标签：TLS CALLBACK HelloTls pragma main 调试

TLS反调试

TLS, Thread Local Storage, 线程局部存储，其它线程不可访问，可实现多线程安全。利用TLS可以实现一种反调试。

在程序一开始运行时，会创建一个主线程，而创建主线程前，会先执行TLS相关函数。
执行顺序: TLS函数 -> 入口点 -> main函数

反调试示例：

#include <windows.h>

#pragma comment(linker, "/INCLUDE:__tls_used")

void NTAPI TLS_CALLBACK(PVOID DllHandle, DWORD Reason, PVOID Reserved)
{
    if( IsDebuggerPresent() )
    {
        MessageBoxA(NULL, "Debugger Detected!", "TLS Callback", MB_OK);
        ExitProcess(1);
    }
}

#pragma data_seg(".CRT$XLX")
    PIMAGE_TLS_CALLBACK pTLS_CALLBACKs[] = { TLS_CALLBACK, 0 };
#pragma data_seg()

int main(void)
{
    MessageBoxA(NULL, "Hello :)", "main()", MB_OK);
}

TLS_CALLBACK函数会先于main函数执行，反调试比较隐蔽。

使用vs2017生成release版程序时，需要注意禁用"全程序优化"：
项目设置 -> C/C++ -> 优化 -> 全程序优化，设置为"否"

参考：

1. 逆向工程核心原理
2. https://github.com/reversecore/book/blob/master/소스코드/06_고급_리버싱/45_TLS_Callback_Function/src/HelloTls/HelloTls.cpp
3. https://github.com/reversecore/book/blob/master/실습예제/06_고급_리버싱/45_TLS_Callback_Function/bin/HelloTls.exe

2022/8/17

标签：TLS,CALLBACK,HelloTls,pragma,main,调试
来源： https://www.cnblogs.com/-rvy-/p/16609295.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。