从这个帖子打开文件对话框中有些文件无法显示中了解到了TLS,网上搜索了一下,挺有意思的,一般用于反调试中,记录下来备忘。
先上代码:
#include <Windows.h> #pragma comment(linker, "/INCLUDE:__tls_used") #pragma comment(lib, "User32.lib") void NTAPI TLS_CALLBACK(PVOID DllHandle, DWORD Reason, PVOID Reserved) { if(IsDebuggerPresent()) { MessageBoxA(NULL, "Debugger Detected!", "TLS Callback", MB_OK); ExitProcess(1); } else { MessageBoxA(NULL, "TLS_CALLBACK", "TLS Callback", MB_OK); } } void NTAPI TLS_CALLBACK_2(PVOID DllHandle, DWORD Reason, PVOID Reserved) { MessageBoxA(NULL, "TLS_CALLBACK_2", "TLS Callback", MB_OK); } #pragma data_seg(".CRT$XLX") PIMAGE_TLS_CALLBACK pTLS_CALLBACKs[] = { TLS_CALLBACK, TLS_CALLBACK_2, 0 }; #pragma data_seg() int main(void) { MessageBoxA(NULL, "Hello :)", "main()", MB_OK); return 0; }TLS回调函数在程序入口点之前就能获得程序控制权,先于main函数执行。
要在程序中使用TLS,必须为TLS数据单独建一个数据段,用相关数据填充此段,并通知链接器为TLS数据在PE文件头中添加数据。
上述代码中,创建TLS段的部分“.CRT$XLX”的含义如下:.CRT表明是使用C RunTime机制,$后面的XLX中:X表示随机的标识,L表示是TLS callback section,X可以被换成B到Y的任意一个字母,但是不能使用“.CRT$XLA”和“.CRT$XLZ”,因为“.CRT$XLA”和“.CRT$XLZ”是用于tlssup.obj的。
其中pTLS_CALLBACKs数组中保存了所有的TLS回调函数指针。值得指出的是,数组必须以NULL指针结束,且数组中的每一个回调函数在程序初始化时都会被调用,程序员可按需要添加。但程序员不应当假设操作系统已何种顺序调用回调函数。在实际测试中,回调函数是依次被调用的。
TLS回调函数中第二个参数决定了函数在那种情况下(DllMain函数一样)被调用:
DLL_PROCESS_ATTACH:是指新进程创建时,初始化主线程时执行。
DLL_PROCESS_DETACH: 是指在进程终止时执行。
DLL_THREAD_ATTACH:是指创建新线程时,但是不包括主线程。
DLL_THREAD_DETACH:是指在所有线程终止时执行,但是同样不包括主线程。
需要指出的是,在TLS回调函数执行时,VC运行库msvcrt.dll,mfc.dll等并未载入,不能使用C库的函数(比如printf)。如果有需要使用,应该使用LoadLibrary()函数载入相应的库并使用GetProcAddress()获得函数地址。但此类操作可能会导致调试器的相关事件触发,不建议进行此类操作。