开发者社区> 杨粼波> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

TLS隐藏的入口点

简介:
+关注继续查看
TLS简介
1. 什么是TLS?
 
TLS是Thread Local Storage(线程局部存储)的简称,是一项解决多线程内部变量使用问题的技术。用于将某些数据和一特定线程关联起来,即,这些数据为关联线程所独有(私有)。在多线程编程中, 同一个变量, 如果要让多个线程共享访问, 那么这个变量可以使用关键字volatile进行声明; 而如果一个变量不想被多个线程共享访问, 那么就应该使用TLS。
 
2. 如何使用TLS编程?

TLS使用非常简单, 只要对变量声明时使用__declspec(thread)修饰就可以了。例如:
None.gif_declspec(thread) int g_nData = 0;

3. 一个使用TLS的例子
None.gif//--------------------------------------------------------------------------------------------------------
None.gif
#include <windows.h> 
None.gif#include <stdio.h> 
None.gif 
None.gif#define THREADCOUNT 4 
None.gifDWORD dwTlsIndex; 
None.gif 
None.gifint iNUM_OF_CALL_COMMON=0;
None.gifint iNUM_OF_CALL_THREAD=0;
None.gif 
None.gifVOID ErrorExit(LPSTR); 
None.gif 
None.gifVOID CommonFunc(VOID) 
ExpandedBlockStart.gif
InBlock.gif   LPVOID lpvData; 
InBlock.gif // Retrieve a data pointer for the current thread. 
InBlock.gif
 iNUM_OF_CALL_COMMON++;
InBlock.gif 
InBlock.gif   lpvData = TlsGetValue(dwTlsIndex); 
InBlock.gif   if ((lpvData == 0) && (GetLastError() != ERROR_SUCCESS)) 
InBlock.gif      ErrorExit("TlsGetValue error"); 
InBlock.gif 
InBlock.gif// Use the data stored for the current thread. 
InBlock.gif
    printf("common: thread %d: lpvData=%lx\n", 
InBlock.gif      GetCurrentThreadId(), lpvData); 
InBlock.gif 
InBlock.gif   Sleep(5000); 
ExpandedBlockEnd.gif}
 
None.gif 
None.gifDWORD WINAPI ThreadFunc(VOID) 
ExpandedBlockStart.gif
InBlock.gif   LPVOID lpvData; 
InBlock.gif 
InBlock.gif// Initialize the TLS index for this thread. 
InBlock.gif
 iNUM_OF_CALL_THREAD++;
InBlock.gif 
InBlock.gif   lpvData = (LPVOID) LocalAlloc(LPTR, 256); 
InBlock.gif   if (! TlsSetValue(dwTlsIndex, lpvData)) 
InBlock.gif      ErrorExit("TlsSetValue error"); 
InBlock.gif 
InBlock.gif   printf("thread %d: lpvData=%lx\n", GetCurrentThreadId(), lpvData); 
InBlock.gif 
InBlock.gif   CommonFunc(); 
InBlock.gif 
InBlock.gif// Release the dynamic memory before the thread returns. 
InBlock.gif
    lpvData = TlsGetValue(dwTlsIndex); 
InBlock.gif   if (lpvData != 0) 
InBlock.gif      LocalFree((HLOCAL) lpvData); 
InBlock.gif 
InBlock.gif   return 0; 
ExpandedBlockEnd.gif}
 
None.gif 
None.gifint main(VOID) 
ExpandedBlockStart.gif
InBlock.gif   DWORD IDThread; 
InBlock.gif   HANDLE hThread[THREADCOUNT]; 
InBlock.gif   int i; 
InBlock.gif 
InBlock.gif// Allocate a TLS index. 
InBlock.gif
    if ((dwTlsIndex = TlsAlloc()) == TLS_OUT_OF_INDEXES) 
InBlock.gif      ErrorExit("TlsAlloc failed"); 
InBlock.gif 
InBlock.gif// Create multiple threads. 
InBlock.gif
    for (i = 0; i < THREADCOUNT; i++) 
ExpandedSubBlockStart.gif   
InBlock.gif      hThread[i] = CreateThread(NULL, // default security attributes 
InBlock.gif
         0,                           // use default stack size 
InBlock.gif
         (LPTHREAD_START_ROUTINE) ThreadFunc, // thread function 
InBlock.gif
         NULL,                    // no thread function argument 
InBlock.gif
         0,                       // use default creation flags 
InBlock.gif
         &IDThread);              // returns thread identifier 
InBlock.gif 
InBlock.gif   
// Check the return value for success. 
InBlock.gif
      if (hThread[i] == NULL) 
InBlock.gif         ErrorExit("CreateThread error\n"); 
ExpandedSubBlockEnd.gif   }
 
InBlock.gif 
InBlock.gif  // printf("All threads were created.\n");
InBlock.gif
   for (i = 0; i < THREADCOUNT; i++) 
InBlock.gif      WaitForSingleObject(hThread[i], INFINITE); 
InBlock.gif 
InBlock.gif   TlsFree(dwTlsIndex);
InBlock.gif 
InBlock.gif   printf("The nums of thread is: %d\n",iNUM_OF_CALL_THREAD);
InBlock.gif   printf("The nums of call is: %d\n",iNUM_OF_CALL_COMMON);
InBlock.gif 
InBlock.gif   return 0; 
ExpandedBlockEnd.gif}
 
None.gif 
None.gifVOID ErrorExit (LPSTR lpszMessage) 
ExpandedBlockStart.gif{  
InBlock.gif   fprintf(stderr, "%s\n", lpszMessage); 
InBlock.gif   ExitProcess(0); 
ExpandedBlockEnd.gif}
  
None.gif//--------------------------------------------------------------------------------------------------------
None.gif

4. T L S的内部数据结构
 
1.jpg
图1 用于管理T L S的内部数据结构
 
 
每个标志均可设置为FREE或者INUSE,表示TLS槽( s l o t )是否正在使用。Microsoft保证至少TLS_MINIMUM_AVAILABLE位标志是可供使用的。
 
5. 相关API
 
Windows TLS的API: TlsAlloc, TlsFree, TlsSetValue, TlsGetValue。
 
● DWORD TlsAlloc(); //(若要使用动态T L S,首先必须调用TlsAlloc函数)
 
这个函数命令系统对进程中的位标志进行扫描,并找出一个FREE标志。然后系统将该标志从FREE改为INUSE,并且TlsAlloc返回位数组中的标志的索引。DLL(或APP)通常将该索引保存在一个全局变量中,因为它的值是每个进程而不是每个线程使用的值。
 
● BOOL TlsSetValue( //将一个值放入线程的数组中
 
DWORD dwTlsIndex,
 
PVOID pvTlsValue);
 
● PVOID TlsGetValue(DWORD dwTlsIndex); //要从线程的数组中检索一个值
 
● BOOL TlsFree(DWORD dwTlsIndex); //当在所有线程中不再需要保留TLS槽时
 
 
 
参考资料:Jeffrey Richter《《Programming Applications for Microsoft Windows (4th Ed.)》》Chapter 21
 
6. TLS目录
 
7.JPG
TLS Callback Functions
这是线程建立和退出时的回调函数, 包括主线程和其他线程.AddressOfCallBacks 是指向函数指针数组的指针, 以 0 结束.
ExpandedBlockStart.giftypedef struct _TEB {
InBlock.gifNT_TIB Tib;
InBlock.gifPVOID EnvironmentPointer;
InBlock.gifCLIENT_ID Cid;
InBlock.gifPVOID ActiveRpcInfo;
InBlock.gifPVOID ThreadLocalStoragePointer; ; 2ch
InBlock.gifPPEB Peb; ; 30h
InBlock.gifULONG LastErrorValue; ; 34h
ExpandedBlockEnd.gif…}

None.gif

TLS目录 #define IMAGE_DIRECTORY_ENTRY_TLS 9 (第十个目录)
 
 
 
Tls隐藏的入口点利用
 
 
就是利用Address of Callbacks字段,写入要执行的代码的地址就可以了.
 
 
测试对象:test.exe
 
程序类型:delphi编写
 
 
 
PeEditor检测Tls信息(文件偏移59400H处)如下:
2.jpg
 
TLS信息
 
------------------------------------------
 
 
 
目录表: 0045D000
 
TLS数据: 0045D010
 
索引变量: 004570A0
 
调用返回地址: 0045E010 (调用返回地址)
 
------------------------------------------
 
 
 
我们打算让系统在0045E010处执行我们的代码,就需要在这个地方对应的文件偏移处写入我们的代码。
 
 
 
观察节表信息
 
VA=0045E010,按照文件不需要重定位去计算则RVA=0005E010
 
观察节表信息,这个值处于.rdata节内。
 
.rdata节起始RVA=0005E000,起始Offset为00059400
 
则callback地址对应的Offset=(0005E010 - 0005E000)+ 00059400 =00059410
 
注意在这里(00059410H)应该写入一个函数地址。

打造一个简单的代码:

None.gif;----------------------------------------------------------------
None.gif 
None.gif.386
None.gif 
None.gif.model flat,stdcall
None.gif 
None.gifoption casemap:none
None.gif 
None.gif 
None.gif 
None.gifinclude windows.inc
None.gif 
None.gifinclude user32.inc
None.gif 
None.gif 
None.gif 
None.gifincludelib user32.lib
None.gif 
None.gif 
None.gif 
None.gif.code
None.gif 
None.gifstart:
None.gif 
None.gifjmp @F
None.gif 
None.gif 
None.gif 
None.gifdb 'Run thru Tls entry point.',0
None.gif 
None.gif@@: 
None.gif 
None.gifmov eax,$
None.gif 
None.gifsub eax,26
None.gif 
None.gifcall @delta
None.gif 
None.gif@delta:
None.gif 
None.gifpop ebp
None.gif 
None.gifsub ebp,offset @delta
None.gif 
None.gifadd eax,ebp
None.gif 
None.gifinvoke MessageBox,NULL,eax,NULL,0
None.gif 
None.gifret
None.gif 
None.gifend start
None.gif 
None.gif;----------------------------------------------------------------
None.gif

编译生成可执行文件,这只是一个简单的弹出对话框的程序。
3.jpg
 
打开16进制工具,载入msgbox.exe,复制代码:
4.jpg
 
注意00402000H处存放的是MessageBox的入口地址,我把它固化下来,动态跟踪发现是8A05D577H。(当然在编程时可以动态搜寻我们需要的API,为简单起见这里Hard-code一下。)
 
打开16进制工具,载入艺术字体2.exe,定位到00059410。
5.jpg
 
我们把代码复制在偏移00059410处,对应的VA=0045E030H,则把0045E030存入偏移00059410。
 
还要注意最后的 MessageBox的入口地址我们使用硬编码的方式,我们把这个地址写入在00059480处了。保存修改,然后运行程序。程序首先弹出两个对话框(一个是TLS模板,一个是主线程创建),结束程序运行还会弹出一个对话框,不过这个对话框太丑了:
 
6.jpg
 
 
说明:我在看一本介绍病毒知识的书籍时看到作者提及到这么一句话,大概意思是说他们公司某人发现了这个秘密,一直没有公布,不过后来由于rgb利用此技术制造了病毒,也就无所谓秘密可言了。由于Tls入口要比OEP先执行,所以在加壳与脱壳中都有利用的价值。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
私有子组件与全局组件的注册
私有子组件与全局组件的注册
0 0
求助,主页面通过iframe访问ngnix中的子页面,子页面中利用调用js方法判断localstonge中是否有值,ios不可用,关闭阻止跨网站追踪,safari可用
紧急求助,主页面通过iframe访问ngnix中的子页面,子页面中利用调用js方法判断localstonge中是否有值,ios不可用,关闭阻止跨网站追踪,safari可用
0 0
接口测试平台代码实现158:私有client证书设置三
接口测试平台代码实现158:私有client证书设置三
0 0
接口测试平台代码实现157:私有client证书设置二
接口测试平台代码实现157:私有client证书设置二
0 0
Linkerd 2.10(Step by Step)—3. 自动轮换控制平面 TLS 与 Webhook TLS 凭证
Linkerd 2.10(Step by Step)—3. 自动轮换控制平面 TLS 与 Webhook TLS 凭证
0 0
+关注
杨粼波
网游的老兵
文章
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载