調試TLS

2019-11-08 01:56:13

字體：大中小

來源：轉載

供稿：網友

前言

看資料時, 看到了TLS, 復習一下. 看看如果程序中帶TLS回調, 如何找到并調試. 發現了一個知識點 : 在TLS函數中必須執行一個和Windows消息相關的API, 才會進(DLL_PROCESS_DETACH == Reason) 網上其他TLS資料, 演示TLS時, 都是在TLS中調用MessageBox, 都沒有注意這個知識點. 在TLS中彈MessageBox, 實際程序中也不可能這么調用, 本來在TLS中做事, 就是想隱蔽一點,騙騙新手. 在程序中做TLS回調函數, 是在main函數之前跑代碼的一種應用.

記錄

測試程序

// @file TlsDebug.cpp// @brief TLS試驗 on vc6#include "StdAfx.h"#include <windows.h>#include <stdlib.h>#include <time.h>DWord g_StartAddressOfRawData = 0;DWORD g_EndAddressOfRawData = 0;DWORD g_AddressOfIndex = 0; // PDWORDDWORD g_SizeOfZeroFill = 0;DWORD g_Characteristics = 0;DWORD g_dwData1 = 0;DWORD g_dwData2 = 0;VOID NTAPI tlsCb1(PVOID DllHandle, DWORD Reason, PVOID Reserved);VOID NTAPI tlsCb2(PVOID DllHandle, DWORD Reason, PVOID Reserved);// 聲明 g_tlsCbAry, 關鍵是要加 extern "C"extern "C" PIMAGE_TLS_CALLBACK g_tlsCbAry[] = { tlsCb1, tlsCb2, NULL};extern "C" IMAGE_TLS_DIRECTORY32 _tls_used = { (DWORD)& g_StartAddressOfRawData, (DWORD)& g_EndAddressOfRawData, (DWORD)& g_AddressOfIndex, (DWORD)g_tlsCbAry, // 這必須直接賦值為tls回調數組, PIMAGE_TLS_CALLBACK * g_SizeOfZeroFill, g_Characteristics};#pragma comment(linker, "/INCLUDE:__tls_used")int main(int argc, char* argv[]){ if (g_dwData1 > 0) { printf("tlscb1 was called before main/r/n"); } if (g_dwData2 > 0) { printf("tlscb2 was called before main/r/n"); } system("pause"); return 0;}/** run resulttlscb1 was called before maintlscb2 was called before main請按任意鍵繼續. . .*/VOID NTAPI tlsCb1(PVOID DllHandle, DWORD Reason, PVOID Reserved){ // 發現一個很奇怪的問題, TLS函數中, 如果不調用MessageBox, 只有 // (DLL_PROCESS_DETACH == Reason)會來, // 試驗結論: // * 在TLS函數中必須執行一個和Windows消息相關的API, 才會進(DLL_PROCESS_DETACH == Reason) // 不能調用MessageBox, 有提示給用戶, 太開玩笑了. 調用一個消息檢測函數PeekMessageA // * 不能調用內存分配函數(不能調用new 和 malloc, 會失敗) // * 這樣看起來, 在TLS中做事很受限制. MSG msg; if (DLL_PROCESS_ATTACH == Reason) { PeekMessageA(&msg, NULL, WM_KEYFIRST, WM_KEYLAST, PM_NOREMOVE); g_dwData1++; } else if (DLL_PROCESS_DETACH == Reason) { g_dwData1--; }}VOID NTAPI tlsCb2(PVOID DllHandle, DWORD Reason, PVOID Reserved){ if (DLL_PROCESS_ATTACH == Reason) { g_dwData2++; } else if (DLL_PROCESS_DETACH == Reason) { g_dwData2--; }}

在逆向時定位TLS函數

用CFF, LordPE, 或者其他工具, 查看PE文件的數據目錄表, 可以看到是否存在TLS回調函數. 這里寫圖片描述打開OD或IDA, 定位到CllBackTablerVA(VA值), 可以看到TLS函數有幾個(最后一個TLS回調地址后面是0), VA是多少, 就可以分析TLS回調做的具體任務了.