PE文件解析-全局指针表与线程局部存储(TLS)

最新推荐文章于 2025-07-09 12:00:23 发布
原创 最新推荐文章于 2025-07-09 12:00:23 发布 · 1.1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#PE文件解析 #全局指针表 #线程局部存储 #TLS

本文详细介绍了PE文件中的全局指针表及其在MIPS平台的应用,以及线程局部存储(TLS)的概念、位置、数据结构和在反调试中的作用。TLS允许每个线程拥有独立的变量副本,确保线程安全。同时,文章讨论了TLS的静态和动态创建方法,并给出了TLS数据结构的关键字段解析。

一、全局指针表

    PE文件头可选映像头中数据目录表的第9成员IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_DIRECTORY_ENTRY_GLOBALPTR]指向全局指针。

    在x86与x64系列平台没有使用全局指针表,目前只应用于MIPS等平台上,多用于参数传递。

二、线程局部存储(TLS)

1.位置与简介

    PE文件头可选映像头中数据目录表的第10成员IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_DIRECTORY_ENTRY_TLS]指向线程局部存储,英文简写"TLS"。通常一个包含了TLS表的程序,它就会拥有".tls"段,这个段里面保存了变量和回调函数的数据,但是TLS表本身的结构体一般存在于".rdata"段内。

    TLS用来保存变量或回调函数。TLS中的变量单独存在于每个独立的线程当中,每个线程中对该变量的操作都不会影响到其他线程中的TLS变量。

    TLS里面的变量和回调函数都在程序入口点(AddressOfEntry)之前执行,也就是说程序在被调试时,还没有在入口点处断下来之前,TLS中的变量和回调函数就已经执行完了,所以TLS可以用作反调试之类的操作。

    TLS变量的创建方法有两种方式,分别是动态方式和静态方式,动态方法会用到TlsAlloc、TlsFree、TlsSetValue、TlsGetValue这几个函数来操作变量,静态方法会用声明__declspec (thread) int xx = 1;这样的方式来创建。需要注意的是静态创建的TLS变量不能用于DLL动态库中。

2.数据结构

    线程局部存储(TLS)的数据结构体如下:

typedef struct _IMAGE_TLS_DIRECTORY3
最低0.47元/天 解锁文章
PE文件TLS(线程局部储存)
weixin_43742894的博客
04-02 1639
PE文件学习——TLS(线程局部存储)
编写PE文件解析器(三)
当我在写代码的时候我在写什么
10-24 3188
下面有几个网上资料比较少,因为几乎用不到,我查文档写写吧,这篇写得比较久很抱歉。 7、IMAGE_DIRECTORY_ENTRY_EXCEPTION【异常处理】 CPU特定的并且基于的异常处理。用于除x86之外的其它CPU上。偏移到一个IMAGE_XXX_RUNTIME_FUNCTION_ENTRY数组,根据文件头的Machine来确定结构,64位用IMAGE_IA64_RUNT
PE文件解析-异常处理数字签名
zhyulo的博客
01-06 2988
一、异常处理 1.位置及概述     PE文件头可选映像头中数据目录的第4成员IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_DIRECTORY_ENTRY_EXCEPTION]指向异常处理,它保存在PE文件中,通常在".pdata"区段。     x86系统采用动态的方式构建SEH结构,相比而言x64系统下采用静态的方式处理SEH结构。 2.异常处...
PE文件格式学习(十一 ):全局指针(GlobalPtr)
tutucoo
11-08 476
在x86x64系列平台没有使用全局指针,目前只应用于MIPS等平台上,多用于参数传递。
PE文件格式学习(十二):TLS(TLSDirectory)
tutucoo
11-08 3184
1.介绍 TLS全称线程局部存储器,它用来保存变量或回调函数。 TLS里面的变量和回调函数都在程序入口点(AddressOfEntry)之前执行,也就是说程序在被调试时,还没有在入口点处断下来之前,TLS中的变量和回调函数就已经执行完了,所以TLS可以用作反调试之类的操作。 TLS中的变量单独存在于每个独立的线程当中,每个线程中对该变量的操作都不会影响到其他线程中的TLS变量。 TLS变量的创建方...
MFC线程局部存储源码解析应用
综上所述,该压缩包所涉及的内容聚焦于MFC框架中线程局部存储的核心实现技术,涵盖了Windows平台下的TLS机制、MFC对TLS的封装应用、模块状态管理、线程安全性保障等多个深层次知识点。通过对这些源码的学习,...
深入探讨PE文件解析技术
- .tls线程局部存储,用于存储线程特定数据。 - .CRT:C运行时库初始化代码和数据。 - .debug:调试信息。 在PE文件解析的过程中,通常需要使用编程语言如C/C++、Python等,通过API函数或者文件操作函数来读取...
61、.NET 线程本地存储TLS)的全面解析
最新发布
n2o3p4的博客
07-09 49
本文全面解析了 .NET 中的线程本地存储TLS)技术,包括线程静态字段、ThreadLocal<T> 和线程数据槽的使用方法特点。文章详细分析了不同方式的性能差异,探讨了 TLS 的内部实现原理,并提供了实际应用场景和最佳实践建议。通过本文,开发者可以更好地理解 TLS 的优缺点,并在多线程编程中做出高效、稳定的选择。
Windows PE第九章 线程局部存储
天使也掉毛
02-10 728
线程局部存储TLS)     这个东西并不陌生了,之前写过了一个关于这个的应用,利用静态TLS姿势实现代码段静态加密免杀或者所谓的加壳思路。地址在这:http://blog.youkuaiyun.com/u013761036/article/details/53967943今天就简单的整理下TLS的相关概念和常规应用。一开始说了一大堆的Windows的进程线程啥啥啥的概念和原理,这里直接省略。 什么是
PE文件格式中数据目录项中的TLS
qq_35426012的博客
11-16 678
TLS(线程句柄存储) TLS地址在数据目录项数组下标为9的位置 TLS结构体定义如下 typedef struct _IMAGE_TLS_DIRECTORY32 { DWORD StartAddressOfRawData;    // TLS初始化数据的起始地址 DWORD EndAddressOfRawData;     // TLS初始化数据的结束地址 两个正好...
PE文件结构格式图pdf
04-30
1.PE文件结构       首先说一下什么是PE格式吧,虽然从网上搜一下会有很多定义,就我的理解来说,PE是Microsoft为了让程序在Windows上可移植而做的一种文件格式规定。就拿我们每个人都不陌生的exe程序来说吧,它就是一个PE文件,在我们的印象中,只要是Windows操作系统,都能执行exe程序,这就是Microsoft做的让程序在Windows平台上实现移植的功能,这个移植能力的实现是因为规定了exe程序的格式,Windows在执行exe程序的时候,PE文件加载器会按照约定加载exe程序,所以程序就正常地运行起来了。我这么来说是不是对PE文件不那么抽象了,比如像EXE,DLL,SYS这种格式的文件就是PE格式文件,这些文件都是我们平时见到过或者使用过的。如果大家了解图片格式,比如BMP图片,那这个PE文件格式就更好理解了,都是按照一定的规范生成的,在BMP图片中文件头部信息记录了这个文件的大小、创建日期、宽度和高度等等信息,PE文件也是这样,只不过比BMP文件格式更复杂...
linux elf格式 全局指针got call跳转plt 简介
whatday的专栏
04-22 1648
一、程序运行过程 首先我们对于程序运行来有一个基本的概念,程序运行起来应经过四个步骤:预处理、编译、汇编和链接,过程如下。 汇编过程调用汇编器as来完成,是用于将汇编代码转换成机器可以执行的指令,每一个汇编语句几乎都对应一条机器指令。汇编生成的文件时test.o。 链接的主要内容就是将各个模块之间相互引用的部分正确的衔接起来。它的工作就是把一些指令对其他符号地址的引用加以修正。链接过程主...
PE格式第八讲,TLS(线程局部存储)
weixin_30615767的博客
10-20 235
            PE格式第八讲,TLS(线程局部存储) 作者:IBinary出处:http://www.cnblogs.com/iBinary/版权所有,欢迎保留原文链接进行转载:) 一丶复习线程相关知识 首先讲解TLS的时候,需要复习线程相关知识, (thread local storage) 1.了解经典同步问题 首先我们先写一段C++代码,开辟两个线程去跑,看看...
PE文件格式TLS回调
BeanJoy的专栏
12-28 3137
从这个帖子打开文件对话框中有些文件无法显示中了解到了TLS,网上搜索了一下,挺有意思的,一般用于调试
PE文件(十二)TLS延迟导入
2301_78838647的博客
03-31 556
TLS线程局部存储,用来保存变量和回调函数的数据。TLS存储的的变量和回调函数都在程序入口点之前执行完了,也就是说当程序在被调试时,在程序入口点断点之前,TLS中的变量和回调函数就已经执行完了,因此TLS可以用作反调试之类的操作。对于一个有多线程的程序而言,全局变量和静态变量被多线程共享,因此多线程可以同时访问共享变量,但这可能会造成一些逻辑问题。因为我们可以通过TLS技术存储这些变量。
PE学习(九)第九章:TLS 动态TLS静态TLS
零点起步
04-09 1470
第九章:线程局部存储 PEB,在NT中,该结构可以从进程空间的FS:[0x30]处找到,PEB描述的信息主要包括:进程状态、进程堆、PE映像信息等,其中Ldr记录了进程加载进内存的所有模块的基地址。 TLS技术: 动态线程局部存储技术、静态线程局部存储技术 OS动态申请通过四个API,静态则通过预先在PE文件中声明数据存储空间。 TlsAlloc函数一旦得到一个可用的索引值后,还会遍历进
PE进阶】手动添加TLS回调函数
weixin_33672109的博客
11-26 819
前情提要 Demo代码 #include <windows.h> int tls(){ MessageBox(NULL,"This is TLS CallBack!","TLS Success",MB_OK); return 0; } int main(){ MessageBox(NULL,"This ...
PE基础3-资源-重定位-TLS-DLL延迟加载
weixin_30634661的博客
06-26 299
PE基础3 导入的作用是什么? 没有它exe能运行吗? 导入外部模块,提供的API,变量,类 可以没有导入(这个程序没有用到其它模块) 导出的作用是什么? 没有它exe能运行吗? 导出模块名,函数(序号),变量,类 通常导出用于dll,没有导出程序也可以运行 已知一个dll名,和一个dll导出函数的名字,如何得到这个函数名的地址? 导出中查找 ENT(导出名称) E...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值