前面的代码已经知道,...
TLS回调函数(2)
寻梦&之璐
02-03 557
手动添加TLS回调函数 设计规划 首先要确定IMAGE_TLS_DIRECTORY结构体与TLS回调函数放到文件的哪个位置。向某个PE文件添加代码或数据时,有如下3种方法查找合适位置: 添加到节区末尾的空白区域 添加到最后一个节区的大小 在最后添加新节区 这里呢,我们采用第二种方法,即增加最后一个节区(.rsrc)的节区头。 可以看到,最后一个节区(.rsrc)的Pointer to Raw Data=9A00,Size of Raw Data=600。所以PE头中定义的文件整体大小为A000。考虑到
tls回调
patdz的专栏
08-04 1839
最初是因为在一个线程中有加锁,解锁的操作,而如果在线程加锁时候干掉它,这个锁就会永远被锁死。所以想搞个回调来自动释放锁。所以查到了tls callback。 但是。。。。。。 注意,如果用TerminateThread干死的线程,将没有机会回调。。。。 可见TerminateThread是多么邪恶的一个函数吧   参考自:http://www.codeproject.com/Articl
TLS回调函数–一文看懂(详)
最新发布
Joyce_hjll的博客
03-15 1823
TLS回调函数 CTF RE
TLS回调函数的应用
cyxvc
10-22 1289
TLS回调函数是指,每当创建 / 终止进程的线程时会自动调用执行的函数。创建的主线程也会自动调用回调函数,且其调用执行先于EP代码。
通过TLS回调函数的反调试
weixin_30871701的博客
02-24 284
下面是TLS数据结构的定义 typedef struct _IMAGE_TLS_DIRECTORY { DWORD StartAddressOfRawData; DWORD EndAddressOfRawData; DWORD AddressOfIndex; DWORD AddressOfCallBac...
PE文件格式TLS回调
BeanJoy的专栏
12-28 2974
从这个帖子打开文件对话框中有些文件无法显示中了解到了TLS,网上搜索了一下,挺有意思的,一般用于调试
一种基于TLS的高级反调试技术
dianlixiong9237的博客
12-06 211
盗版行为日益猖獗,严重影响到软件开发者和开发商的知识产权及利益,反盗版技术的重要性也越来越引起人们的重视。在反盗版技术中,起最大作用的当属反调试技术。然而传统的反调试技术都存在一个弱点:他们都在程序真正开始执行之后才采取反调试手段。实际上在反调试代码被执行前,调试器有大量的时间来影响程序的执行,甚至可以在程序入口处插入断点命令来调试程序。对于使用C/C++语言编译的程序来说,问题通常会更...
TLS回调函数(1)
寻梦&之璐
01-24 1768
简述 代码逆向分析领域中,TLS(Thread Local Storage,线程局部存储)回调函数(Callback Function)常用反调试。TLS回调函数的调用运行要先于EP代码的执行,该特征使它可以作为一种反调试技术的使用。 TLS TLS是各线程的独立的数据存储空间,使用TLS技术可在线程内部独立使用或修改进程的全局数据或静态数据,就像对待自身的局部变量一样。 IMAGE_DATA_DIRECTORY[9] 若在编程中启用了TLS功能,PE头文件中就会设置TLS表(TLS Table)项目,如下
Linux下FreeRADIUS EAP-TLS认证配置详析
本文档详细介绍了如何在Linux或Unix系统上配置FreeRADIUS以支持EAP-TLS认证,并指导AccessPoint客户端的配置流程。作者参考了KenRoser的官方文档《EAPTLS.pdf》来确保内容的准确性。文档的目的是帮助读者在自由....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值