C++ 反反调试(TLS回调函数)

最新推荐文章于 2025-10-23 08:37:28 发布
原创 最新推荐文章于 2025-10-23 08:37:28 发布 · 1.5k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入探讨了针对TLS回调函数的反反调试方法,详细解析了PE文件中的TLS表结构,包括32位和64位版本的区别。通过修改AddressOfCallBacks成员,实现了有效的反反调试策略。

关于 TSL 反调试的内容,参考这篇文章

说完反调试,如果不说反反调试就 毫无意义
在这里插入图片描述

下面讲下针对 TLS 回调函数的反反调试方法。

引用了 TLS 功能的程序会在 PE 文件里生成一个 TLS 表:
在这里插入图片描述进入这个表中查看,发现它的大小为 24 个字节:
在这里插入图片描述

关于 TLS 的结构体,有 32 位和 64 位两个版本:
在这里插入图片描述
在这里插入图片描述
其中 _IMAGE_TLS_DIRECTORY64 大小为:8x4+4x2=40,_IMAGE_TLS_DIRECTORY32 大小为:4x6=24,那么就说明,我们刚刚看到的程序使用了 _IMAGE_TLS_DIRECTORY32 。我们需要的是 AddressOfCallBacks 这个成员,也就是下图中 +12 的这个位置。
在这里插入图片描述
在 hex 界面找到 +12 这个位置,又因为 DWORD 大小为 4 ,所以再向后查 4 字节,也就是下图这个样子:
在这里插入图片描述把它的内容清空(设置为 0),保存。再次用 OD 打开程序,发现反反调试已经生效:
在这里插入图片描述在这里插入图片描述
拜拜了您嘞

TLS回调函数实现反调试
Todog的博客
01-08 775
Tls反调试
TLS回调函数–一文看懂(详)
Joyce_hjll的博客
03-15 3395
TLS回调函数 CTF RE
反反调试OD
06-21
反反调试工具,这一款工具能过掉很多的VMP加密壳,TMD壳 解压密码:1
手把手搞懂反调试攻防:从无限 Debugger 绕到 DevTools 检测破
最新发布
从零开始,掌握网络安全。提供全面的网络安全教程、攻防演练技巧和行业动态。
10-23 679
本文探讨了Web安全中的反调试技术,重点分析了无限Debugger和开发者工具检测的实现原理与绕过方法。无限Debugger通过循环或条件触发debugger语句干扰调试,可采用禁用断点、代码替换或环境欺骗等方式破解。开发者工具检测则利用窗口尺寸、Console特性等识别调试行为,可通过属性重写或模拟正常环境来规避。文章通过具体代码示例,展示了攻防双方的核心技术思路,为Web安全防护提供了实用参考。
C++回调函数详解及简单实例
08-30
主要介绍了C++回调函数详解及简单实例的相关资料,需要的朋友可以参考下
TLS反调试 反反调试
ADADQDQQ的博客
07-19 545
通过TLS回调函数的反调试
weixin_30871701的博客
02-24 343
下面是TLS数据结构的定义 typedef struct _IMAGE_TLS_DIRECTORY { DWORD StartAddressOfRawData; DWORD EndAddressOfRawData; DWORD AddressOfIndex; DWORD AddressOfCallBac...
TLS回调检测反调试技术在C++中的实现与分析
TLSCHECK.zip 文件所包含的内容是一个与 Windows 平台下反调试技术密切相关的 C++ 项目,其核心机制是利用 TLS(Thread Local Storage,线程局部存储)回调函数实现对调试器(特别是 OllyDbg 这类用户态调试器)的...
[逆向工程]利用TLS回调函数实现反调试(二十八)
曼岛_的博客
06-17 1772
[逆向工程]利用TLS回调函数实现反调试(二十八)
WIN10 X64下通过TLS实现反调试
liuyez123的博客
04-27 9932
1 TLS技术简介Thread Local Storage(TLS),是Windows为解决一个进程中多个线程同时访问全局变量而提供的机制。TLS可以简单地由操作系统代为完成整个互斥过程,也可以由用户自己编写控制信号量的函数。当进程中的线程访问预先制定的内存空间时,操作系统会调用系统默认的或用户自定义的信号量函数,保证数据的完整性与正确性。 基于TLS的反调试,原理实为在实际的入口点代码执行
各种反调试技术原理与实例 VC版[学习CK].
11-10
反调试技术 VC版 2 发现OD的处理 2 1. 窗口类名、窗口名 3 2. 检测调试器进程 4 3. 父进程是否是Explorer 5 4. RDTSC/ GetTickCount时间敏感程序段 6 5. StartupInfo结构 7 6. BeingDebugged 8 7. PEB.NtGlobalFlag , Heap.HeapFlags, Heap.ForceFlags 9 8. DebugPort: CheckRemoteDebuggerPresent()/NtQueryInformationProcess() 12 9. SetUnhandledExceptionFilter/ Debugger Interrupts 14 10. Trap Flag单步标志异常 16 11. SeDebugPrivilege 进程权限 16 12. DebugObject: NtQueryObject() 17 13. OllyDbg:Guard Pages 20 14. Software Breakpoint Detection 22 15. Hardware Breakpoints Detection 24 16. PatchingDetection CodeChecksumCalculation补丁检测,代码检验和 25 17. block input封锁键盘、鼠标输入 26 18. EnableWindow禁用窗口 27 19. ThreadHideFromDebugger 28 20. Disabling Breakpoints禁用硬件断点 30 21. OllyDbg:OutputDebugString() Format String Bug 30 22. TLS Callbacks 30
TLS反调试
xuqi7
08-21 541
TLS, Thread Local Storage, 线程局部存储,其它线程不可访问,可实现多线程安全。利用TLS可以实现一种反调试。
聊一聊对一个 C# 商业程序的反反调试
一线码农的专栏
11-02 650
这篇文章无意对抗,只是对一个疑难问题寻求解决方案的探索,大家合理使用。
调试、反调试、反反调试
m0_57836225的博客
08-14 521
调试是软件开发过程中的一个重要环节,旨在发现和解决软件中的错误、优化性能、理解程序的行为和逻辑。调试工具可以让开发者跟踪程序的执行流程、查看变量的值、设置断点等。反调试是软件开发者为了防止其程序被非法调试、分析和破解而采取的一系列技术手段。需要注意的是,在未经授权的情况下对软件进行反调试和反反调试可能涉及违法和违反软件使用协议。反反调试则是试图绕过或对抗软件中的反调试机制,以便能够对程序进行调试和分析。2. 代码补丁:修改程序的二进制代码以绕过反调试检查。3. 反反调试工具:专门用于应对常见反调试技术。
反调试技术(1) 函数检测
jentle8的博客
10-04 1731
什么是反调试 反调试是一种重要的软件保护技术,特别是在各种游戏保护中被尤其重视。另外, 恶意代码往往也会利用反调试来对抗安全分析。当程序意识到自己可能处于调试中 的时候,可能会改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试 时间和复杂度。 反调试技术(1) 函数检测 函数检测就是通过 Windows 自带的公开或未公开的函数直接检测程序是否处于调 试状态。最简单的调试器检测函数是 I...
反调试核反反调试
kernweak的博客
05-23 569
反调试 1.DebugPort 2.KdDisableDebugger,禁用内核调试 3.IsDebuggerPresent和CheckRemoteDebuggerPresent,应用层,定时调用这个查看 4.hook Hook系统中一些与调试相关的函数,防止被各种调试器调试。 NtOpenThread()防止调试器在程序内部创建线程 NtOpenProcess()防止)调试工具在进...
反调试技术
qq_36963214的博客
11-05 1236
Windows反调试技术 Windows API反调试 IsDebuggerPresent 用OD加载一个带IsDebuggerPresent的程序,在IsDebuggerPresent下硬件断点跟进,发现IsDebuggerPresent的汇编实现如下: MOV EAX,DWORD PTR FS:[0x30] MOVZX EAX,BYTE PTR DS:[EAX+0x2] RETN FS寄存器指向的是TEB(线程环境块),其数据结构如下: typedef struct _NT_TEB { NT_
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值