我們知道TLS常用於反調試中
TLS的簡單介紹:https://blog.csdn.net/Hotspurs/article/details/90298636
手工去除TLS要使用的工具:IDA,Winhex,PEview.exe
我在一個程序的代碼中添加了兩端TLS回調函數,用來進行反調試。
extern "C" NTSTATUS NTAPI NtQueryInformationProcess(HANDLE hProcess, ULONG InfoClass, PVOID Buffer, ULONG Length, PULONG ReturnLength);
void NTAPI __stdcall TLS_CALLBACK(PVOID DllHandle, DWORD dwReason, PVOID Reserved) //DllHandle模塊句柄、Reason調用原因、 Reserved加載方式(顯式/隱式)
{
if (IsDebuggerPresent())
{
MessageBoxA(NULL, "What are you doing??", "QUST-SEC warning", MB_ICONSTOP);
//MessageBoxA(NULL, "", "", MB_ICONSTOP);
ExitProcess(1);
}
}
void NTAPI __stdcall TLS_CALLBACK_2(PVOID DllHandle, DWORD Reason, PVOID Reserved)
{
HANDLE DebugPort = NULL;
if (!NtQueryInformationProcess(
NtCurrentProcess(),
7, // ProcessDebugPort
&DebugPort, // If debugger is present, it will be set to -1 | Otherwise, it is set to NULL
sizeof(HANDLE),
NULL))
{
if (DebugPort)
{
MessageBoxA(NULL, "", "", MB_ICONSTOP);
ExitProcess(1);
}
}
}
//使用TLS需要在程序中新建一個data段專門存放TLS數據,
//並且需要通知鏈接器在PE頭中添加相關數據,所以有了這一段代碼
#pragma comment (linker, "/INCLUDE:__tls_used")
#pragma comment (linker, "/INCLUDE:__tls_callback")
EXTERN_C
#pragma data_seg (".CRT$XLB")
//.CRT表明是使用C RunTime機制,$後面的XLB中:X表示隨機的標識,L表示是TLS callback section,B可以被換成B到Y之間的任意一個字母,
//但是不能使用“.CRT$XLA”和“.CRT$XLZ”,因爲“.CRT$XLA”和“.CRT$XLZ”是用於tlssup.obj的。
//共享數據段
PIMAGE_TLS_CALLBACK _tls_callback[] = { TLS_CALLBACK, TLS_CALLBACK_2, 0 };
//PIMAGE_TLS_CALLBACK _tls_callback[] = { 0 };
此時,在IDA中的導出窗口中,我們可以看到兩個TLS函數以及start
下面就進行 TLS的手動去除
1.首先使用PEview打開目標文件
找到了TLS在頭部的位置,在winhex中打開,找到1B0位置
將這一塊填充爲0
2.之後再找到TLS在數據段裏的位置,並在winhex裏將其填充爲0
很明顯,就是這一段
之後就可以保存文件,大功告成了
