练习:HelloTls.exe
运行练习程序,弹出一个消息框,单击确定按钮后,程序终止运行。 在OllyDbg调试器中打开并运行HelloTls.exe文件。 消息对话框中显示的内容于程序运行时显示的内容不同,单击确定按钮,HelloTls.exe进程随机终止。 原因在于,程序运行EP代码前先调用了TLS回调函数,而该回调函数中含有反调试代码,使程序在被调试时弹出“Debugger Detected!“消息对话框。
TLS
TLS是各线程的独立的数据存储空间,使用TLS技术可在线程内部独立使用或修改进程的全局数据或静态数据,就像对待自身的局部变量一样。IMAGE_DATA_DIRECTORY[9]
若在编程中启用了TLS功能,PE头文件中就会设置TLS表项目。 IMAGE_TLS_DIRECTORY结构体位于RVA 1A0. IMAGE_TLS_DIRECTORY结构体有2种版本,分别为32位版本与64位版本,使用PEView工具查看IMAGE_TLS_DIRECTORY结构体。 比较重要的成员为AddressOfCallbacks,该值指向含有TLS回调函数地址数组,这意味着可用向同一程序注册多个TLS回调函数。(数组以NULL值结束。) 该数组实际存储的就是TLS回调函数的地址,进程启动运行时,(执行EP代码前)系统会逐一调用存储在该数组该数组种的函数。
TLS回调函数
TLS回调函数是指,没当创建/终止进程的线程时会自动调用执行的函数,创建进程的主线程时也会自动调用回调函数,且其调用执行先于EP代码,反调试技术利用的就是TLS回调函数的这一特征。IMAGE_TLS_CALLBACK
TLS回调函数的定义如下:
(NTAPI
*PIMAGE_TLS_CALLBACK
)(
PVOID DllHandle
,
DWORD Reason
,
PVOID Reserved
);
仔细观察TLS回调函数的定义可用发现,它于DllMain()函数的定义类似:
BOOL WINAPI
DllMain(
__in HINSTANCE hinstDLL
,
__in DWORD fdwReason
,
__in LPVOID lpReserved
);
它们的参数顺序与含义都是一样的,其中,参数DllHandle为模块句柄(即加载地址),参数Reason表示调用TLS回调函数的原因,具体原因有4种。
TlsTest.exe
TlsTest.exe程序的源代码。
#include <windows.h>
#pragma comment(linker, "/INCLUDE:__tls_used")
void print_console(char* szMsg
)
{
HANDLE hStdout
= GetStdHandle(STD_OUTPUT_HANDLE
);
WriteConsoleA(hStdout
, szMsg
, strlen(szMsg
), NULL, NULL);
}
void NTAPI
TLS_CALLBACK1(PVOID DllHandle
, DWORD Reason
, PVOID Reserved
)
{
char szMsg
[80] = {0,};
wsprintfA(szMsg
, "TLS_CALLBACK1() : DllHandle = %X, Reason = %d\n", DllHandle
, Reason
);
print_console(szMsg
);
}
void NTAPI
TLS_CALLBACK2(PVOID DllHandle
, DWORD Reason
, PVOID Reserved
)
{
char szMsg
[80] = {0,};
wsprintfA(szMsg
, "TLS_CALLBACK2() : DllHandle = %X, Reason = %d\n", DllHandle
, Reason
);
print_console(szMsg
);
}
#pragma data_seg(".CRT$XLX")
PIMAGE_TLS_CALLBACK pTLS_CALLBACKs
[] = { TLS_CALLBACK1
, TLS_CALLBACK2
, 0 };
#pragma data_seg()
DWORD WINAPI
ThreadProc(LPVOID lParam
)
{
print_console("ThreadProc() start\n");
print_console("ThreadProc() end\n");
return 0;
}
int main(void)
{
HANDLE hThread
= NULL;
print_console("main() start\n");
hThread
= CreateThread(NULL, 0, ThreadProc
, NULL, 0, NULL);
WaitForSingleObject(hThread
, 60*1000);
CloseHandle(hThread
);
print_console("main() end\n");
return 0;
}
TlsTest.cpp源代码注册了2个TLS回调函数(TLS_CALLBACK1、TLS_CALLBACK2),它们也非常简单,只是将DllHandle与Reason这2个参数的值输出到控制台,然后终止退出。main()函数也非常,创建用户线程(ThreadProc)后终止,main()与ThreadProc()内部分别将函数开始/终止日志输出到控制台。
DLL_PROCESS_ATTACH
进程的主线程调用main()函数前,已经注册了TLS回调函数(TLS_CALLBACK1、TLS_CALLBACK2)会先被调用执行,此时Reason的值为1(DLL_PROCESS_ATTACH)。
DLL_THREAD_ATTACH
所有TLS回调函数完成调用后,main()函数开始调用执行,创建用户线程(ThreadProc)前,TLS回调函数会被再次调用执行,此时Reason=2(DLL_THREAD_ATTACH)。
DLL_THREAD_DETACH
TLS回调函数全部执行完毕后,ThreadProc()线程函数开始调用执行,其执行完毕后Reason=3(DLL_THREAD_DETACH),TLS回调函数被调用执行。
DLL_PROCESS_DETACH
ThreadProc()线程函数执行完毕后,一直等待线程终止的main()函数(主线程)也会终止,此时Reason=0(DLL_PROCESS_DETACH),TLS回调函数最后依次被调用执行。
调试TLS回调函数
修改OllyDbg(2.0)选项就可以调试TLS回调函数。 重启应用程序,程序会暂停在TLS回调函数,
手工添加TLS回调函数
本节的目标是直接修改Hello.exe文件(PE文件),为其添加TLS回调函数。修改前的原程序。
修改前的原程序为Hello.exe,它非常简单,运行时弹出一个消息框,然后终止退出。
首先要确定IMAGE_TLS_DIRECTORY结构体与TLS回调函数放到文件的哪个位置。
添加到节区末尾的空白区域。增加最后一个节区的大小。在最后添加新节区。
这里采用第二个方法,即增加最后一个节区的大小。
最后一个节区(.rsrc)的Pointer to Raw Data = 9000,Size of Raw Data = 200,所以PE头中的定义的文件整体大小为9200,考虑到要添加的代码与数据的大小,我们将最后一个节区大小增加到200(文件的大小增加到9400)。
编辑PE文件头
分别修改.rcrs节区头中Size of Raw Data与Characteristics的值,即Size of Raw Data = 400、Characteristics = E0000060. Characteristics=E0000060. 在原有属性的基础上新增了IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_WRITE属性。
IMAGE_DATA_DIRECTORY[9]
接下来要设置TLS表(IMAGE_NT_HEADERS-IMAGE_OPTIONAL_HEADER-IMAGE_DATA_DIRECTORY[9])的值,拓展区域的起始地址为9200(文件偏移),在PEView中查看该地址为C200(RVA地址),我们将从该地址处创建IMAGE_TLS_DIRECTORY结构体,因此修改PE文件头的IMAGE_DATA_DIRECTORY[9]。 修改后用PEView工具查看。
设置IMAGE_TLS_DIRECTORY结构体
只要把TLS回调函数注册到其中即可,编辑设置IMAGE_TLS_DIRECTORY结构体。 在文件偏移9200(RVA C200)地址处创建了IMAGE_TLS_DIRECTORY结构体,AddressOfCallbacks成员的值为VA 40C224(文件偏移9224),它是Array of TLS Callback Function的起始地址。只要把TLS回调函数的地址(40C230)放入该数组,即可成功注册TLS回调函数。先向TLS回调函数写入C2 0C00 - RETN 0C命令,即在TLS回调函数中不执行任何操作。
编写TLS回调函数
利用OllyDbg的汇编功能,从40C230地址处开始编写反调试代码。 编写好TLS回调函数后,将修改的代码全部选中,鼠标右键Edit->Copy to executable->右键->save file.ESP + 8 存储的是Reason参数的值,若值为1(DLL_PROCESS_ATTACH)时,检查PEB.BeingDebugged成员,若处于调试状态,则弹出消息框(MessageBoxA)后终止并退出进程。
使用OllyDbg打开我们添加了回调函数的程序,下图表明手工添加TLS回调函数成功。
