TLS, TLS 콜백함수

TLS, Thread Local Storage

• 스레드: 프로세스 내 실행 예약 담당 엔터티
  프로세스의 모든 스레드는 가상 주소 공간, 시스템 리소스를 공유하는데 TLS가 이를 담당(관리)
• 각 스레드에 데이터를 공유/제공하기 위한 공간
  • 스레드별 독립된 데이터 저장 공간
• TLS를 통해 프로세스의 전역 인덱스를 사용하여 각 스레드에 데이터를 제공
• 한 스레드에서 인덱스를 할당을 담당
• TLS 동작 방식
  • TLS와 스레드별 인덱스(gdwTlsIndex)를 할당 
  • 데이터를 저장할 메모리 블록(Data)을 할당하고 TLS 슬롯에 해당 메모리 블록에 대한 포인터 저장
  • TLS 슬롯에서 메모리 블록에 대한 포인터를 검색하고 이를 지역 변수 lpvData에 저장

How TLS works

 

 

 

TLS 콜백함수

• 프로세스의 스레드가 생성/종료될 때마다 자동으로 호출되는 콜백함수
• 일반적으로 하나가 생성되지만 여러 개도 가능
• TLS 데이터 개체에 대한 추가 초기화 및 종료를 지원
  • 객체에 대한 생성자와 소멸자(constructors and destructors) 호출
• 콜백함수는 프로세스의 메인 스레드가 생성될 때에도 호출
  ⇒ EP 코드보다 먼저 실행
• 안티 디버깅 기법으로 활용되기도 함
• TLS 콜백함수 형식 
  • DllHandle: TLS 콜백함수를 포함하는 DLL의 핸들
  • Reason: TLS 콜백함수가 호출된 이유
    • DLL_PROCESS_ATTACH(1): 메인 스레드가 main 함수 호출 전 등록된 TLS 콜백함수들을 호출
    • DLL_THREAD_ATTACH(2): TLS 콜백함수들이 모두 종료되면 main 함수가 실행되고 사용자 스레드(ThreadProc)를 생성하는 순간 TLS 콜백함수들이 호출됨
    • DLL_THREAD_DETACH(3): TLS 콜백함수들이 모두 종료되면 ThreadProc 스레드 함수가 실행되고, 스레드 함수가 종료되는 순간 TLS 콜백함수들이 호출됨
    • DLL_PROCESS_DETACH(0): ThreadProc() 스레드가 종료되면 스레드의 종료를 기다리던 main 함수(메인 스레드)도 종료되고, TLS 콜백함수들이 호출됨
  • Reserved: 예약된 매개변수. 0으로 설정

typedef VOID
(NTAPI *PIMAGE_TLS_CALLBACK) (
    PVOID DllHandle,
    DWORD Reason,
    PVOID Reserved
    );

 

 

 

TLS 콜백함수 예제: HelloTls.exe (reversecore)

• HelloTls.exe은 실행하면 Hello :) 메시지 박스를 출력하는 간단한 프로그램

HelloTls.exe 실행 화면

 

• 디버거를 통해 프로그램을 실행하면 Debugger Detected! 문자열을 출력

디버거를 통한 HelloTls.exe 실행 화면

 

• 안티 디버깅을 위해 IsDebuggerPresent 함수를 먼저 실행하여 디버거 유무를 판단
• 디버거가 감지되면 Debugger Detected! 문자열을 출력하는 메시지 박스를 출력하고 프로세스를 종료

Anti-Debugging code of HelloTls.exe

 

　　　⇒ TLS 콜백함수를 통해 entry point 코드보다 안티 디버깅 코드가 먼저 실행

 

• 프로그램에서 TLS를 사용하면 PE 헤더 Data Directory에 TLS Table이 세팅됨

TLS Table

 

• TLS Directory 구조체
  • Address of Callbacks에 TLS 콜백함수 주소가 있음 (배열 형태)

TLS Directory

 

• Address of Callbacks(VA 408110)에 있는 TLS 콜백함수의 주소: 0x401000

Address (array) of TLS Callbacks

실제 TLS 콜백함수의 주소

 

 

 

 

 

 

 

 

 

Ref.

[1] Learn Microsoft, "Thread Local Storage"