Duda parte 54 Ricardo narvaja tabla TLS CALLBACK

.:UND3R:. · 23 Julio 2011, 19:08 PM

Hola a todos bueno tengo una duda con esa parte y es que Ricardo comenta sobre

CitarTLS CALLBACK

, nos dice como encontrarla con ollydbg(PE-HEADER) o con un PE Editor también nos dice que se puede poner un bp directamente en ella en las opciones del pluguins ollyadvance |v|TLS CALLBACK

pero mi dudas son las siguientes:

1)¿para que sirve esta tabla?
2)Si el unpackme que se estaba analizando se requería que se iniciara desde system breakpoint, al estar detenido ahí por qué debe luego detenerse en TLS CALLBACK para luego poner un bpm on execution en la sección code? no sería mejor detenerse en breakpoint system y luego desde ahí poner un bpm on execution en la sección CODE?

Muchas gracias por leer

Saludos

tincopasan · 23 Julio 2011, 19:18 PM

soy muy malo para los packers, y ese tutorial no lo vi, pero las tls callback son porciones de código que se ejecutan antes del Ep, execryptor por ejemplo tiene antes del Ep rutinas que detectan si tenes un bp puesto y te saca, detenerse en las tls te da la dirección para llegar al ep y no ser detectado por ejemplo. Es común poner código en las tls para antidebugger! o anti bp he etc!

.:UND3R:. · 23 Julio 2011, 23:19 PM

Algo he entendido de todas formas gracias, pero habrá algo más específico?

Saludos

karmany · 24 Julio 2011, 00:05 AM

Hace unos días The Swash hizo un tutorial sobre las TLS CALLBACK que colgué en mi Web por si te sirve:
Tutorial TLS CALLBACK por The Swash

.:UND3R:. · 24 Julio 2011, 00:46 AM

Lo leeré detalladamente

Saludos y muchas gracias

.:UND3R:. · 24 Julio 2011, 01:33 AM

Ahora me surge el problema de que al estar ubicado en la TLS CALLBACK borro todos los bp y pongo un bpm on execution pere este lleva horas y todavía no se detiene

Saludos

_Enko · 24 Julio 2011, 05:10 AM

Puedes poner un bp normal, solo que tienes que saber donde esta la funcion callback.
Si sabes que esta por ejemplo en 403044, haces bp 403044 y listo.

.:UND3R:. · 24 Julio 2011, 08:23 AM

Creo que se mal escribí mi pregunta me refería para encontrar el OEP no el TLS CALLBACK es decir me encuentro en el TLS CALLBACK detenido en el pero al estar ahí cuando pongo un bpm execution este a la sección code, este no se detiene nunca

Saludos

_Enko · 25 Julio 2011, 15:41 PM

Cuando salgas del TLS callback, no vas a aterizar en el OEP, sino en el EP.
El metodo de buscar OEP siguen siendo los mismos de siempre, la unica diferencia, que por ejemplo el VirtualAlloc, o VirtualProtect este antes del EP en el TLS.