PE文件的TLS-反调试机制

最新推荐文章于 2022-10-03 15:13:59 发布
最新推荐文章于 2022-10-03 15:13:59 发布
阅读量1.4k 收藏
点赞数
分类专栏: Windows逆向

从逆向工程核心原理书中摘取代码

#include <windows.h>

#pragma comment(linker, "/INCLUDE:__tls_used")

void NTAPI TLS_CALLBACK(PVOID DllHandle, DWORD Reason, PVOID Reserved)
{
    if( IsDebuggerPresent() )
    {
        MessageBoxA(NULL, "Debugger Detected!", "TLS Callback", MB_OK);
        ExitProcess(1);
    }
}

#pragma data_seg(".CRT$XLX")
    PIMAGE_TLS_CALLBACK pTLS_CALLBACKs[] = { TLS_CALLBACK, 0 };
#pragma data_seg()

int main(void)
{
    MessageBoxA(NULL, "Hello :)", "main()", MB_OK);
}


双刃剑客
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
软件的脱壳+IAT修复+TLS修复
06-08
软件的脱壳+IAT修复+TLS修复。。。。。。。。。。。。。。
【逆向工程核心原理:TLS回调函数】
qq_42363151的博客
05-17 955
reverse
TLS调试
xuqi7
08-21 327
TLS, Thread Local Storage, 线程局部存储,其它线程不可访问,可实现多线程安全。利用TLS可以实现一种调试
手动给程序添加TLS回调函数,使程序具有调试功能
mengxj168的博客
10-03 1011
TLS是线程独立的存储空间,使用TLS技术可以在线程内部独立使用或修改进程的全局数据或静态数据,就像对待自己的局部变量一样。TLS在系统启动时先于EP代码执行。如下是TLS的结构体union {struct {TLS结构体的大小是18h个字节,tls中重要的成员是,该值指向含有tls回调函数地址的数组。TLS回调函数是指每当创建、终止进程的线程时会自动调用执行的函数。创建线程的主线程时也会自动调用回调函数,且其调用执行先于EP代码。
TLS调试 调试
ADADQDQQ的博客
07-19 414
一种基于TLS的高级调试技术
11-18
摘要:本文讨论了一种基于TLS的高级调试技术,该技术利用Windows提供的线程访问互斥机制,在程序入口之前执行调试代码,以防止调试器的调试。该技术可以在程序初始化阶段,使用TLS回调函数来执行调试操作,...
PE文件查看 源码
03-25
本资源提供的"PE文件查看源码"是针对这一主题的学习材料,旨在帮助开发者更深入地理解PE文件的内部结构和解析机制。下面我们将详细探讨PE文件的组成部分、相关概念以及C++源码在分析和处理PE文件时的关键点。 首先...
TLS_CallBack.rar_TLS CALLBA_pe debugger_tlsCallback_tls_callba_手
09-19
如果回调函数检测到调试器的存在,它可能会使程序崩溃或执行调试策略,以此逃避调试。例如,它可能会检查API钩子、异常处理或特定内存地址是否被篡改。 至于**手工感染PE文件**,这里指的是手动修改PE文件的结构...
PE文件分析器WinDump的Delphi源代码..rar
05-03
7. **异常处理和线程信息**:PE文件还包含异常处理和线程局部存储(TLS)信息。源代码可能包含解析这部分数据的代码,以理解程序的异常处理机制。 8. **代码分析**:高级的WinDump可能包含代码分析功能,如汇编,...
pe-explorer
04-10
"PE Explorer"是一款强大的PE文件分析和编辑工具,它允许用户查看和修改PE文件的各个部分,包括头信息、节区、导入/导出表、资源等。开发者可以利用此工具进行逆向工程、调试、代码分析等工作,对理解程序运行机制和...
调试技术(以OD为例附核心原代码)
06-05
调试技术(以OD为例附核心原代码),word文档,实例简单易懂,里面包括7个短实例,
PE文件格式学习(十二):TLS表(TLSDirectory)
tutucoo
11-08 2370
1.介绍 TLS全称线程局部存储器,它用来保存变量或回调函数。 TLS里面的变量和回调函数都在程序入口点(AddressOfEntry)之前执行,也就是说程序在被调试时,还没有在入口点处断下来之前,TLS中的变量和回调函数就已经执行完了,所以TLS可以用作调试之类的操作。 TLS中的变量单独存在于每个独立的线程当中,每个线程中对该变量的操作都不会影响到其他线程中的TLS变量。 TLS变量的创建方...
详解调试技术
热门推荐
houjingyi的博客
10-14 3万+
调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多种调试技术可以达到调试效果。这里介绍当前常用的几种调试技术,同时也会介绍一些逃避
PE文件TLS表(线程局部储存)
weixin_43742894的博客
04-02 1349
PE文件学习——TLS表(线程局部存储)
分析一种通过修改PE实现的调试
潜心学习
06-18 1282
菜鸟笔记 昨天晚上又拿起CrackMe 2007的一个CrackMe来玩(aalloverred做的znycuk's cracKme#3),发现那个PE根本无法用OD加载,一加载就说这个PE的格式错误了 破文上解释说是因为LoaderFlags和RvaAndSizes(数据目录项)被修改成了一个很大的数值。其实LoaderFlags并不影响OD的调试,只是RvaAndSizes影响而已。 以
PE文件格式TLS回调
BeanJoy的专栏
12-28 2959
从这个帖子打开文件对话框中有些文件无法显示中了解到了TLS,网上搜索了一下,挺有意思的,一般用于调试
WIN10 X64下通过TLS实现调试
liuyez123的博客
04-27 9565
1 TLS技术简介Thread Local Storage(TLS),是Windows为解决一个进程中多个线程同时访问全局变量而提供的机制TLS可以简单地由操作系统代为完成整个互斥过程,也可以由用户自己编写控制信号量的函数。当进程中的线程访问预先制定的内存空间时,操作系统会调用系统默认的或用户自定义的信号量函数,保证数据的完整性与正确性。 基于TLS调试,原理实为在实际的入口点代码执行
有关TLS的一点理解
richard1230的博客
03-17 647
源代码 说明分析: 源代码 #include "stdafx.h" #include &lt;windows.h&gt; // 说明使用TLS #pragma comment(linker, "/INCLUDE:__tls_used") // 普通的全局变量 int globenum = 0xFFFFFFFF; // TLS变量 __declsp...
--default-tls-container-ref
最新发布
06-07
`--default-tls-container-ref`是OpenStack中一些服务(如Neutron LBaaSv2)用于指定默认的TLS容器引用的参数。该参数指定了一个容器引用,该容器引用包含了用于终止TLS流量的SSL证书和私钥。 例如,在使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值