TLS回调函数(2)

最新推荐文章于 2025-06-17 09:50:25 发布
原创 最新推荐文章于 2025-06-17 09:50:25 发布 · 758 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍如何通过修改PE文件结构来手动添加TLS回调函数。主要步骤包括调整.rsrc节区大小、更新节区特性以及设置TLS目录等。适用于对PE文件格式有一定了解的读者。

手动添加TLS回调函数

设计规划

首先要确定IMAGE_TLS_DIRECTORY结构体与TLS回调函数放到文件的哪个位置。向某个PE文件添加代码或数据时,有如下3种方法查找合适位置:

  1. 添加到节区末尾的空白区域
  2. 添加到最后一个节区的大小
  3. 在最后添加新节区

这里呢,我们采用第二种方法,即增加最后一个节区(.rsrc)的节区头。
在这里插入图片描述

可以看到,最后一个节区(.rsrc)的Pointer to Raw Data=9200,Size of Raw Data=600。所以PE头中定义的文件整体大小为9800。考虑到要添加的代码与数据的大小,我们将最后一个节区的大小增加200(文件的大小增加到9A00)。使用HxD工具打开需要操作的程序,移动光标至最后位置,在菜单栏中选择Edit-Insert bytes 菜单,打开插入字节对话框,然后向Bytecount中输入200,单击OK按钮后,即从光标当前位置添加了200个字节(即512个字节)
另一种方法,直接复制最后很多的零字节内存单元格,然后从文件尾部直接粘贴就行,多粘贴几次,512字节就出来了
在这里插入图片描述

注意:
图中virtual size为43C,PE装载器会按照Section Alignment值对齐该值,即加载到内存中的大小为1000(一定要理解好这个关系)。所以将节区的文件大小增加200后,实际virtual size 变为63C,它比加载到内存中尺寸1000要小

最低0.47元/天 解锁文章
TLS回调函数(1)
寻梦&之璐
01-24 2274
简述 代码逆向分析领域中,TLS(Thread Local Storage,线程局部存储)回调函数(Callback Function)常用反调试。TLS回调函数的调用运行要先于EP代码的执行,该特征使它可以作为一种反调试技术的使用。 TLS TLS是各线程的独立的数据存储空间,使用TLS技术可在线程内部独立使用或修改进程的全局数据或静态数据,就像对待自身的局部变量一样。 IMAGE_DATA_DIRECTORY[9] 若在编程中启用了TLS功能,PE头文件中就会设置TLS表(TLS Table)项目,如下
TLS回调函数–一文看懂(详)
Joyce_hjll的博客
03-15 3368
TLS回调函数 CTF RE
TLS回调函数
夜空中最亮的星
12-07 2981
TLS回调函数是指,每当创建/终止进程的线程时会自动调用执行的函数。创建的主线程也会自动调用回调函数,且其调用执行先于EP代码。 IMAGE_DATA_DIRECTORY[9]:IMAGE_TLS_DIRECTORY typedef struct _IMAGE_TLS_DIRECTORY64 {     ULONGLONG StartAddressOfRawData;     
TLS回调函数(一)
Hotspurs的博客
05-17 2666
TLS (Thread Local Storage 线程局部存储 )回调函数常用于反调试。 程序运行时,TLS数据初始化和TLS回调函数都在入口处(OEP)之前执行,也就是说,TLS是程序开始执行的地方。(许多病毒或外壳程序会利用这一点执行一些特殊的操作) TLS 定义: typedef VOID (NTAPI *PIMAGE_TLS_CALLBACK) ( PVOID DllHandl...
TLS回调函数的学习
stopys6的博客
09-11 465
本篇文章主要学习有关TLS(Thread Local Storage,线程局部存储)回调函数(CallBack Function),这种回调函数由于其特殊的特性通常会被运用于反调试技术中。本篇文章将通过分析代码,直接调试和手动创建TLS回调函数三个部分来学习有关TLS回调函数的知识。
[逆向工程]利用TLS回调函数实现反调试(二十八)
最新发布
曼岛_的博客
06-17 1743
[逆向工程]利用TLS回调函数实现反调试(二十八)
tls回调
patdz的专栏
08-04 1922
最初是因为在一个线程中有加锁,解锁的操作,而如果在线程加锁时候干掉它,这个锁就会永远被锁死。所以想搞个回调来自动释放锁。所以查到了tls callback。 但是。。。。。。 注意,如果用TerminateThread干死的线程,将没有机会回调。。。。 可见TerminateThread是多么邪恶的一个函数吧   参考自:http://www.codeproject.com/Articl
【逆向工程核心原理:TLS回调函数
qq_42363151的博客
05-17 1618
reverse
tls 回调
x
08-07 341
不修改aop, 用静态 tls回调在线程初始化时做一些事 * 线程启动前会先初始化tls结构 , 依次调用tls回调数组 1.在全局变量定义一个IMAGE_TLS_DIRECTORY 变量 模拟tls结构 2.在回调部分放上自己的函数 3.修改数据目录tls的位置, 指向自己的结构 模拟tls 的C代码: tls回调函数跟dllentry 参数一样 tls结构的第4个参数是一个回调数组, 依次调用 前3个参数在这里没用 , 具体参考msdn #include <i...
TLS回调
125096
05-25 449
#include #pragma comment(linker, "/INCLUDE:__tls_used") #pragma comment(lib, "User32.lib") void NTAPI TLS_CALLBACK(PVOID DllHandle, DWORD Reason, PVOID Reserved) { if (IsDebuggerPresent())
TLS回调函数的应用
cyxvc
10-22 1399
TLS回调函数是指,每当创建 / 终止进程的线程时会自动调用执行的函数。创建的主线程也会自动调用回调函数,且其调用执行先于EP代码。
PE文件格式TLS回调
BeanJoy的专栏
12-28 3137
从这个帖子打开文件对话框中有些文件无法显示中了解到了TLS,网上搜索了一下,挺有意思的,一般用于调试
TLS回调函数的学习为
woshiyanfu的博客
09-26 430
本篇文章主要学习有关TLS(Thread Local Storage,线程局部存储)回调函数(CallBack Function),这种回调函数由于其特殊的特性通常会被运用于反调试技术中。本篇文章将通过分析代码,直接调试和手动创建TLS回调函数三个部分来学习有关TLS回调函数的知识。
TLS 回调中挂钩 LdrLoadDll 实现监视模块加载过程
溡漪幽博客
01-24 2225
通过 TLS 回调机制可以实现很多功能,本文简单地从挂钩 LdrLoadDll 函数说起,通过利用 TLS 回调比程序入口代码执行更早的特性,实现监视程序执行期间所有模块加载过程。TLS 全称为 Thread Local Storage,是 Windows 为解决一个进程中多个线程同时访问全局变量而提供的机制。TLS 可以简单地由操作系统代为完成整个互斥过程,也可以由用户自己编写控制信号量的函数。
171123 逆向-TLS回调函数
whklhhhh的博客
11-28 860
1625-5 王子昂 总结《2017年11月23日》 【连续第419天总结】 A. TLS回调函数 B. 上次HCTF遇到了TLS反调,只大致看了一下,这次正好书上看到,详细记录一发介绍TLS是各线程独立的数据存储空间。 使用TLS技术可在线程内部独立使用或修改进程的全局数据或静态数据,就像对待自身的局部变量一样。进程启动运行时,在执行EP代码前,系统会逐一调用存储在TLS回调函数地址数组
通过TLS回调函数的反调试
weixin_30871701的博客
02-24 342
下面是TLS数据结构的定义 typedef struct _IMAGE_TLS_DIRECTORY { DWORD StartAddressOfRawData; DWORD EndAddressOfRawData; DWORD AddressOfIndex; DWORD AddressOfCallBac...
TLS反调试
Tandy12356_的博客
05-14 1107
在多线程编程中,如果在线程函数内部直接定义一个私有变量,那么这个变量将会是在栈上分配的,每次调用线程函数时都会创建一个新的变量,而在线程函数返回后,这个变量将被销毁,这样就无法在多次调用线程函数时保持这个变量的状态。因此,线程局部存储提供了一种在线程之间共享变量的方法,同时又保证了每个线程都有自己的私有变量,可以在多次调用线程函数时保持变量的状态。线程局部存储通过为每个线程创建一个唯一的指针来实现。
PE文件中的TLS回调机制深入分析
因此,TLS回调函数是一个特殊的初始化点,它在模块的TLS数据被访问之前就被调用,这可以确保TLS数据在首次访问之前已经被正确设置。 【本资源中的程序案例】 本资源标题“TLS_CallBack_test.rar_PE TLS_TLS_TLS PE...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

寻梦&之璐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值