Скачал сорцы win2k,смотрю в ldrinit.c ,и меня терзает смутное ощущение что чего то нехватает...
1.Я правильно понимаю что весь апи системного загрузчика находится в ntdll ?
2.Функция LdrpInitializeProcess готовит только адресное пространство для процесса?Или еще настраивает образ экзешника этого самого будущего процесса?
3.Функции LdrpInitializeTls(для длл) и LdrpAllocateTls(для потоков процесса) выделяют память под TLS переменные в ап процесса,и копируют туда содержимое этих переменных?
4.А для чего тогда LdrpCallTlsInitializers ?
5.И мне совсе непонятно какой код приводит изначальные "адреса" TLS переменных в коде образа экзешника,к VA которые были выделенны LdrpInitializeTls и LdrpAllocateTls

ЗЫ:надеюсь найдется добрый человек который хоть частично в направлении истины направит )

| Сообщение посчитали полезным:

Надо смотреть x64 библиотеки.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill
Есть идея потыкать контекст активации(IDP + барьер + маршрутизация). Что вы думаете по этому поводу ?

| Сообщение посчитали полезным:

Мне такие вещи не интересны. Меня интересуют исключительно манипуляции с PE файлами.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

bowrouco пишет:
"LDR: Tls Found in %wZ at %p",LFLdrpInitializeTls"LDR: TlsVector %x Index %d = %x copied from %x to %x",LFLdrpAllocateTls"LDR: Tls Callbacks Found. Imagebase %p Tls %p CallBacks %p",LF,"""LDR: Calling Tls Callback Imagebase %p Function %p",LF,""LdrpCallTlsInitializers
По этому тексту в 7ке уже точно не найти ни LdrpCallTlsInitializers ,ни LdrpInitializeTls

| Сообщение посчитали полезным:

Там даже имена апи есть. Просто проблема поиска может быть в том, что инструкции принадлежащие процедуре размазаны по всему модулю. Тогда сложно найти ссылку на инструкцию, ссылку на ссылку и тд., придётся каждый раз сканить образ, проверять ветвления и прочий код..
Иначе описываем код, следующий за загрузкой kernel32 графом с фиксированным NL. Ищем в этом слепке ссылку на текст и раскрыв обратные ссылки найдём начало процедуры.

| Сообщение посчитали полезным:

А не проще полностью проэмулировать TLS механизм, чем искать его куски в библиотеках?

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill
Не проще. Даже щас семпл запилю.

http://indy-vx.narod.ru/DLab/Tls.zip

| Сообщение посчитали полезным:

Где бы можно почитать о графах в реверсинге?

| Сообщение посчитали полезным:

bowrouco пишет:
IDP + барьер + маршрутизация
здрасте, бровко.)
барьер, маршрутизация - можно гдет почитать, особенно барьер заманчиво звучит)

| Сообщение посчитали полезным:

ASMatic
Допустим имеется связанный список, обычно это структура LIST_ENTRY. Это связи обьекта в списке обьектов. Мы отслеживаем обращение к определённому элементу этого списка, разбив ссылку в этой структуре. Так мы отследим раскрытие ссылки. Если же выполняется вставка обьекта в список, то мы опять же отследим раскрытие ссылки, но последний раз - после этого она будет изменена и дальнейшее обращение по ней не будет отслежено. Чтоб это обойти нужно восстанавливать ссылку, после каждого её изменения. Механизм восстановления её и является барьером.

Маршрутизация - отложенная передача управления.

| Сообщение посчитали полезным:

bowrouco
все гениальное просто - сенкс.

| Сообщение посчитали полезным:

А что находится в этом списке TEB::TlsLinks ?

| Сообщение посчитали полезным:

Кто нибудь может прокомментировать как это http://exelab.ru/f/action=vthread&forum=6&topic=11895&page=0#19 должно работать?Это ведь явно не подмен образа во время инициализации загрузчика.Ведь если переписать образ своего згрузчика во время инициализации,то указатель на IMAGE_TLS_DIRECTORY в загрузчике "сломается",и будет исключение.Этот метод вообще может быть рабочим?Что то я его непонимаю

| Сообщение посчитали полезным:

Yotsi там DrFits не понял вопроса и начал рассказывать про эмуляцию TLS callbacks. Конкретно про эмуляцию TLS callbacks он правильно сказал, а про эмуляцию всего TLS (что нужно тебе) там нет ни слова.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Я немогу вьехать,почему IMAGE_TLS_DIRECTORY::StartAddressOfRawData не равен RVA .tls секции

| Сообщение посчитали полезным:

А кто вообще обещал, что должен? Тем более, что там VA, насколько помню.

| Сообщение посчитали полезным:

Скажу по секрету, под tls вообще может не быть отдельной секции.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill
Мы будем рады если вы обьясните как на асме сконпилеть тлс директорию

А что она не связана с секцией так это очевидно. Описание директории паблик ntimage.h, изучать до достижения профита. Был есчо на мс годны док, но это излишне по моему.

| Сообщение посчитали полезным:

bowrouco
--> Компилят люди тлс на фасме <--

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL
Какбэ фасм != масм(не думал что вам нужно уточнять компиль). Мне пофиг на фасмы и прочее г.

| Сообщение посчитали полезным:

На фасме по моему любую директорию можно скомпилить, bowrouco я думал ты знаешь об этом.

ЗЫ А на масме вот юпитер постил ссылку https://wasm.ru/forum/viewtopic.php?id=27325 только она сдохла, когда появится юпитер может выложит, если осталось.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill
Фасм это типо хекс редактор. Для нукбья(дальше хеловорда на нём никто не уехал). Студия и пр. юзают масм и стандартный линкер. Вы даже стандартных опций линкера не знаете(_tls_used) оказывается, всё с вами ясно, вопросов больше нет

| Сообщение посчитали полезным:

Archer пишет:
А кто вообще обещал, что должен? Тем более, что там VA, насколько помню.
Спасибо, теперь все понятно.

| Сообщение посчитали полезным:

подскажите как для одно поточной програмы на делфи удалить тлс

все что я понял в fs:[2ch] есть указатель на tls

т.е. я в програме делфи самостоятельно меняю tls index в 0. а дальше что я должен сделать? что засунуть в fs:[2ch]

| Сообщение посчитали полезным: