افزايش امنيت برنامه با استفاده از TLS CallBACK

[دنیای دلفی]

استفاده از اين تكنيك بسيار مفيد است و كمك زيادي در حفاظت از برنامه مي كند .
با استفاده از اين تكنيك مي توانيد بخشي از كدهاي بررسي قفل را قبل از رسيدن به EntryPoint چك و ترتيب ديباگر و كركر را دارد من موفق شدم به نوعي با استفاده از DLL اون را پياده سازي كنم .
از دوستان تقاظا مي شود كه روش صحيح استفاده از اين تكنيك را آموزش دهند .
من يافته هاي خودم را قرار مي دهم :

مرحله اول ايجاد DLL :

library DLL_EntryPoint;



uses

  SysUtils,

  Windows,

  Forms,

  Classes,

  Dialogs;

{$R *.res}



procedure book; stdcall;

begin

    //Dummy



end;



procedure DLLEntryPoint(dwReason: DWORD); stdcall; //register; //stdcall;

begin

    case dwReason of

     DLL_THREAD_DETACH : ShowMessage('Thread Detach'); //0

     DLL_PROCESS_ATTACH: //1

                        begin

                            // بررسي قفل



                        end;

     DLL_THREAD_ATTACH : ShowMessage('Thread Attach'); //2

     DLL_PROCESS_DETACH: //3

                        begin



                            // بررسي قفل

                        end;

    end;

end;





exports

 DLLEntryPoint,book;



begin

    //DLLEntryPoint is specifically a Win32 and C++‎ implementation

    //DLLProc is a pointer variable from the SYSTEM Unit (automatically included)

    //The SYSTEM Unit is responsible for executing code assinged to DLLEntryPoint

    DLLProc := @DLLEntryPoint; //Assign the address of DLLEntryPoint to DLLProc

    DLLEntryPoint(DLL_PROCESS_ATTACH); //Indicate that the DLL is attaching to the process

end.

 

استفاده در برنامه اصلي :

unit Unit1;



interface



uses

  Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,

  Dialogs, StdCtrls;



type

  TForm1 = class(TForm)

    Button1: TButton;

    procedure Button1Click(Sender: TObject);

  private

    { Private declarations }

  public

    { Public declarations }

  end;

procedure book ;

  stdcall; external 'Dll_EntryPoint.DLL';



var

  Form1: TForm1;



implementation



{$R *.dfm}



procedure TForm1.Button1Click(Sender: TObject);

begin

      book;

end;



end.

منتظر كد هاي شما هستم

[دنیای دلفی]

يك سري اطلاعات ديگر پيدا كردم دوستان لطفا كمك كنند :

- Uncategorized anti-debug

 (1) TLS-callback

 This anti-debug was not so well-known a few years ago. It consists to instruct the 

PE loader that the first entry point of the program is referenced in a Thread Local 

Storage entry (10th directory entry number in the PE optional header). By doing so, the program entry-point won’t be executed first.

 The TLS entry can then perform anti-debug checks in a stealthy way.

Note that in practice, this technique is not widely used.

Though older debuggers (including OllyDbg) are not TLS-aware, counter-measures are quite easy to 

take, by the means of plugins of custom patcher tools.

 (2) CC scanning

 A common protection feature used by packers is the CC-scanning loop, aimed at detecting software breakpoints set by a debugger. If you want to avoid that kind of troubles, you

 may want to use either hardware breakpoints or a custom type of software breakpoint. CLI (0xFA) is a good candidate to replace the classic INT3 opcode. This instruction does have the 

requirements for the job: it raises a privileged instruction exception if executed by a ring3 program, and occupies only 1 byte of space.

 (3) EntryPoint RVA set to 0

 Some packed files have their entry point RVA set to 0, which means they will start executing ‘MZ…’ which corresponds to ‘dec ebx / pop edx …’.

 This is not an anti-debug trick in itself, but can be annoying if you want to break on the entry-point by using

 a software breakpoint.

 If you create a suspended process, then set an INT3 at RVA 0, you will erase part of the magic

 MZ value (’M'). The magic was checked when the process was created, but it will get 

checked again by ntdll when the process is resumed (in the hope of reaching the entry-point). 

In that case, an INVALID_IMAGE_FORMAT exception will be raised.

 If you create your own tracing or debugging tool, you will want to use hardware breakpoint to

 avoid this problem.

[B-Vedadian]

در باره چی کمک کنند؟

در مورد نحوه استفاده صحیح از TLS CallBack هم روش اینه:

1-تو برنامه خودت یکی با بیشتر رویه مشابه DLLEntryPoint که تو بالا نوشتی مینویسی.
2-آدرس رویه های مذکور رو به جدول TlsTable هدر فایل اجرایی اضافه میکنی.(یکی از راهاش استفاده از LordPEیه، راه بهتری رو من بلد نیستم)

با این کار بدون DLL هم همون اتفاق میافته (قبل رسیدن به Entry Point توابع مورد نظر شما اجرا میشند)

[دنیای دلفی]

2-آدرس رویه های مذکور رو به جدول TlsTable هدر فایل اجرایی اضافه میکنی.(یکی از راهاش استفاده از LordPEیه، راه بهتری رو من بلد نیستم)

در اين مورد بيشتر توضيح دهيد يا يك مثال بگذاريد .

ممنون مي شوم

[دنیای دلفی]

من LoardPe را دانلود كرده ام ولي چگونه بايد آدرس را به جدول TlsTable اضافه كنم

[ali ahwaz top]

باباجون پیچش ندید اینم یه سورس کد روشن و ساده برای TLS-CallBack

[B-Vedadian]

باباجون پیچش ندید اینم یه سورس کد روشن و ساده برای TLS-CallBack

اگه سورسشو بخوني ميبيني همين چيزايي که نوشتم رو گفته. بعد از اينکه کامپايلش کردي بايد با LordPE آدرس جدول TLS رو به اونجايي که نوشته تغيير بدي.

من LoardPe را دانلود كرده ام ولي چگونه بايد آدرس را به جدول TlsTable اضافه كنم

چون خود دلفي يک Callback براي ترد اصلي داره، بهترين راه اينه که آدرس فعلي Callback رو يه جايي يادداشت کني. بعد تو پروسه DLLEntry جديدي که نوشتي بعد کارهاي اوليه، رويه قديمي(آدرسي که يادداشت کردي) رو هم صدا بزني. در نهايت تو جدول Tls بجاي آدرس قديمي، آدرس رويه خودت رو بنويس.

[Sir.V65j]

حالا فکر کنین این آدرسی که تغییر دادین رو بیایم به حالت اصلی برگردونیم چی می شه؟! دیگه اون توابع اجرا نمی شن! ÷س می شه نتیجه گرفت نباید تنها به این روش اعتماد کرد .

[دنیای دلفی]

مجموعه كل روشهاي آنتي ديباگ را همه كركرها نمي دانند شما با هر روش گروه خاصي از كركرها را حذف مي كنيد . و و و و . . .

[B-Vedadian]

حالا فکر کنین این آدرسی که تغییر دادین رو بیایم به حالت اصلی برگردونیم چی می شه؟! دیگه اون توابع اجرا نمی شن!

برگردوندن آدرس اولیه، یک پروسه است که باید جلوشو گرفت، اولین راهش هم اینه که آدرس رویه دلفی رو بدون کد کردن و از این بحثها، تو رویه خودت استفاده نکنی. این درسته که نباید به این روش اکتفا کرد، ولی از بین بردن محافظتی که این طوری انجام شده، لزوما کار آسونی نیست.

در ضمن، خوبه بعضی از عملیات مقدار دهی آغازی یا هر چیزی که ادامه برنامتون بهش وابسته باشه رو بعد از در نظر گرفتن و اعمال روشهایی که کار Disassembly رو سخت میکنه، تو همین Callback بذارید.

[دنیای دلفی]

اگر ممكن است در خصوص استفاده از LordPe يك توضيح گام به گام بگذاريد . سر فرصت

[ICEMAN]

سلام ..
http://www.nynaeve.net/?p=180
اينجا توضيحاتي داده كه دونستنش خالي از لطف نيست

[مهران موسوی]

با سلام خدمت دوستان عزيز .

من وقتي داشتم دنبال مطالبي در مورد TLS CALLBACK بدون وابستگي به dll ميگشتم يك فايل داخل ارشيو فايلهام پيدا كردم كه متاسفانه سورسي همراش نبود .

هر چقدر با LordPE زيرو روش كردم هيچ تغييري توش نديدم .

ولي به درستي TLS CALLBACK در اون پياده سازي شده !!!!

روش كارش فكر ميكنيد چي باشه ؟

راستي دنياي دلفي عزيز شما نتونستي TLS CALLBACK بدون وابستگي به dll رو بفهمي چه جوري بايد پياده سازي كرد ؟

اگه چيز جديدي فهميدي لطفا راهنمايي كن در اين زمينه .

[Securebit]

از قسمت PE Editor فايلتون رو انتخاب بر روي دکمه Directories کليک بعد بر روي دکمه روبروي TlsTable کليک کرده مقدار SizeOfZeroFill رو به 00000000 تغيير دهيد بعد هم Save و تمام ديگر Tls در کار نيست به همين راحتي.

[مهران موسوی]

ممنون برديا جان . اينجوري كه خيلي ساده ميشه TLS CallBack رو منسوخ كرد !

راهي هست كه نشه به اين راحتي ها از كار بيكارش كرد ؟

[Nima NT]

ممنون آقا بردیا.
یه سوال داشتم , پس چطوری هست که تکنیک مورد استفاده در پروتکتور ExeCryptor رو که اگر اشتباه نکنم همین TLS Callback هست رو با این تکنیک نمیتونن دور بزنن ؟
هر جا دیدم واسه آنپک کردن اومدن تنظیمات Olly رو عوض کردن , آیا اینکه نمیتونن همین کاری که شما گفتید رو انجام بدن بر میگرده به CRC Check فوق العاده همین پروتکتور ؟

[Securebit]

البته این روش در مورد ExeCryptor هم مصداق دارد ولی با این تفاوت که بعد از آنپک فایل صورت میگیرد.

[دنیای دلفی]

ديگه زياد TLS فايده نداره روشهاي بهتري هم هست كه بهشون دسترسي پيدا كردم دارم به HotLock با دقت اضافشون مي كنم به خاطر همينه عرضه نسخه بتا به تعويق افتاده .
منتظر خبرهاي جديد باشد . خبري در راه است

[مهران موسوی]

مثلا چه روشهايي ؟

[Nima NT]

بابا ای ول ....
منتظر هستیم.

[Syamah]

باباجون پیچش ندید اینم یه سورس کد روشن و ساده برای TLS-CallBack

Error: Debuger Not Found

[Nima NT]

Error: Debuger Not Found

میشه منظورتون رو کمی توضیح بدین ؟!؟!؟!

[Babak.Hassanpour]

در این زمینه سورسی برای وی بی ( ترجیحا 6 ) دارید؟

[دنیای دلفی]

درخصوص نوع زبان مهم نيست همون فايل dll را كه توي دلفي نوشته شده به VB بازنويسي كنيد مي شه مال VB