利用TLS添加运行前代码

最新推荐文章于 2024-04-10 13:29:34 发布
最新推荐文章于 2024-04-10 13:29:34 发布
阅读量601 收藏
点赞数
分类专栏: 海纳百川 文章标签: dll image callback null winapi thread
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaokint3/article/details/7539885
版权
TLS即线程局部存储的结构定义如下
typedef struct _IMAGE_TLS_DIRECTORY32 {
    DWORD   StartAddressOfRawData;
    DWORD   EndAddressOfRawData;
    DWORD   AddressOfIndex;             // PDWORD
    DWORD   AddressOfCallBacks;         // PIMAGE_TLS_CALLBACK *
    DWORD   SizeOfZeroFill;
    DWORD   Characteristics;
} IMAGE_TLS_DIRECTORY32;
typedef IMAGE_TLS_DIRECTORY32 * PIMAGE_TLS_DIRECTORY32;

其中主要关心的就是第4个参数,这个参数指向一个数组,数组中每个元素都是一个函数指针,并以一个NULL为结尾
函数原型为 
typedef VOID (NTAPI *PIMAGE_TLS_CALLBACK)(PVOID DllHandle, DWORD Reason, PVOID Reserved);
第一个参数顾名思义即为Dll句柄即模块句柄
第二个参数即表示调用该函数的时机,分别对应以下几个值:
DLL_PROCESS_DETACH    0    进程将要被终止,包括第一个线程
DLL_PROCESS_ATTACH    1    启动了一个新进程,包括第一个线程
DLL_THREAD_ATTACH      2    创建了一个新线程。创建所有线程时都会发送这个通知,除第一个线程外
DLL_THREAD_DETACH      3    线程将要被终止。终止所有线程时都会发送这个通知,除第一个线程外
第三个预留,为0
在程序加载进入OEP前,会按函数指针数组中地址顺序依次调用其函数(当然退出时也会),这可以利用到加壳脱壳等安全方面中
在程序中定义如上结构后,一般只初始化函数指针数组为有意义的值,其他值可都用初始化为0的值初始化
在定义完成生成程序后还要手动修改TLS数据目录使其指向你定义的TLS结构

下面分别贴上WIN32汇编和C的应用代码
/
;------------------------
; 静态TLS演示
; 戚利
; 2010.2.28
;------------------------
    .386
    .model flat,stdcall
    option casemap:none

include    windows.inc
include    user32.inc
includelib user32.lib
include    kernel32.inc
includelib kernel32.lib

    .data

szText  db 'HelloWorldPE',0,0,0,0  

; 构造IMAGE_TLS_DIRECTORY

TLS_DIR     dd offset Tls1
            dd offset Tls2
            dd offset Tls3
            dd offset TlsCallBack
            dd 0
            dd 0
Tls1        dd 0
Tls2        dd 0
Tls3        dd 0
TlsCallBack dd  offset TLS
            dd     0
            dd     0

    .data?

TLSCalled db ?   ;重进标志

    .code

start:
 
    invoke ExitProcess,NULL
    RET

    ; 以下代码将会在.code之前执行一次
TLS:

    ; 变量TLSCalled是一个防重进标志。正常情况下该部分代码
    ; 会被执行两次,但使用了该标识后,该代码只在开始运行前
    ; 执行一次
    
    cmp byte ptr [TLSCalled],1
    je @exit
    mov byte ptr [TLSCalled],1
    invoke MessageBox,NULL,addr szText,NULL,MB_OK

@exit:

    RET

    end start  
/


#include <windows.h>
void  _Tls( );

typedef struct
{
DWORD start;
DWORD end;
DWORD index;
DWORD call;
DWORD a;
DWORD b;
}TLS_DIR;

DWORD tls1=0;
DWORD tls2=0;
DWORD tls3=0;
DWORD t[2]={ _Tls, 0 };

//DWORD x=0;
TLS_DIR tls = {
        &tls1,
&tls2,
&tls3,
t,
0,
0
};




int WINAPI WinMain (HINSTANCE hInstance, HINSTANCE hPrevInstance,
                    PSTR szCmdLine, int iCmdShow)
{
     MessageBox (NULL, TEXT ("Hello"), TEXT ("HelloMsg"), 0) ;
     return 0 ;
}

void  _Tls( )
{
TCHAR s[20];
TCHAR a[]=L"%d %d %d";
wsprintf(s,a,tls1,tls2,tls3);
MessageBox(0,s,0,0);
wsprintf(s,L"%X,%X,%X",&tls1,&tls2,&tls3);
MessageBox(0,s,0,0);
//_asm ret
}
stackoverlow
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mbedtls-development.zip
07-21
3. **示例程序**:通过实际运行代码了解mbedtls的使用方法,学习如何配置和调用加密库。 4. **配置工具**:根据项目需求,自定义mbedtls的功能集,减小库的体积,提高效率。 5. **调试与测试**:利用提供的工具...
PE文件格式学习(十二):TLS表(TLSDirectory)
tutucoo
11-08 2402
1.介绍 TLS全称线程局部存储器,它用来保存变量或回调函数。 TLS里面的变量和回调函数都在程序入口点(AddressOfEntry)之执行,也就是说程序在被调试时,还没有在入口点处断下来之TLS中的变量和回调函数就已经执行完了,所以TLS可以用作反调试之类的操作。 TLS中的变量单独存在于每个独立的线程当中,每个线程中对该变量的操作都不会影响到其他线程中的TLS变量。 TLS变量的创建方...
TLS回调函数
qq_39249347的博客
09-03 1713
练习:HelloTls.exe 运行练习程序,弹出一个消息框,单击确定按钮后,程序终止运行。 在OllyDbg调试器中打开并运行HelloTls.exe文件。 消息对话框中显示的内容于程序运行时显示的内容不同,单击确定按钮,HelloTls.exe进程随机终止。 原因在于,程序运行EP代码先调用了TLS回调函数,而该回调函数中含有反调试代码,使程序在被调试时弹出“Debugger Detected!“消息对话框。 TLS TLS是各线程的独立的数据存储空间,使用TLS技术可在线程内部独立使用或
Delphi Http Https 最好的解决方法(一)
02-21 2439
Delphi http https 辅助工具 解决一切ssl问题
TLS 注入
最新发布
蛇矛实验室
04-10 556
TLS 回调来执行有效负载,而不在远程进程中生成任何线程。此方法受到无线程注入的启发,因为 RemoteTLSCallbackInjection 不会调用任何 API 调用来触发注入的有效负载,因此可以绕过一些函数挂钩或线程检测。
TLSThread Local Storage)反调试原理
Catch me if you can
05-09 2701
TLS是在线程创建后执行,销毁后退出自动执行的一种技术,常用于反调试技术。TLS主要有一个回调函数地址表,在PE文件中存在。一个程序放到调试器中,还没有加载到OEP时,就已经执行TLS了(因为程序的主线程在OEP创建,而创建时会自动调用TLS,准确的说是创建后自动调用其回调函数TLS)。这时候往TLS中置入反调试检测,就达到了效果。
mbedtls.zip
01-21
Mbedtls是一个轻量级的开源密码库,广泛用于...开发者可以通过编译这些源代码,将其集成到自己的项目中,利用Mbedtls提供的加密功能来增强系统的安全性。同时,通过阅读示例代码和文档,可以学习如何正确使用这个库。
TLS反调试VC6
04-01
标题“TLS反调试VC6”指的是在Visual C++ 6.0(简称VC6)环境中,利用TLSThread Local Storage)技术实现的一种反调试策略。TLS是编程中的一个概念,特别是在C++中,它允许每个线程拥有自己的局部变量副本,即使...
VB利用JMail登录到服务器
05-11
标题中的“VB利用JMail登录到服务器”是指使用Visual Basic(VB)编程语言,通过JMail组件实现与邮件服务器的连接和通信。JMail是一款功能强大的邮件组件,它允许开发者在应用程序中添加发送、接收、管理电子邮件等...
Go-CertMagic-利用Go程序管理TLS证书的颁发和续订自动化添加HTTPS
08-14
4. **异步处理**:为了不影响服务的正常运行,CertMagic使用后台任务来处理证书的申请和续订,这些任务可以在不阻塞主程序的情况下运行。 5. **多域名支持**:CertMagic支持在一个证书中包含多个域名(SANs,...
delphi2010 indy10.6.2 完成安装 支持TLS1.2
01-10
delphi2010 indy10.6.2 完成安装 支持TLS1.2,内有安装说明
TLS编程学习一 简单认识TLS
01-01
用一个最简单的例子来说明TLS的使用,本源码测试环境VC6.0,正常使用,里面包含了一个大牛自己写的一个lib,原版的VC6.0是不能使用tls的。大家可以放心下载吧!
tls
02-16
tls-main.zip
Windows Server 2008 R2下配置启用开通TLS1.2支持,注册表一键导入1秒开通(微信小程序开发必下)
11-28
1秒速开通:Windows Server 2008 R2 下配置启用开通TLS1.2,想必在做微信小程序时,你肯定遇到了TLS1.2的强制要求,那么你就下载这个注册表导入文件就行了,一键运行,重启服务器后生效,我已经应用到了几十台服务器上了,完美,2008操作系统64位的。
TLS实现代码段加密
01-01
TLS实现代码段加密,运行的时候直接在内存里把代码段解密出来再跑。
MemoryModule阅读与PE文件解析(四)---深入理解TLS
商少
04-05 1849
下面的操作是关于TLS 和 PE 入口点函数的,首先,了解什么是TLSTLS 是线程局部存储的简称,这种机制的特殊之处就在于,线程相关。对于普通的变量来说,如果它是全局或静态的,那么如果多线程程序同时访问可能会造成逻辑问题,TLS 提供了一种简便的方法来实现线程访问与该线程相关联的全局或静态变量的方法。 TLS 分为静态和动态 动态TLS 如下图所示: PEB 中有一个
gnutls.h: No such file or directory 的解决方案
oHongHong的博客
07-11 6116
报错 In file included from src/docstrings.c:4:0:     src/pycurl.h:173:30: fatal error: gnutls/gnutls.h: No such file or directory     compilation terminated.     error: command 'x86_64-linux-gnu-gcc
线程本地存储TLS详解
For Geek
05-12 5518
博客的大部分原理转自:https://blog.csdn.net/zhangmiaoping23/article/details/44345341 本人自己把觉得自己需要的部分自己进行了综合。 TLS(Thread Local Storage)是为了多线程考虑其线程本身需要维持一些状态而设置的一种机制. TLS在概念上并不复杂。常规设计是将所有对TLS的访问都通过TEB中的指针来进行间接访问,TE...
TLS底层实现的详解
For Geek
05-12 2060
我在之的博客里并未提及过Tls的底层初始化,现在好好来谈谈。 首先我们要知道Tls的初始化是在入口之。先从一开始的LdrInitializeThunk说起,在调用LdrPEStartup时,其在修复完导入表后,调用了一次LdrpInitializeTlsForProccess,我们看看他是怎样处理的。 static NTSTATUS LdrpInitializeTlsForProccess(V...
"NET面试成功必备知识点:代码规范、数据结构集合及底层实现
可以为类或方法添加标记,用于实现一些额外的功能反射是程序在运行时可以动态获取和调用类型的能力,可以实现一些动态的操作6、 异常处理try-catch-finally、throw、throws、finallytry-catch-finally:用于捕获和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值