[求助]进入TLS以前就成了双线程？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

执一

2012-8-6 22:54

4041

程序中用到了TLS
将OD设为断在系统断点

这时系统只有主线程

查看tlscallback的地址发现是4E8EB7在4E8EB7下断，断下后

在这里变成双线程了，

程序在没进入TLS前就能创建新线程？
试了试在tlscallback以前下断CreateThread(),断下后

这里创建的线程的入口地址为77DC848A，而断在TLS入口点时查看线程信息，新线程入口点地址却在7C8106F9，

程序在没进入TLS能创建新线程么？OD里的线程入口地址准确么？

上传的附件：

收藏・1

免费・0

支持

最新回复 (2)
choday 雪币： 239 活跃值： (190) 能力值： ( LV8，RANK：130 ) 在线值：发帖 58 回帖 405 粉丝 3 关注私信	choday 2 2 楼没遇到过，建立给CreateRemoteThread下断点试试看，请高手指点一下，我对这问题也挺好奇的 2012-8-7 10:18 0
拍拖雪币： 1790 活跃值： (3781) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 262 粉丝 9 关注私信	拍拖 2 3 楼那个线程不是程序创建的，下图不是已经表示的很明白了吗？线程宿主是ADVAPI32.DLL 系统DLL创建的线程。很明显是你的程序依赖别的DLL，而别的DLL依赖于ADVAPI32.DLL，于是在你的程序TLS调用前，系统LoadLibrary时，被load的DLL内部创建了线程。 2012-8-7 10:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

执一

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
choday 雪币： 239 活跃值： (190) 能力值： ( LV8，RANK：130 ) 在线值：发帖 58 回帖 405 粉丝 3 关注私信	choday 2 2 楼没遇到过，建立给CreateRemoteThread下断点试试看，请高手指点一下，我对这问题也挺好奇的 2012-8-7 10:18 0
拍拖雪币： 1790 活跃值： (3781) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 262 粉丝 9 关注私信	拍拖 2 3 楼那个线程不是程序创建的，下图不是已经表示的很明白了吗？线程宿主是ADVAPI32.DLL 系统DLL创建的线程。很明显是你的程序依赖别的DLL，而别的DLL依赖于ADVAPI32.DLL，于是在你的程序TLS调用前，系统LoadLibrary时，被load的DLL内部创建了线程。 2012-8-7 10:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复