[求助]关于TLS编程-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (13)
jackozoo 雪币： 1450 活跃值： (35) 能力值： (RANK：680 ) 在线值：发帖 50 回帖 775 粉丝 3 关注私信	jackozoo 14 2 楼关键看tls回调函数的执行与OD对OEP处的cc的先后关系. 本论坛有位网友说tls的回调函数是在msvcrtXX.dll的装载之前执行的(如果导入msvcrtXX库的话). 貌似他做过测试.http://bbs.pediy.com/showthread.php?t=81543&highlight=tls 如果真是这样的话: 那你要想在tls中下文章,不得一定确保OD不是在PE的所有模块装载完毕之后进行CC设断的 ? 我也不是很懂, 打算今天好好看下这个tls. 2009-2-21 05:37 0
KooJiSung 雪币： 357 活跃值： (3393) 能力值： ( LV3，RANK：25 ) 在线值：发帖 8 回帖 682 粉丝 3 关注私信	KooJiSung 3 楼 case EXCEPTION_DEBUG_EVENT: Exception_Conut++; if (Exception_Conut == 2 && debugevent->u.Exception.ExceptionRecord.ExceptionAddress != (PVOID)dwAddressOfCallBacks) { Print_Text("入口不是 tls addr，删除 tls addr 硬断\r\n"); Deletehardwarebreakbyaddr(dwAddressOfCallBacks); } 2009-2-21 05:56 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 4 楼要问Nooby 2009-2-21 10:05 0
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 5 楼 #include "stdafx.h" #include <windows.h> #include "winbase.h" #pragma comment(linker, "/INCLUDE:__tls_used") int main(); void do_anti(){ ExitThread(0); } void NTAPI Anti_CC_In_OEP(PVOID h, DWORD reason, PVOID pv){ if( reason == DLL_PROCESS_ATTACH ){ IMAGE_DOS_HEADER dos_head=(IMAGE_DOS_HEADER )GetModuleHandle(NULL); IMAGE_NT_HEADERS32 nt_head=(IMAGE_NT_HEADERS32 )(((DWORD)dos_head)+((DWORD)dos_head->e_lfanew)); BYTE OEP=(BYTE )(nt_head->OptionalHeader.AddressOfEntryPoint+(DWORD)dos_head); if(OEP==0xcc){ do_anti(); } OEP=(BYTE )main; if(*OEP==0xcc){ do_anti(); } } return; } #pragma data_seg(".CRT$XLB") PIMAGE_TLS_CALLBACK p_thread_callback[] = {Anti_CC_In_OEP,0}; #pragma data_seg() int main(){ printf("Hello,World"); } 2009-2-21 12:01 0
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 6 楼我试过，是应用程序模块一加载就下断了。另外，TLS的确是在MSVCRT没加载时就执行了。测试时发现的。 2009-2-21 12:04 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 7 楼 Debug SubProcess..... hardbreak----->NtContinue..... check OEP.... 2009-2-21 21:52 0
Hannibal 雪币： 2290 活跃值： (20) 能力值： ( LV9，RANK：150 ) 在线值：发帖 11 回帖 58 粉丝 1 关注私信	Hannibal 3 8 楼漫谈TLS_CallBack：原理、编程、手工感染及检测 http://www.team509.com/modules.php?name=News&file=article&sid=73 2009-2-27 15:28 0
himcrack 雪币： 264 活跃值： (11) 能力值： ( LV9，RANK：250 ) 在线值：发帖 8 回帖 194 粉丝 1 关注私信	himcrack 6 9 楼 TLS非常神奇一起学习~ 2009-2-27 19:13 0
ben中文雪币： 197 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 46 粉丝 0 关注私信	ben中文 10 楼附件無法下載，有人能上傳一下嗎？謝謝！ 2009-2-27 20:04 0
来来去去雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 44 粉丝 0 关注私信	来来去去 11 楼奇怪。DELPHI 编译出来的都有TLS这段。但如何实现象《漫谈TLS_CallBack：原理、编程、手工感染及检测》所提到的却无相关资料...郁闷 2009-3-1 03:58 0
xnop 雪币： 88 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 150 粉丝 0 关注私信	xnop 12 楼 tls 很强悍啊,不过用IDA很容易找到.然后函数开始改成int 3，OD就断下来了 2009-3-23 22:33 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 13 楼机器上有份:) 上传的附件： TLS_CallBack.rar （834.42kb，177次下载） 2009-3-23 23:14 0
baronpan 雪币： 221 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	baronpan 14 楼看了漫谈TLS_CallBack：原理、编程、手工感染及检测这篇文章,可是我用VC6.0编译里面的第一个例子TLS_CallBack_test,结果编译的PE文件中,指向回调函数地址的地方总是为0,如果手动把它改了以后就可以了,这是为什么呀,为什么编译器没把TLS回调函数地址写进去? 2009-5-13 08:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (13)
jackozoo 雪币： 1450 活跃值： (35) 能力值： (RANK：680 ) 在线值：发帖 50 回帖 775 粉丝 3 关注私信	jackozoo 14 2 楼关键看tls回调函数的执行与OD对OEP处的cc的先后关系. 本论坛有位网友说tls的回调函数是在msvcrtXX.dll的装载之前执行的(如果导入msvcrtXX库的话). 貌似他做过测试.http://bbs.pediy.com/showthread.php?t=81543&highlight=tls 如果真是这样的话: 那你要想在tls中下文章,不得一定确保OD不是在PE的所有模块装载完毕之后进行CC设断的 ? 我也不是很懂, 打算今天好好看下这个tls. 2009-2-21 05:37 0
KooJiSung 雪币： 357 活跃值： (3393) 能力值： ( LV3，RANK：25 ) 在线值：发帖 8 回帖 682 粉丝 3 关注私信	KooJiSung 3 楼 case EXCEPTION_DEBUG_EVENT: Exception_Conut++; if (Exception_Conut == 2 && debugevent->u.Exception.ExceptionRecord.ExceptionAddress != (PVOID)dwAddressOfCallBacks) { Print_Text("入口不是 tls addr，删除 tls addr 硬断\r\n"); Deletehardwarebreakbyaddr(dwAddressOfCallBacks); } 2009-2-21 05:56 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 4 楼要问Nooby 2009-2-21 10:05 0
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 5 楼 #include "stdafx.h" #include <windows.h> #include "winbase.h" #pragma comment(linker, "/INCLUDE:__tls_used") int main(); void do_anti(){ ExitThread(0); } void NTAPI Anti_CC_In_OEP(PVOID h, DWORD reason, PVOID pv){ if( reason == DLL_PROCESS_ATTACH ){ IMAGE_DOS_HEADER dos_head=(IMAGE_DOS_HEADER )GetModuleHandle(NULL); IMAGE_NT_HEADERS32 nt_head=(IMAGE_NT_HEADERS32 )(((DWORD)dos_head)+((DWORD)dos_head->e_lfanew)); BYTE OEP=(BYTE )(nt_head->OptionalHeader.AddressOfEntryPoint+(DWORD)dos_head); if(OEP==0xcc){ do_anti(); } OEP=(BYTE )main; if(*OEP==0xcc){ do_anti(); } } return; } #pragma data_seg(".CRT$XLB") PIMAGE_TLS_CALLBACK p_thread_callback[] = {Anti_CC_In_OEP,0}; #pragma data_seg() int main(){ printf("Hello,World"); } 2009-2-21 12:01 0
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 6 楼我试过，是应用程序模块一加载就下断了。另外，TLS的确是在MSVCRT没加载时就执行了。测试时发现的。 2009-2-21 12:04 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 7 楼 Debug SubProcess..... hardbreak----->NtContinue..... check OEP.... 2009-2-21 21:52 0
Hannibal 雪币： 2290 活跃值： (20) 能力值： ( LV9，RANK：150 ) 在线值：发帖 11 回帖 58 粉丝 1 关注私信	Hannibal 3 8 楼漫谈TLS_CallBack：原理、编程、手工感染及检测 http://www.team509.com/modules.php?name=News&file=article&sid=73 2009-2-27 15:28 0
himcrack 雪币： 264 活跃值： (11) 能力值： ( LV9，RANK：250 ) 在线值：发帖 8 回帖 194 粉丝 1 关注私信	himcrack 6 9 楼 TLS非常神奇一起学习~ 2009-2-27 19:13 0
ben中文雪币： 197 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 46 粉丝 0 关注私信	ben中文 10 楼附件無法下載，有人能上傳一下嗎？謝謝！ 2009-2-27 20:04 0
来来去去雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 44 粉丝 0 关注私信	来来去去 11 楼奇怪。DELPHI 编译出来的都有TLS这段。但如何实现象《漫谈TLS_CallBack：原理、编程、手工感染及检测》所提到的却无相关资料...郁闷 2009-3-1 03:58 0
xnop 雪币： 88 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 150 粉丝 0 关注私信	xnop 12 楼 tls 很强悍啊,不过用IDA很容易找到.然后函数开始改成int 3，OD就断下来了 2009-3-23 22:33 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 13 楼机器上有份:) 上传的附件： TLS_CallBack.rar （834.42kb，177次下载） 2009-3-23 23:14 0
baronpan 雪币： 221 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	baronpan 14 楼看了漫谈TLS_CallBack：原理、编程、手工感染及检测这篇文章,可是我用VC6.0编译里面的第一个例子TLS_CallBack_test,结果编译的PE文件中,指向回调函数地址的地方总是为0,如果手动把它改了以后就可以了,这是为什么呀,为什么编译器没把TLS回调函数地址写进去? 2009-5-13 08:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复