تقييم الموضوع :
  • 0 أصوات - بمعدل 0
  • 1
  • 2
  • 3
  • 4
  • 5
مناقشة (tls callback)
#1
السلام عليكم و رحمة الله
احببت ان انشئ موضوع نتبادل فيه البحث و المعرفة عن tls callback.
ان نجح التفاعل في هذا الموضوع، سوف ننتقل الى انشاء بشكل دوري موضوع جديد يعالج امر آخر في ميدان الهندسة العكسية...

tls callback
1- ما هي ؟
2- ميدان استعمالها ؟
3- وضع امثلة حية.
4- طرق كشفها.

لكم كل الحرية في نقل ما كتب عنها من مصادر اخرى و يحبذ ان لا تقتصر فقط على نقل روابط، بل من الأفضل ان يتم كتابة خلاصة ما تم فهمه بعد الاطلاع عليها.

اترك لكم المبادرة  Smile الموضوع مفتوح للجميع...
software analysis addict
أعضاء أعجبوا بهذه المشاركة : [email protected] , xdvb_dz , adam zion , Polia , Gu-sung18 , redsea , rce3033
#2
ألي اعرفه ولو خبرتي بسيطة

يستعمل بالـ anti-debugging يتنفذ قبل الوصول الى Entry point يعني يعرف هل تستعمل منقح ام لا ويتنفذ قبل الوصول الى entrypoint h وينفذ التعليمات الي موجودة بالــ PeHEader
طريقة اكتشافه هو TLS  لدية Section بالــ Pe Header  نفتح البرنامج بواسطة مثلا PE Bear  وبعدها بالــ tab  .. وبعدها TLS وبعدها يوجد addressofCallbacks  نعمل لها Follow  ناخذ البيتات الاولى و نحولها الى big endian ويصبح عنوان نفتح المنقح و نبحث عن العنوان ونجده 
وفي اكثر  الحالات موجود بالــ export 
وبالمنقحات مثلا x64dbg  توجد اختيار tls callback 
,ومثال برنامج Elcomsoft eXplorer for WhatsApp يستعملها البرنامج مضغوط Vmprotect

وهذا من كتاب الفريق 

[صورة مرفقة: d5u8rxt.png]
هذا تقريبا الي اعرفة ...
أعضاء أعجبوا بهذه المشاركة : [email protected] , EarthMan123 , The Hidden 2000 , xdvb_dz , samoray , YANiS , Small Axe , farfes , adam zion , Gu-sung18 , Cyros , rce3033
#3
السلام عليكم و رحمة الله
آسف على اهمالي للموضوع، سوف اضع ان شاء الله ما توصلت اليه خلال اليومين القادمين...

جيد... و لاثراء الموضوع بامثلة حية...
المرفق يحتوي على اربعة (حالات) ملفات تنفيذية صغيرة الحجم (لتسهيل التنقيح)
يرجى القاء نظرة عليها و شرح آلية عملها...


الملفات المرفقة
.rar   samples.rar (الحجم : 1.28 KB / التحميلات : 25)
software analysis addict
أعضاء أعجبوا بهذه المشاركة : the9am3 , adam zion , Gu-sung18
#4
(14-05-2020, 03:36 PM)YANiS كتب : جيد... و لاثراء الموضوع بامثلة حية...
المرفق يحتوي على اربعة (حالات) ملفات تنفيذية صغيرة الحجم (لتسهيل التنقيح)
يرجى القاء نظرة عليها و شرح آلية عملها...

جميل  اخي بارك الله فيك خلي اشوف اقدر افهم شي منها
أعضاء أعجبوا بهذه المشاركة : adam zion
#5
هذا مثال ، برنامج بلغة C
 
 
/***************************************** TLS Example Program
Compile With MSVC
********************************************/

#include

#pragma comment(linker, "/INCLUDE: tls_used")

void NTAPI TlsCallBac(PVOID h, DWORD dwReason, PVOID pv);

#pragma data_seg(".CRT$XLB")
PIMAGE_TLS_CALLBACK p_thread_callback = TlsCallBac;
#pragma data_seg()

void NTAPI TlsCallBac(PVOID h, DWORD dwReason, PVOID pv)
{
MessageBox(NULL, "In TLS", "In TLS", MB_OK);
return;
}

int main(int argc , char**argv)
{
MessageBox(NULL, "In Main", "In Main", MB_OK);
return 0;
}
أعضاء أعجبوا بهذه المشاركة : Gu-sung18 , TeRcO
#6
https://www.at4re.net/f/thread-1891.html
أعضاء أعجبوا بهذه المشاركة : EarthMan123 , fantazma , vosiyons
#7
شرح فلاشي كيف يتم الأمر من TiGa بإسخدام المنقح IDA
الملف المطبق عليه بالمرفقات



الملفات المرفقة
.txt   TLS-CallBacks and preventing debugger detection with IDA Pro.txt (الحجم : 116 bytes / التحميلات : 7)
أعضاء أعجبوا بهذه المشاركة : samoray , Gu-sung18 , Newhak , alaa2003 , vosiyons , rce3033
#8




TLS (Thread Local Storage) IsDebuggerPresent TLS callback (english) (chinese)
أعضاء أعجبوا بهذه المشاركة : rce3033 , Cyros


التنقل السريع :


يقوم بقرائة الموضوع: بالاضافة الى ( 1 ) ضيف كريم