利用TLS添加运行前代码

最新推荐文章于 2024-04-10 13:29:34 发布
最新推荐文章于 2024-04-10 13:29:34 发布
阅读量610 收藏
点赞数
分类专栏: 海纳百川 文章标签: dll image callback null winapi thread
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaokint3/article/details/7539885
版权
TLS即线程局部存储的结构定义如下
typedef struct _IMAGE_TLS_DIRECTORY32 {
    DWORD   StartAddressOfRawData;
    DWORD   EndAddressOfRawData;
    DWORD   AddressOfIndex;             // PDWORD
    DWORD   AddressOfCallBacks;         // PIMAGE_TLS_CALLBACK *
    DWORD   SizeOfZeroFill;
    DWORD   Characteristics;
} IMAGE_TLS_DIRECTORY32;
typedef IMAGE_TLS_DIRECTORY32 * PIMAGE_TLS_DIRECTORY32;

其中主要关心的就是第4个参数,这个参数指向一个数组,数组中每个元素都是一个函数指针,并以一个NULL为结尾
函数原型为 
typedef VOID (NTAPI *PIMAGE_TLS_CALLBACK)(PVOID DllHandle, DWORD Reason, PVOID Reserved);
第一个参数顾名思义即为Dll句柄即模块句柄
第二个参数即表示调用该函数的时机,分别对应以下几个值:
DLL_PROCESS_DETACH    0    进程将要被终止,包括第一个线程
DLL_PROCESS_ATTACH    1    启动了一个新进程,包括第一个线程
DLL_THREAD_ATTACH      2    创建了一个新线程。创建所有线程时都会发送这个通知,除第一个线程外
DLL_THREAD_DETACH      3    线程将要被终止。终止所有线程时都会发送这个通知,除第一个线程外
第三个预留,为0
在程序加载进入OEP前,会按函数指针数组中地址顺序依次调用其函数(当然退出时也会),这可以利用到加壳脱壳等安全方面中
在程序中定义如上结构后,一般只初始化函数指针数组为有意义的值,其他值可都用初始化为0的值初始化
在定义完成生成程序后还要手动修改TLS数据目录使其指向你定义的TLS结构

下面分别贴上WIN32汇编和C的应用代码
/
;------------------------
; 静态TLS演示
; 戚利
; 2010.2.28
;------------------------
    .386
    .model flat,stdcall
    option casemap:none

include    windows.inc
include    user32.inc
includelib user32.lib
include    kernel32.inc
includelib kernel32.lib

    .data

szText  db 'HelloWorldPE',0,0,0,0  

; 构造IMAGE_TLS_DIRECTORY

TLS_DIR     dd offset Tls1
            dd offset Tls2
            dd offset Tls3
            dd offset TlsCallBack
            dd 0
            dd 0
Tls1        dd 0
Tls2        dd 0
Tls3        dd 0
TlsCallBack dd  offset TLS
            dd     0
            dd     0

    .data?

TLSCalled db ?   ;重进标志

    .code

start:
 
    invoke ExitProcess,NULL
    RET

    ; 以下代码将会在.code之前执行一次
TLS:

    ; 变量TLSCalled是一个防重进标志。正常情况下该部分代码
    ; 会被执行两次,但使用了该标识后,该代码只在开始运行前
    ; 执行一次
    
    cmp byte ptr [TLSCalled],1
    je @exit
    mov byte ptr [TLSCalled],1
    invoke MessageBox,NULL,addr szText,NULL,MB_OK

@exit:

    RET

    end start  
/


#include <windows.h>
void  _Tls( );

typedef struct
{
DWORD start;
DWORD end;
DWORD index;
DWORD call;
DWORD a;
DWORD b;
}TLS_DIR;

DWORD tls1=0;
DWORD tls2=0;
DWORD tls3=0;
DWORD t[2]={ _Tls, 0 };

//DWORD x=0;
TLS_DIR tls = {
        &tls1,
&tls2,
&tls3,
t,
0,
0
};




int WINAPI WinMain (HINSTANCE hInstance, HINSTANCE hPrevInstance,
                    PSTR szCmdLine, int iCmdShow)
{
     MessageBox (NULL, TEXT ("Hello"), TEXT ("HelloMsg"), 0) ;
     return 0 ;
}

void  _Tls( )
{
TCHAR s[20];
TCHAR a[]=L"%d %d %d";
wsprintf(s,a,tls1,tls2,tls3);
MessageBox(0,s,0,0);
wsprintf(s,L"%X,%X,%X",&tls1,&tls2,&tls3);
MessageBox(0,s,0,0);
//_asm ret
}
stackoverlow
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
tls
02-16
tls-main.zip
linux tls传输代码实例,Windows与Linux下TLS实现
weixin_39629075的博客
05-13 219
Under Windows:#include #include #include // 利用TLS记录线程的运行时间 DWORD g_tlsUsedTime; void InitStartTime(); DWORD GetUsedTime(); UINT __stdcall ThreadFunc(LPVOID) { int i; // 初始化开始时间 InitStartTime(); // ...
TLS 注入
最新发布
蛇矛实验室
04-10 560
TLS 回调来执行有效负载,而不在远程进程中生成任何线程。此方法受到无线程注入的启发,因为 RemoteTLSCallbackInjection 不会调用任何 API 调用来触发注入的有效负载,因此可以绕过一些函数挂钩或线程检测。
SSL/TLS
qq_40781291的博客
03-01 158
HTTP的风险 窃听 篡改 冒充 HTTPS HTTPS运行在SSL/TLS协议上,使用加密认证机制,端口为443 优势所在 加密传输 校验机制 证书认证 SSL/TLS加密过程 基本思路 采用公钥加密,客户端向服务器所要公钥,用公钥加密信息,服务器通过私钥解密。 疑问 公钥的保证: 使用可信的数字证书 数字证书 数字证书中将认证使用hash算法得到摘要,使用公钥对摘要加密。 接收...
基于TLS加密的虚拟机事件发布[代码实现]
Jacobsea的博客
07-08 622
网络技术不断发展,网络中存在的攻击行为也层出不穷,恶意攻击者作为中间人窃取网络信息,篡改网络信息,或者冒充合法服务器的行为,也成为我们设计网络协议,搭建网络通信服务器时,必须重点考虑的问题。 ......
mbedtls.zip
01-21
Mbedtls是一个轻量级的开源密码库,广泛用于...开发者可以通过编译这些源代码,将其集成到自己的项目中,利用Mbedtls提供的加密功能来增强系统的安全性。同时,通过阅读示例代码和文档,可以学习如何正确使用这个库。
mbedtls-development.zip
07-21
3. **示例程序**:通过实际运行代码了解mbedtls的使用方法,学习如何配置和调用加密库。 4. **配置工具**:根据项目需求,自定义mbedtls的功能集,减小库的体积,提高效率。 5. **调试与测试**:利用提供的工具...
TLS反调试VC6
04-01
标题“TLS反调试VC6”指的是在Visual C++ 6.0(简称VC6)环境中,利用TLSThread Local Storage)技术实现的一种反调试策略。TLS是编程中的一个概念,特别是在C++中,它允许每个线程拥有自己的局部变量副本,即使...
VB利用JMail登录到服务器
05-11
标题中的“VB利用JMail登录到服务器”是指使用Visual Basic(VB)编程语言,通过JMail组件实现与邮件服务器的连接和通信。JMail是一款功能强大的邮件组件,它允许开发者在应用程序中添加发送、接收、管理电子邮件等...
Go-CertMagic-利用Go程序管理TLS证书的颁发和续订自动化添加HTTPS
08-14
4. **异步处理**:为了不影响服务的正常运行,CertMagic使用后台任务来处理证书的申请和续订,这些任务可以在不阻塞主程序的情况下运行。 5. **多域名支持**:CertMagic支持在一个证书中包含多个域名(SANs,...
TLS编程学习一 简单认识TLS
01-01
用一个最简单的例子来说明TLS的使用,本源码测试环境VC6.0,正常使用,里面包含了一个大牛自己写的一个lib,原版的VC6.0是不能使用tls的。大家可以放心下载吧!
Windows Server 2008 R2下配置启用开通TLS1.2支持,注册表一键导入1秒开通(微信小程序开发必下)
11-28
1秒速开通:Windows Server 2008 R2 下配置启用开通TLS1.2,想必在做微信小程序时,你肯定遇到了TLS1.2的强制要求,那么你就下载这个注册表导入文件就行了,一键运行,重启服务器后生效,我已经应用到了几十台服务器上了,完美,2008操作系统64位的。
TLS实现代码段加密
01-01
TLS实现代码段加密,运行的时候直接在内存里把代码段解密出来再跑。
delphi2010 indy10.6.2 完成安装 支持TLS1.2
01-10
delphi2010 indy10.6.2 完成安装 支持TLS1.2,内有安装说明
Delphi7自带Indy配套的SSL动态链接库
01-21
Delphi7自带Indy配套的SSL动态链接库
HTTPS+TLS
weixin_52222937的博客
02-27 333
HTTPS和TLS
亚马逊开源它的 TLS 库-s2n,
yazhouren的专栏
07-07 1160
origin: http://www.linuxeden.com/html/news/20150707/161732.html 亚马逊在Apache许可证下开源了它的TLS实现库s2n,代码托管在Github上。s2n只有6000多行代码,只相当于OpenSSL的1%多一点。OpenSSL备受人诟病的一点就是代码过于复杂,难以检查和安全评估,去年OpenSSL曝出高危漏洞Heartbleed
PE文件格式学习(十二):TLS表(TLSDirectory)
tutucoo
11-08 2428
1.介绍 TLS全称线程局部存储器,它用来保存变量或回调函数。 TLS里面的变量和回调函数都在程序入口点(AddressOfEntry)之执行,也就是说程序在被调试时,还没有在入口点处断下来之TLS中的变量和回调函数就已经执行完了,所以TLS可以用作反调试之类的操作。 TLS中的变量单独存在于每个独立的线程当中,每个线程中对该变量的操作都不会影响到其他线程中的TLS变量。 TLS变量的创建方...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值