PE文件解析-全局指针表与线程局部存储(TLS)

最新推荐文章于 2022-12-12 17:00:41 发布
最新推荐文章于 2022-12-12 17:00:41 发布
阅读量1k 收藏 1
点赞数
分类专栏: 文件解析 文章标签: PE文件解析 全局指针表 线程局部存储 TLS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhyulo/article/details/85926568
版权

一、全局指针表

    PE文件头可选映像头中数据目录表的第9成员IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_DIRECTORY_ENTRY_GLOBALPTR]指向全局指针。

    在x86与x64系列平台没有使用全局指针表,目前只应用于MIPS等平台上,多用于参数传递。

二、线程局部存储(TLS)

1.位置与简介

    PE文件头可选映像头中数据目录表的第10成员IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_DIRECTORY_ENTRY_TLS]指向线程局部存储,英文简写"TLS"。通常一个包含了TLS表的程序,它就会拥有".tls"段,这个段里面保存了变量和回调函数的数据,但是TLS表本身的结构体一般存在于".rdata"段内。

    TLS用来保存变量或回调函数。TLS中的变量单独存在于每个独立的线程当中,每个线程中对该变量的操作都不会影响到其他线程中的TLS变量。

    TLS里面的变量和回调函数都在程序入口点(AddressOfEntry)之前执行,也就是说程序在被调试时,还没有在入口点处断下来之前,TLS中的变量和回调函数就已经执行完了,所以TLS可以用作反调试之类的操作。

    TLS变量的创建方法有两种方式,分别是动态方式和静态方式,动态方法会用到TlsAlloc、TlsFree、TlsSetValue、TlsGetValue这几个函数来操作变量,静态方法会用声明__declspec (thread) int xx = 1;这样的方式来创建。需要注意的是静态创建的TLS变量不能用于DLL动态库中。

2.数据结构

    线程局部存储(TLS)的数据结构体如

最低0.47元/天 解锁文章
zhyulo
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE文件TLS(线程局部储存)
weixin_43742894的博客
04-02 1342
PE文件学习——TLS(线程局部存储)
PE文件格式TLS回调
BeanJoy的专栏
12-28 2950
从这个帖子打开文件对话框中有些文件无法显示中了解到了TLS,网上搜索了一下,挺有意思的,一般用于调试
Windows PE第九章 线程局部存储
天使也掉毛
02-10 644
线程局部存储TLS)     这个东西并不陌生了,之前写过了一个关于这个的应用,利用静态TLS姿势实现代码段静态加密免杀或者所谓的加壳思路。地址在这:http://blog.csdn.net/u013761036/article/details/53967943今天就简单的整理下TLS的相关概念和常规应用。一开始说了一大堆的Windows的进程与线程啥啥啥的概念和原理,这里直接省略。 什么是
【免杀前置课——PE文件结构】十八、数据目录及其内容详解——数据目录(导出、导入、IATTLS)详解;如何在程序在被调试之前反击?TLS反调试(附代码)
m0_62783065的博客
12-12 1228
【免杀前置课——PE文件结构】十八、数据目录及其内容详解——数据目录(导出、导入、IATTLS)详解;如何在程序在被调试之前反击?TLS反调试(附代码)
PE文件格式学习(十一 ):全局指针(GlobalPtr)
tutucoo
11-08 365
在x86与x64系列平台没有使用全局指针,目前只应用于MIPS等平台上,多用于参数传递。
PE文件格式学习(十二):TLS(TLSDirectory)
tutucoo
11-08 2350
1.介绍 TLS全称线程局部存储器,它用来保存变量或回调函数。 TLS里面的变量和回调函数都在程序入口点(AddressOfEntry)之前执行,也就是说程序在被调试时,还没有在入口点处断下来之前,TLS中的变量和回调函数就已经执行完了,所以TLS可以用作反调试之类的操作。 TLS中的变量单独存在于每个独立的线程当中,每个线程中对该变量的操作都不会影响到其他线程中的TLS变量。 TLS变量的创建方...
linux elf格式 全局指针got call跳转plt 简介
whatday的专栏
04-22 1356
一、程序运行过程 首先我们对于程序运行来有一个基本的概念,程序运行起来应经过四个步骤:预处理、编译、汇编和链接,过程如下。 汇编过程调用汇编器as来完成,是用于将汇编代码转换成机器可以执行的指令,每一个汇编语句几乎都对应一条机器指令。汇编生成的文件时test.o。 链接的主要内容就是将各个模块之间相互引用的部分正确的衔接起来。它的工作就是把一些指令对其他符号地址的引用加以修正。链接过程主...
PE文件格式中数据目录项中的TLS
qq_35426012的博客
11-16 544
TLS(线程句柄存储) TLS地址在数据目录项数组下标为9的位置 TLS结构体定义如下 typedef struct _IMAGE_TLS_DIRECTORY32 { DWORD StartAddressOfRawData;    // TLS初始化数据的起始地址 DWORD EndAddressOfRawData;     // TLS初始化数据的结束地址 两个正好...
C++采用TLS线程局部存储的用法实例
01-20
本文实例讲述了C++采用TLS线程局部存储的用法。分享给大家供大家参考。 具体方法如下: 代码如下:// useTLS.cpp : 定义控制台应用程序的入口点。  //    #include “stdafx.h”  #include   #include     //...
易语言操作【线程局部储存(TLS)】-易语言
06-11
运行结果展示(下载源码运行看看,很有意思):
PE文件结构格式图pdf
04-30
1.PE文件结构       首先说一下什么是PE格式吧,虽然从网上搜一下会有很多定义,就我的理解来说,PE是Microsoft为了让程序在Windows上可移植而做的一种文件格式规定。就拿我们每个人都不陌生的exe程序来说吧,它就是一个PE文件,在我们的印象中,只要是Windows操作系统,都能执行exe程序,这就是Microsoft做的让程序在Windows平台上实现移植的功能,这个移植能力的实现是因为规定了exe程序的格式,Windows在执行exe程序的时候,PE文件加载器会按照约定加载exe程序,所以程序就正常地运行起来了。我这么来说是不是对PE文件不那么抽象了,比如像EXE,DLL,SYS这种格式的文件就是PE格式文件,这些文件都是我们平时见到过或者使用过的。如果大家了解图片格式,比如BMP图片,那这个PE文件格式就更好理解了,都是按照一定的规范生成的,在BMP图片中文件头部信息记录了这个文件的大小、创建日期、宽度和高度等等信息,PE文件也是这样,只不过比BMP文件格式更复杂...
TLS(线程局部存储).zip
04-02
《Windows PE权威指南》TLS学习代码 实现TLS定位,枚举; 实现动态线程存储 实现静态线程存储 可与《PE文件TLS线程局部存储》配套使用 https://blog.csdn.net/weixin_43742894/article/details/105235426
线程局部存储TLS
07-06
windows线程局部存储TLS原理与解释
PE格式第八讲,TLS(线程局部存储)
weixin_30615767的博客
10-20 144
            PE格式第八讲,TLS(线程局部存储) 作者:IBinary出处:http://www.cnblogs.com/iBinary/版权所有,欢迎保留原文链接进行转载:) 一丶复习线程相关知识 首先讲解TLS的时候,需要复习线程相关知识, (thread local storage) 1.了解经典同步问题 首先我们先写一段C++代码,开辟两个线程去跑,看看...
PE学习(九)第九章:TLS 动态TLS与静态TLS
零点起步
04-09 1337
第九章:线程局部存储 PEB,在NT中,该结构可以从进程空间的FS:[0x30]处找到,PEB描述的信息主要包括:进程状态、进程堆、PE映像信息等,其中Ldr记录了进程加载进内存的所有模块的基地址。 TLS技术: 动态线程局部存储技术、静态线程局部存储技术 OS动态申请通过四个API,静态则通过预先在PE文件中声明数据存储空间。 TlsAlloc函数一旦得到一个可用的索引值后,还会遍历进
PE基础3-资源-重定位-TLS-DLL延迟加载
weixin_30634661的博客
06-26 219
PE基础3 导入的作用是什么? 没有它exe能运行吗? 导入外部模块,提供的API,变量,类 可以没有导入(这个程序没有用到其它模块) 导出的作用是什么? 没有它exe能运行吗? 导出模块名,函数(序号),变量,类 通常导出用于dll,没有导出程序也可以运行 已知一个dll名,和一个dll导出函数的名字,如何得到这个函数名的地址? 导出中查找 ENT(导出名称) E...
TLS理解
weixin_30682127的博客
04-24 298
1. TLS提供了线程访问其内部数据的一种方法。 2. Windows为每个进程分配了一个位数组,存放了FREE/INUSE的标志信息。Windows保证这个数组中至少有TLS_MINNIMUM_AVAILABLE(定义在WinNT.h中)个标志位是可用的。 3. Windows每创建一个线程为其分配一个大小为TLS_MINNIMUM_AVAILABLE的DWORD类型的线程数组,用于存放线程...
位图文件解析-位图(bmp)、图标(ico)与光标(cur)
热门推荐
zhyulo的博客
01-06 3万+
一、位图(bmp) 1.位图简介     BMP(全称Bitmap)是Windows操作系统中的标准图像文件格式,可以分成两类:设备相关位图(DDB)和设备无关位图(DIB),使用非常广。它采用位映射存储格式,除了图像深度可选以外,不采用其他任何压缩,因此,BMP文件所占用的空间很大。BMP文件的图像深度可选lbit、4bit、8bit及24bit。BMP文件存储数据时,图像的扫描方式是按从左...
thread-local-storage.pdf
最新发布
02-01
thread_local_storage.pdf

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值