首页
论坛
专栏
课程

[分享]TLS隐藏的入口点

2008-4-16 18:32 9706

[分享]TLS隐藏的入口点

2008-4-16 18:32
9706
TLS简介
1. 什么是TLS?

TLS是Thread Local Storage(线程局部存储)的简称,是一项解决多线程内部变量使用问题的技术。用于将某些数据和一特定线程关联起来,即,这些数据为关联线程所独有(私有)。在多线程编程中, 同一个变量, 如果要让多个线程共享访问, 那么这个变量可以使用关键字volatile进行声明; 而如果一个变量不想被多个线程共享访问, 那么就应该使用TLS。

2. 如何使用TLS编程?

TLS使用非常简单, 只要对变量声明时使用__declspec(thread)修饰就可以了。例如:

__declspec(thread) int g_nData = 0;

3. 一个使用TLS的例子

//--------------------------------------------------------------------------------------------------------
#include <windows.h>
#include <stdio.h>

#define THREADCOUNT 4
DWORD dwTlsIndex;

int iNUM_OF_CALL_COMMON=0;
int iNUM_OF_CALL_THREAD=0;

VOID ErrorExit(LPSTR);

VOID CommonFunc(VOID)
{
   LPVOID lpvData;
// Retrieve a data pointer for the current thread.
iNUM_OF_CALL_COMMON++;

   lpvData = TlsGetValue(dwTlsIndex);
   if ((lpvData == 0) && (GetLastError() != ERROR_SUCCESS))
      ErrorExit("TlsGetValue error");

// Use the data stored for the current thread.
    printf("common: thread %d: lpvData=%lx\n",
      GetCurrentThreadId(), lpvData);

   Sleep(5000);
}

DWORD WINAPI ThreadFunc(VOID)
{
   LPVOID lpvData;

// Initialize the TLS index for this thread.
iNUM_OF_CALL_THREAD++;

   lpvData = (LPVOID) LocalAlloc(LPTR, 256);
   if (! TlsSetValue(dwTlsIndex, lpvData))
      ErrorExit("TlsSetValue error");

   printf("thread %d: lpvData=%lx\n", GetCurrentThreadId(), lpvData);

   CommonFunc();

// Release the dynamic memory before the thread returns.
    lpvData = TlsGetValue(dwTlsIndex);
   if (lpvData != 0)
      LocalFree((HLOCAL) lpvData);

   return 0;
}

int main(VOID)
{
   DWORD IDThread;
   HANDLE hThread[THREADCOUNT];
   int i;

// Allocate a TLS index.
    if ((dwTlsIndex = TlsAlloc()) == TLS_OUT_OF_INDEXES)
      ErrorExit("TlsAlloc failed");

// Create multiple threads.
    for (i = 0; i < THREADCOUNT; i++)
   {
      hThread[i] = CreateThread(NULL, // default security attributes
         0,                           // use default stack size
         (LPTHREAD_START_ROUTINE) ThreadFunc, // thread function
         NULL,                    // no thread function argument
         0,                       // use default creation flags
         &IDThread);              // returns thread identifier

   // Check the return value for success.
      if (hThread[i] == NULL)
         ErrorExit("CreateThread error\n");
   }

  // printf("All threads were created.\n");
   for (i = 0; i < THREADCOUNT; i++)
      WaitForSingleObject(hThread[i], INFINITE);

   TlsFree(dwTlsIndex);

   printf("The nums of thread is: %d\n",iNUM_OF_CALL_THREAD);
   printf("The nums of call is: %d\n",iNUM_OF_CALL_COMMON);

   return 0;
}

VOID ErrorExit (LPSTR lpszMessage)
{  
   fprintf(stderr, "%s\n", lpszMessage);
   ExitProcess(0);
}  
//--------------------------------------------------------------------------------------------------------

4. T L S的内部数据结构


图1 用于管理T L S的内部数据结构

每个标志均可设置为FREE或者INUSE,表示TLS槽( s l o t )是否正在使用。Microsoft保证至少TLS_MINIMUM_AVAILABLE位标志是可供使用的。

5. 相关API

Windows TLS的API: TlsAlloc, TlsFree, TlsSetValue, TlsGetValue。

● DWORD TlsAlloc(); //(若要使用动态T L S,首先必须调用TlsAlloc函数)

这个函数命令系统对进程中的位标志进行扫描,并找出一个FREE标志。然后系统将该标志从FREE改为INUSE,并且TlsAlloc返回位数组中的标志的索引。DLL(或APP)通常将该索引保存在一个全局变量中,因为它的值是每个进程而不是每个线程使用的值。

● BOOL TlsSetValue( //将一个值放入线程的数组中

DWORD dwTlsIndex,

PVOID pvTlsValue);

● PVOID TlsGetValue(DWORD dwTlsIndex); //要从线程的数组中检索一个值

● BOOL TlsFree(DWORD dwTlsIndex); //当在所有线程中不再需要保留TLS槽时

参考资料:Jeffrey Richter《《Programming Applications for Microsoft Windows (4th Ed.)》》Chapter 21

6. TLS目录


TLS Callback Functions
这是线程建立和退出时的回调函数, 包括主线程和其他线程.AddressOfCallBacks 是指向函数指针数组的指针, 以 0 结束.

typedef struct _TEB {
NT_TIB Tib;
PVOID EnvironmentPointer;
CLIENT_ID Cid;
PVOID ActiveRpcInfo;
PVOID ThreadLocalStoragePointer; ; 2ch
PPEB Peb; ; 30h
ULONG LastErrorValue; ; 34h
…}

TLS目录 #define IMAGE_DIRECTORY_ENTRY_TLS 9 (第十个目录)

Tls隐藏的入口点利用

就是利用Address of Callbacks字段,写入要执行的代码的地址就可以了.

测试对象:test.exe

程序类型:delphi编写

PeEditor检测Tls信息(文件偏移59400H处)如下:


TLS信息

------------------------------------------

目录表: 0045D000

TLS数据: 0045D010

索引变量: 004570A0

调用返回地址: 0045E010 (调用返回地址)

------------------------------------------

我们打算让系统在0045E010处执行我们的代码,就需要在这个地方对应的文件偏移处写入我们的代码。

观察节表信息

VA=0045E010,按照文件不需要重定位去计算则RVA=0005E010

观察节表信息,这个值处于.rdata节内。

.rdata节起始RVA=0005E000,起始Offset为00059400

则callback地址对应的Offset=(0005E010 - 0005E000)+ 00059400 =00059410

注意在这里(00059410H)应该写入一个函数地址。

打造一个简单的代码:

;----------------------------------------------------------------

.386

.model flat,stdcall

option casemap:none

include windows.inc

include user32.inc

includelib user32.lib

.code

start:

jmp @F

db 'Run thru Tls entry point.',0

@@:

mov eax,$

sub eax,26

call @delta

@delta:

pop ebp

sub ebp,offset @delta

add eax,ebp

invoke MessageBox,NULL,eax,NULL,0

ret

end start

;----------------------------------------------------------------

编译生成可执行文件,这只是一个简单的弹出对话框的程序。


打开16进制工具,载入msgbox.exe,复制代码:


注意00402000H处存放的是MessageBox的入口地址,我把它固化下来,动态跟踪发现是8A05D577H。(当然在编程时可以动态搜寻我们需要的API,为简单起见这里Hard-code一下。)

打开16进制工具,载入艺术字体2.exe,定位到00059410。


我们把代码复制在偏移00059410处,对应的VA=0045E030H,则把0045E030存入偏移00059410。

还要注意最后的 MessageBox的入口地址我们使用硬编码的方式,我们把这个地址写入在00059480处了。保存修改,然后运行程序。程序首先弹出两个对话框(一个是TLS模板,一个是主线程创建),结束程序运行还会弹出一个对话框,不过这个对话框太丑了:



说明:我在看一本介绍病毒知识的书籍时看到作者提及到这么一句话,大概意思是说他们公司某人发现了这个秘密,一直没有公布,不过后来由于rgb利用此技术制造了病毒,也就无所谓秘密可言了。由于Tls入口要比OEP先执行,所以在加壳与脱壳中都有利用的价值。

[挑战]看雪.纽盾 KCTF 2019晋级赛Q3攻击方进行中……,华为P30 Pro、iPad、kindle等你来拿!

上传的附件:
最新回复 (4)
kanxue 8 2008-4-16 22:26
2
0
感谢singsing总结和分享。
论坛己有的几篇TLS也可以参考一下:
http://bbs.pediy.com/showthread.php?threadid=17828
http://bbs.pediy.com/showthread.php?threadid=17839
http://bbs.pediy.com/showthread.php?threadid=12532
http://bbs.pediy.com/showthread.php?threadid=18144
渗透 2008-4-18 19:53
3
0
支持了 感谢楼主!
救世猪 1 2008-4-21 13:49
4
0
恩,不得不顶一下~
nevsayno 2011-9-6 17:24
5
0
好文章!
mark:tls
游客
登录 | 注册 方可回帖
返回