TLS回调函数（1）

最新推荐文章于 2025-06-17 09:50:25 发布

原创

最新推荐文章于 2025-06-17 09:50:25 发布 · 2.2k 阅读

3 ·

CC 4.0 BY-SA版权

简述

代码逆向分析领域中，TLS（Thread Local Storage，线程局部存储）回调函数（Callback Function）常用反调试。TLS回调函数的调用运行要先于EP代码的执行，该特征使它可以作为一种反调试技术的使用。

TLS

TLS是各线程的独立的数据存储空间，使用TLS技术可在线程内部独立使用或修改进程的全局数据或静态数据，就像对待自身的局部变量一样。

IMAGE_DATA_DIRECTORY[9]

若在编程中启用了TLS功能，PE头文件中就会设置TLS表（TLS Table）项目，如下（IMAGE_NT_HEADERS-IMAGE_OPTIONAL_HEADER-IMAGE_DATA_DIRECTORY[9]）

在这里插入图片描述

typedef struct _IMAGE_TLS_DIRECTORY64 {
   
   
    ULONGLONG StartAddressOfRawData;
    ULONGLONG EndAddressOfRawData;
    ULONGLONG AddressOfIndex;         // PDWORD
    ULONGLONG AddressOfCallBacks;     // PIMAGE_TLS_CALLBACK *;
    DWORD SizeOfZeroFill;
    union {
   
   
        DWORD Characteristics;
        struct {
   
   
            DWORD Reserved0 : 20;
            DWORD Alignment : 4;
            DWORD Reserved1 : 8;
        } DUMMYSTRUCTNAME;
    } DUMMYUNIONNAME;

} IMAGE_TLS_DIRECTORY64;




typedef struct _IMAGE_TLS_DIRECTORY32 {
   
   
    DWORD   StartAddressOfRawData;
    DWORD   EndAddressOfRawData;
    DWORD   AddressOfIndex;             // PDWORD
    DWORD   AddressOfCallBacks;         // PIMAGE_TLS_CALLBACK *
    DWORD   SizeOfZeroFill;
    union {
   
   
        DWORD Characteristics;
        struct {
   
   
            DWORD Reserved0 : 20;
            DWORD Alignment : 4;
            DWORD Reserved1 : 8;
        } DUMMYSTRUCTNAME;
    } DUMMYUNIONNAME;

} IMAGE_TLS_DIRECTORY32;
typ