进程内线程入口的探究

最新推荐文章于 2022-06-25 21:54:24 发布
最新推荐文章于 2022-06-25 21:54:24 发布
阅读量2.2k 收藏 1
点赞数
分类专栏: C++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yoie01/article/details/51512354
版权

由于要写个检测功能,对于这块进行了下探究。

线程的常规启动有2种:

1、Createthread方式 ,纯win api的方法

2、_beginthreadex方式,这是VC中安全使用线程的方法

下面给出DEMO代码:

#include <Windows.h>
#include <process.h>

unsigned int __stdcall DemoThread1(PVOID p){
	while (1)
	{
		printf("Thread1\r\n");
		Sleep(1000);
	}
}

unsigned int __stdcall DemoThread2(PVOID p){
	while (1)
	{
		printf("Thread2\r\n");
		Sleep(1000);
	}
}

unsigned int __stdcall DemoThread3(PVOID p){
	while (1)
	{
		printf("Thread3\r\n");
		Sleep(1000);
	}
}

int _tmain(int argc, _TCHAR* argv[])
{
	//方式1
	printf("Thread1 Address = 0x%X\r\n",(DWORD)DemoThread1);
	CreateThread(NULL,0,(LPTHREAD_START_ROUTINE)DemoThread1,NULL,0,NULL);
	//方式2
	printf("Thread2 Address = 0x%X\r\n",(DWORD)DemoThread2);
	_beginthreadex(NULL,0,DemoThread2,NULL,0,NULL);

	printf("Thread3 Address = 0x%X\r\n",(DWORD)DemoThread3);
	_beginthreadex(NULL,0,DemoThread3,NULL,0,NULL);
	system("pause");
	return 0;
}

代码比较简单,有3个线程函数,1使用API的方式启动,2和3使用_beginthreadex方式启动。

代码执行后可以得到:


这里打印出了3个函数的地址,然后我们通过XT观察下线程入口


不难发现,Thread1的线程入口是可以对应上的(因为使用了API直接启动),但是另外2根线程后面显示的模块却是MSVCR80.DLL,并且线程入口也不对,这是因为使用了封装过的线程类启动而导致的,这里我们要把这个真实的入口枚举出来。

通过对_beginthreadex进行逆向分析:


可以看到将真实的线程入口和参数放入结构后,最终还是使用了Createthread但是启动的函数却是 0x6F8B29E1,比对下刚才的线程入口就可以对应上了,接下来分析下这个函数,我们只要知道这个函数从哪里读这个线程参数结构就行了。


这里可以知道参数结构是从 fls_getvalue内获取,翻阅了下这个call内执行。可以确定是跟线程内TLS有关,所以分析后最终得到结果就是

_get_tlsindex获取序号 --->TLS内获取Flsgetvalue(KERNEL32.DLL的导出函数)回调,执行Flsgetvalue后可以获取到参数结构,分析了下Flsgetvalue


可以看到有个 FS:[18]这个是取TEB,所以可以得到   [TEB + 0xFB4] + 4 * TLSINDEX + 8,这里的TLSINDEX就是_get_tlsindex得到的。

结构拿到后 +0x54就是入口,+0x58就是参数

好了分析完了,总结下:

1、先要获取线程的TEB

2、使用_get_tlsindex获取到TLSINDEX

3、使用[TEB + 0xFB4] + 4 * TLSINDEX + 8

4、得到真实线程入口

ps:作者系统是win7环境,后来切换XP发现不存在 flsgetvalue这个导出函数,所以得知这个导出函数是win7才有的。但是不要紧,xp下这个结构是放在tls的数组内因此第3步在xp下是 TEB + 0xE10 + 4 * TLSINDEX

这里给出一段最终封装的代码,缺少的函数自己封装了,仅供参考:

DWORD GetThreadEntryByThreadId(DWORD dwThreadId)
{
	THREAD_BASIC_INFORMATION ThreadBasicInfo = {0};
	if (PCHunter::Instance().QueryThreadBaseInfo(dwThreadId,&ThreadBasicInfo)){
		if (ThreadBasicInfo.TebBaseAddress != NULL){
			DWORD *pTlsSlots = (DWORD*)((DWORD)ThreadBasicInfo.TebBaseAddress + TEB_TLSSLOTS);
				PVOID pEntry = PCHunter::Instance().QueryThreadEntryByThreadId(dwThreadId);
				if (pEntry != NULL){
					char szModuleName[MAX_PATH] = {0};
					GetModuleNameByMemoryAddress((DWORD)pEntry,szModuleName);

					//判断是不是库模块;
					if (StrStrI(szModuleName,"msvcr")){

						HMODULE hModule = GetModuleHandle(szModuleName);
						if (hModule != NULL){
							FGetTlsIndex pGetTlsIndex = (FGetTlsIndex)GetProcAddress(hModule,"__get_tlsindex");
							if (pGetTlsIndex!=NULL){

								DWORD dwIdx = pGetTlsIndex();
								//AdminPrintf("TlsIndex:%d\r\n",pGetTlsIndex());
								DWORD dwAddress = 0;
								DWORD SafeThunkCall = 0;

								//区分下是否存在 FlsGetValue 函数;
								bool IsNewKernel32 = false;
								HMODULE hKer = GetModuleHandle("kernel32.dll");
								if (hKer != NULL){
									if (GetProcAddress(hKer,"FlsGetValue") != NULL){
										IsNewKernel32 = true;
									}
								}

								if (IsNewKernel32){
									SafeThunkCall = *(DWORD*)((DWORD)ThreadBasicInfo.TebBaseAddress + TEB_SAFE_THUNK_CALL);
									dwAddress = *(DWORD*)(SafeThunkCall + dwIdx * 4 + 8);
								}else{
									SafeThunkCall = (DWORD)ThreadBasicInfo.TebBaseAddress + TEB_TLSSLOTS;
									dwAddress = *(DWORD*)(SafeThunkCall + dwIdx * 4);
								}

								if ((dwAddress != 0) && (dwAddress != 0xFFFFFFFF)) {
									pEntry = (PVOID)*(DWORD*)(dwAddress + 0x54);
									if (pEntry!=NULL){
										GetModuleNameByMemoryAddress((DWORD)pEntry,szModuleName);
									}
								}
							}
						}
					}
					return (DWORD)pEntry;
				}									
		}
	}
	return 0;
}

这里说明1个TEB的知识

TEB +0xE10 是线程 TLS的地方,TLS是个32位指针数组长度为 64

TEB +0xFB4 是线程 SafeThunkCall 类型为UCHAR

Yoie
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
c语言多进程线程编程
07-21
c语言多进程线程编程
调试版本C Runtime Library 12.00.21005.1
03-05
为调试版本的C运行时库(C Runtime Library),版本号为12.00.21005.1 包括msvcp120d.dll、msvcr120d.dll、vccorlib120d.dll三个文件
无法定位程序输入点FlsGetValue于动态链接库KERNEL32.dll
热门推荐
云淡风轻
08-23 4万+
vs2012编译的程序在XP下运行时候出现了这个错误,刚开始以为是程序没有按xp方式编译,后来发现是C 运行时库太老,替换的新的库就OK了。 下载地址:http://download.csdn.net/detail/x356982611/5997135
杂七杂八备忘录
最快的脚步不是跨越,而是继续;最慢的步伐不是缓慢,而是徘徊!
04-29 181
(一)c++写内容到文件中 #include <vector> #include <string> #include <fstream> #include <iostream> #include <windows.h> using namespace std; void main() { std::string msg = "1...
VS下EXE可执行文件启动代码剖析(2)_mtinit函数
春暖花开
12-30 2016
紧接上文,来看看另外一个函数_mtinit,这个函数定义在tidtable.c文件中 /**** *_mtinit() - Init multi-thread data bases * *Purpose: * (1) Call _mtinitlocks to create/open all lock semaphores. * (2) Allocate a TLS ind
Windows线程生灭 (二)
weixin_30865427的博客
11-27 155
上节中介绍了几种Windows平台创建及删除线程的api及它们的差别,这节具体介绍以下信息: 1.线程内核对象(操作系统接口CreateThread内部实现) 2.线程数据块_tiddata(C/C++运行时库的实现 _beginthreadex与_beginthread) 3.线程结束_endthreadex 下面分别介绍 一、线程内核对象 线程创建时,会先创建一个线程内核对象(...
CreateThread()和_beginthread()有什么不同?
chenglinhust的专栏
01-07 2254
CreateThread()和_beginthread()有什么不同?           我们知道在Windows下创建一个线程的方法有两种,一种就是调用Windows API CreateThread()来创建线程;另外一种就是调用MSVC CRT的函数_beginthread()或_beginthreadex()来创建线程。相应的退出线程也有两个函数Windows API的
C/C++ _beginthreadex 多线程操作
cpp_learner的博客
11-01 6521
深入研究_beginthreadex的创建线程的方式,写下心得!
C++多线程学习02 线程入口参数
qq_42567607的博客
06-25 478
可以看到02中无法访问para中的成员,这是因为虽然将子线程与主线程detach了,但只是将其句柄的周期交给了子线程,para的生命周期随着 }结束而结束 01与03中使用join(),虽然访问的成员没有经过复制,但用join()阻塞了主线程,使其访问问para后主线程才将释放,因此不会出现问题 04中即使将para的创建放在 {}中,其生命周期随着{}的结束而结束,但para在线程的构造函数中进行了复制,因此不会出现问题,正常访问。 ## 三、成员函数做为线程入口 实际应用中经常将对象做为一个线程
进程线程学习心得111111
08-30
进程线程学习心得111111
Android进程线程详解
03-23
Android进程线程详解.当启动一个应用程序组件时,如果该应用没有正在运行的其它程序组件,那么Android系统将为这个应用创建一个新进程(包含一个线程)用于运行应用。  当启动一个应用程序组件时,如果该应用没有...
掌握Android中的进程线程
01-09
进程线程是现代网络操作系统的核心概念。Android作为一种的、承袭Linux的移动操作系统,其进程线程的概念是开发者和安全工作人员需要深入了解的问题。本文将详细介绍Android中的进程线程以及相关的技术问题。 ...
进程线程的常见面试问题
01-20
进程线程的区别 总结:线程进程的一部分 二.进程的特点 三.线程的五种状态 图解:要清楚的了解线程状态之间的调度运行关系 状态之间有对应的调度方法 四.线程的实现方式 建议使用实现接口的方式创建多...
【转】《windows核心编程》读书笔记
weixin_30466953的博客
04-29 553
 这篇笔记是我在读《Windows核心编程》第5版时做的记录和总结(部分章节是第4版的书),没有摘抄原句,包含了很多我个人的思考和对实现的推断,因此不少条款和Windows实际机制可能有出入,但应该是合理的。开头几章由于我追求简洁,往往是很多单独的字句,后面的内容更为连贯。   海量细节。 第1章错误处理 1.GetLastError返回的是最...
Win32 API中内存的申请与释放
bajianxiaofendui的博客
02-16 1731
     之前在做内存泄漏分析模块功能开发时,发现在windows下的输出结果并不是很准确,很多内存泄漏都显示是在windows的api或crt函数中,比如CoInitializeEx,stderror,IsOS等。      以CoInitializeEx为例,调用CoUninitialize后,它申请的内存并没有相应的free掉;stderr中,申请的内存也没释放;    &
线程局部存储(TLS)
weixin_34409703的博客
04-10 405
线程局部存储,Part 1:概述 线程局部存储,Part 2:显式TLS 线程局部存储,Part 3:编译器和链接器对隐式TLS的支持 线程局部存储,Part 4:访问__declspec(thread)变量 线程局部存储,Part 5:加载器对__declspec(thread)变量的支持(进程初始化阶段) 线程局部存储,Part 6:Windows Server...
c++多线程学习笔记(二)之线程入口并封装线程基类接口
m0_63932570的博客
05-03 762
今天我们来扩展c++多线程学习中的关于线程入口并封装线程基类接口的内容,这部分内容也是相对来说比较重要的,涉及到类与成员函数,还有几个比较常见又陌生的概念。下面让我们一起来看看吧。 首先下面是基本接口的调用: 下面是样例代码: #include<iostream> #include<thread> #include<string> using namespace std; class MyThread { public: //入口线程函数 v...
MemoryModule阅读与PE文件解析(四)---深入理解TLS
商少
04-05 1814
下面的操作是关于TLS 和 PE 入口点函数的,首先,了解什么是TLS。 TLS 是线程局部存储的简称,这种机制的特殊之处就在于,线程相关。对于普通的变量来说,如果它是全局或静态的,那么如果多线程程序同时访问可能会造成逻辑问题,TLS 提供了一种简便的方法来实现线程访问与该线程相关联的全局或静态变量的方法。 TLS 分为静态和动态 动态TLS 如下图所示: PEB 中有一个
进程线程 以及nodejs的进程线程
最新发布
05-11
在计算机中,进程是指正在运行的一个程序或者一个应用程序,线程则是进程中的一个执行单元,即 CPU 分配时间的基本单位。线程不独立存在,它是进程的一部分,一个进程可以拥有多个线程。每个进程都有自己的内存空间...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值