САБЖ
У кого-то есть код или хотя бы подробное описание ТЛС?

Заранее благодарен.
Нужно вручную загрузить ехе. Проблемы пока только с ТЛС, т.к. я не знаю как его обрабаттывать. За любую инфу или демо-код буду благодарен.

| Сообщение посчитали полезным:

LexxCracker пишет:
Нужно вручную загрузить ехе
Чет я не понял, как загрузить, куда, откуда?
Поясни по подробней.

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Пишу свой пакер. Точнее написал уже. Простенький, безо всяких наворотов. Работает.

Распаковывает образ ехе в памяти, разносит секции на нужные смещения, биндит импорт и пр.

Но не дружит с ехе, в которых присутствует тлс - При попытке запуска происходит ошибка.

ТЛС я в своем загрузчике никак не обрабатываю, вот, хочу побольше инфы собрать или может у кого уже готовый код есть.

| Сообщение посчитали полезным:

Я писал свой протектор у меня там была тлс защита.
Могу дать посмотреть, как ее воткнуть. А вот как ее выткнуть яхз, но думаю если приложить мозХ, то все получиццо.
Кстате на каком языке ты пишешь?

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

А описание есть тлс? Лучше описание ) ты ведь не с головы писал =)
На васме порылся - там одна статейка только. И то.. Для самых элементарных случаев. ))

ЗЫ: На сях + асм вставки + активно ммх заюзал

| Сообщение посчитали полезным:

LexxCracker пишет:
А описание есть тлс? Лучше описание
Нетю(
LexxCracker пишет:
ты ведь не с головы писал
Я потрошил файлы, содержащие тлс и смотрел, как оно работает и что пишет.
LexxCracker пишет:
На васме порылся - там одна статейка только. И то.. Для самых элементарных случаев
Я тоже искал статьи, только ничего подходящего не нашел. В основном попадались описания ПЕХидера)
LexxCracker пишет:
На сях + асм вставки + активно ммх заюзал
Мой сорс на дельфях
Я ламо(((

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

1. Создать структуру где-нить в коде\секции загрузчика или в хидере
и заполнить её следующим образом


struct MyNewTlsTable
{
DataBlockStartVA = from an original file
DataBlockEndVA = from an original file
IndexVariableVA = from an original file
CallbackTableVA = 0 (поскольку обычно эта хрень ссылается на таблицу DWORD'ов содержащую всего одно значение NULL, то нафиг и копировать это поле из оригинального файла)
SizeOfZeroFill = 0
Characteristics = 0
}


2. Прописать у новаго (упакованного) файла IMAGE_OPTIONAL_HEADER.DataDirectoryTls.VirtualAddress == VirtualAddress of MyNewTlsTable и Size = 18h

| Сообщение посчитали полезным:

CallbackTableVA = 0 (поскольку обычно эта хрень ссылается на таблицу DWORD'ов содержащую всего одно значение NULL, то нафиг и копировать это поле из оригинального файла)

Трабла как раз тут, посколку не ноль.
Там указатель на массив указателей обработчиков. Как их вызывать и обрабатывать - я хз

| Сообщение посчитали полезным:

Ппц, и чем же статья на васме для элементарных случаев???
Эта статья ТЫЦ http://wasm.ru/print.php?article=tls очень хорошая. Вкурив - поймёшь, что тело стаба легче в ТЛС втиснуть через callback и потом ненадо о некоторых моментах задумываться (как делает "какой-то" прот).

-----
Само плывет в pуки только то, что не тонет.

| Сообщение посчитали полезным:

LexxCracker пишет:
Там указатель на массив указателей обработчиков. Как их вызывать и обрабатывать - я хз

Ты вообще где нашел чисто скомпилированный файл с не нулевым массивом TLS Callback? Я ни разу не видел такого, если только после упаковки Execryptor'ом появляются.

LexxCracker пишет:
и обрабатывать
А так не вижу никакой проблемы с этим, в своем пакере можешь перед выполнением оригинальной точки входа выполнить все Callback'и, когда уже все секции распакованы и импорт инициализирован...??? Для пакованного файла надо только обработать талицу TLS и убрать все callback'и что бы винда не попыталась их запустить когда код еще не распакован.

LexxCracker пишет:
Как их вызывать
Наверняка, перед выполнением callback'а надо что нибудь положить ему в стек как параметры, эту инфу можно у того же execyptor подсмотреть.

| Сообщение посчитали полезным:

Через CreateThread вызвать все функции по очереди из TLS CallBack А потом уже идти на Original Entry Point

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill пишет:
Через CreateThread вызвать все функции по очереди из TLS CallBack А потом уже идти на Original Entry Point

Это система так callback обрабатывает?

В этом случае может возникнуть ситуация, когда callback полностью не выполнен, а выполнение OEP уже началось, это правильно?

| Сообщение посчитали полезным:

Enigma пишет:
В этом случае может возникнуть ситуация, когда callback полностью не выполнен, а выполнение OEP уже началось, это правильно?

в каком случае? нет, это не правильно, сначала отработаю все калбеки, а потом уже управление
попадёт на ЕП

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Я прогу потрошил запротанную Экзэкриптором, так там с колбэка начинается а на оригинальный ЕП прога не попадает ни разу. Но там только один колбэк был в таблице. Так что, как что понимаю, можно делать с выходом из колбэков, так и с последующем вызовом своего ЕП из колбэка.

| Сообщение посчитали полезным:

по поводу TLS callback:
Корректный TLS Callback - это тот же DllMain Callback и выглядит так:
BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved);
Соответственно, он получает 3 параметра на входе и чистит (должен) за собой стек. В принципе, винда перед вызовом колбэка сохраняет указатель на стек, так что в случае неподчистки стека прога продолжает работать ;)
При создании процесса колбэк получает управление с параметром DLL_PROCESS_ATTACH.

TLS Callback должен получить управление до основной точки входа.

PE_Kill пишет:
Через CreateThread вызвать все функции
виндовый лоадер зовёт их напрямую, не создавая нового потока.

-----
EnJoy!

| Сообщение посчитали полезным:

LexxCracker Ну написал обработчик, можешь поделиться кодом?

Собственно таже проблема. В файле есть TLS директория нужно от неё избавиться, т.е. вручную произвести те модификации, которые делает системный загрузчик. Подскажите примерный наиболее точных ход действий.

// wasm.ru/print.php?article=tls - уже читал

| Сообщение посчитали полезным:

GlOFF пишет:
В файле есть TLS директория нужно от неё избавиться, т.е. вручную произвести те модификации, которые делает системный загрузчик. Подскажите примерный наиболее точных ход действий.
Какие такие модификации ? Системный загрузчик не производит никаких модификации TLS директории. (ну кроме пожалуй обнуления двордов по адресам Start address of raw data и end address of raw data). Если TLS директория на делфи или борланд си по дефолту, то трогать её не стоит, ибо она используется, если другие компилеры - то в большинстве случаев можно обнулить. Может ты имел в виду каллбек - если он есть, то надо смотреть что он делает и удалять его просто так нельзя - пример ExeCryptor, который выполняет немалую часть своего кода в нём.

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Hellspawn пишет:
в каком случае? нет, это не правильно, сначала отработаю все калбеки, а потом уже управление
попадёт на ЕП
Можно передать управление на ep прямо из callback'а - безусловным переходом или вызовом процедуры - управление перейдет на EP до окончания callback'а, другой вопрос - будет ли это работать

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Smon Спс. За пояснения. Но мне нужно удалить описание TLS - директории PE в заголовке и проэмулировать работу загрузчика с этой директорией в файле. Я не хочу вообще избавить от неё, а только самостоятельно обработать.

Smon пишет:
Системный загрузчик не производит никаких модификации TLS директории. (ну кроме пожалуй обнуления двордов по адресам Start address of raw data и end address of raw data).

Вот, значит нужно обнулить от Start address of raw data и до end address of raw data. А потом что делать, если допустим нет callback'ов.

| Сообщение посчитали полезным:

GlOFF пишет:
Вот, значит нужно обнулить от Start address of raw data и до end address of raw data.
Это вовсе необязательно.

GlOFF пишет:
А потом что делать, если допустим нет callback'ов.
После этого управление передаётся на EP, естественно с коррекцией стека.

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Smon Если допустим нет callback'ов.
Smon пишет:
После этого управление передаётся на EP, естественно с коррекцией стека.
Ок. Но затерев описание директории (IMAGE_DIRECTORY_ENTRY_TLS), файл перестает работать. Если callback'и не выполняются, то чтоже сделать с файлом?

Или если есть директория IMAGE_DIRECTORY_ENTRY_TLS, то уже нельзя избавиться от неё.

| Сообщение посчитали полезным:

GlOFF
Ты прот чтоль свой пишешь ?

Jupiter пишет:
лучше определять по наличию/отсутствию в импорте оригинальной проги функций по работе с TLS:
TlsAlloc, TlsFree, TlsGetValue, TlsSetValue

GlOFF
Смотри в сторону этих апи, полностью убрать тлс из делфи\билдера можно.
Скачай ntkrnl protector, и посмотри как он это делает

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Smon Спасибо за подсказки, ушел разбираться.

| Сообщение посчитали полезным: