pe文件结构（TLS）

TLS

---

什么是TLS?

TLS是 Thread Local Storage 的缩写，线程局部存储。主要是为了解决多线程中变量同步的问题

如果需要要一个线程内部的各个函数调用都能访问，但其它线程不能访问的变量（被称为static memory local to a thread 线程局部静态变量），就需要新的机制来实现，这就是TLS

用途1：

TLS变量

线程A去修改TLS变量时，线程B不会受影响，因为每个线程都拥有一个TLS变量的副本

创建TLS变量

__declspe(thread) int g_tls = 1000;

用途2：

在安全领域中，TLS常被用于处理如反调试，抢占执行等操作

TLS回调函数

#include<iostream>
#include<Windows.h>
// 首先加上编译选项 
_declspec(thread) int g_tlsNum = 100;
#ifdef _WIN64
#pragma comment(linker, "/INCLUDE:_tls_used")
#else
#pragma comment(linker, "/INCLUDE:__tls_used")
#endifDWORD WINAPI threadProc(LPVOID lparam) {g_tlsNum = 300;printf("g_tlsNum=%d\n",g_tlsNum);return 0;
}void NTAPI t_TlsCallBack_A(PVOID DllHandle, DWORD Reason, PVOID Reserved);/*注册TLS函数，.CRT$XLX的作用CRT表示使用C Runtime库X表示标识名随机L表示 TLS Callback sectionX也可以换成B~Y任意一个字符*/
// 注册 TLS 回调
#ifdef _WIN64
#pragma const_seg(".CRT$XLX") // x64 下用 const_seg（只读段）
EXTERN_C const // 禁用 C++ 的名称修饰 
#else
#pragma data_seg(".CRT$XLX") // x86 下用 data_seg（可读写段）
#endif//存储回调函数地址 PIMAGE_TLS_CALLBACK pTLS_CALLBACKs，写了几个回调函就要往里面添加几个,最后必须要有一个0
PIMAGE_TLS_CALLBACK pTLS_CALLBACKs[] = { t_TlsCallBack_A,0 };#ifdef _WIN64
#pragma const_seg()
#else
#pragma data_seg()
#endif// 编写Tls回调函数 参数1：模块加载基址 参数2：调用的原因 参数3：保留
void NTAPI t_TlsCallBack_A(PVOID DllHandle, DWORD Reason, PVOID Reserved) {switch (Reason) {case DLL_PROCESS_ATTACH:printf("Hello Tls\n");break;case DLL_THREAD_ATTACH:break;case DLL_THREAD_DETACH:break;case DLL_PROCESS_DETACH:break;}
}int main() {// 创建线程CreateThread(NULL, NULL, threadProc,NULL,NULL,NULL);return 0;
}

何时被调用

• #define DLL_PROCESS_ATTACH 1 // 进程创建时
• #define DLL_THREAD_ATTACH 2 // 线程创建时
• #define DLL_THREAD_DETACH 3 // 线程销毁时
• #define DLL_PROCESS_DETACH 0 // 进程销毁时

查看执行结果，我们会发现TLS是最先执行的，这样我们就可以用这个回调函数来反调试一些调试器的加载，一般来说调试器在加载一个程序的时候，程序最先执行的代码是OEP（Original Entry Point），但TLS在OPE之前执行

我们来修改一下代码来写一个简单的反调试程序

void NTAPI t_TlsCallBack_A(PVOID DllHandle, DWORD Reason, PVOID Reserved) {switch (Reason) {case DLL_PROCESS_ATTACH:{BOOL result = FALSE;HANDLE hRealProcess = NULL;DuplicateHandle(GetCurrentProcess(),         // 当前进程GetCurrentProcess(),         // 伪句柄 (HANDLE)-1GetCurrentProcess(),         // 目标进程（仍为当前进程）&hRealProcess,               // 存储真实句柄NULL, FALSE, DUPLICATE_SAME_ACCESS);CheckRemoteDebuggerPresent(hRealProcess, &result); // 这种只是最简单的，现代调试器都会有反反调试的手段if (result) {MessageBox(NULL, L"检测到有调试器加载", L"Warning", MB_OK | MB_ICONWARNING);ExitProcess(0);}break;}case DLL_THREAD_ATTACH:break;case DLL_THREAD_DETACH:break;case DLL_PROCESS_DETACH:break;}
}

直接双击运行程序发现是没有问题的

我们来测试下有调试器加载的情况（由于目前市面上常用的调试器都有反反调试的功能，我们这个简单的反调试肯定是不会被检测出来的，所以我们用Visual Studio自带的调试器来看一下）

可以看到我们main函数还没执行之前就已经触发了检测

TLS表

在我们的pe文件当中，有这么一张表，就是用来告诉Tls函数和变量在哪里存放着

在我们16张表中第10张表就是我们的Tls表对应存放的虚拟地址

// IMAGE_TLS_DIRECTORY64结构体 
typedef struct _IMAGE_TLS_DIRECTORY64 {ULONGLONG StartAddressOfRawData;	// Tls初始化数据的起始地址ULONGLONG EndAddressOfRawData;		// Tls初始化数据的结束地址 （这个范围存放初始化的值）ULONGLONG AddressOfIndex;         	// Tls索引的位置ULONGLONG AddressOfCallBacks;     	// PIMAGE_TLS_CALLBACK * （Tls回调函数的数组指针）DWORD SizeOfZeroFill;				// 填充0的个数union {DWORD Characteristics;struct {DWORD Reserved0 : 20;DWORD Alignment : 4;DWORD Reserved1 : 8;} DUMMYSTRUCTNAME;} DUMMYUNIONNAME;} IMAGE_TLS_DIRECTORY64;

// 获取Tls表信息
void getTlsInfo(const char* peFileBuffer) {// 获取Tls表地址TableAddress repositionAddress = g_tableAddress[IMAGE_DIRECTORY_ENTRY_TLS];// 通过Rva得到文件地址DWORD fileAddress = rvaToFoa(repositionAddress.myVirtualAddress);// 解析结构体PIMAGE_TLS_DIRECTORY64 tlsDirectory = (PIMAGE_TLS_DIRECTORY64)(peFileBuffer + fileAddress);printf("Tls初始化数据的起始地址:0x%llX\n", tlsDirectory->StartAddressOfRawData);printf("Tls初始化数据的结束地址:0x%llX\n", tlsDirectory->EndAddressOfRawData);printf("Tls索引的位置:0x%llX\n", tlsDirectory->AddressOfIndex);printf("Tls回调函数的数组指针:0x%llX\n", tlsDirectory->AddressOfCallBacks);printf("填充0的个数:%d\n", tlsDirectory->SizeOfZeroFill);}