反调试常常阻止 OllyDbg / x64dbg 运行， 在 TLS 里崩溃调试器或者结束程序进程。

反调试代码示例：

mov eax, fs:[30h]  ; PEB
cmp byte ptr [eax+2], 1 ; BeingDebugged
je EXIT_PROCESS

2. 壳（packer）/恶意软件（Malware）用于解密重要代码

某些软件保护壳如 VMProtect 会在 TLS Callback 中：

• 解密代码段
• 修改 IAT
• 修改代码段权限

某些恶意软件也会在 TLS Callback 中：

• 解密 .text 或 .data 段：让执行的代码在 TLS 回调里动态恢复。
• 解密 IAT / Import table：绕过杀软静态分析。
• 解密资源（如字符串、配置数据）：延迟到运行时才解密，静态分析不到。
• 解密自身 DLL 代码段：用于保护 DLL 注入后的第一段代码。
• 解密配置信息（远控服务器C2地址、密钥）：恶意软件常用。
• 自动自毁/修补：反分析时自动破坏自身以防逆向。

3. 软件保护：初始化 HOOK、补丁

一些程序会在 TLS 回调里进行：

• Inline Hook 自身函数
• 禁用调试器
• 注入代码
• 检测硬件断点、软件断点

4.恶意软件行为

• 在 main() 之前执行恶意逻辑，防止分析工具进入程序入口。
• 隐藏恶意行为，分析者下断到 main 还没看到恶意行为。
• 创建新的线程： 恶意线程在 TLS 阶段启动，不容易被发现。
• 重定向执行流（自定义入口）： 把真正的 main 隐藏起来。

什么时候 强烈推荐 把某些代码放进 TLS 执行 ？

• 做软件保护（反破解）
• 做壳
• 做反调试
• 做加密逻辑
• 做木马（恶意软件）
• 做防注入
• 做关键代码的完整性检查
• 需要在 OEP 之前执行

如果你正在研究逆向、HOOK、注入、防调试，那么 TLS 是神器。

PE 文件结构之解析TLS

TLS 结构位置

在扩展PE 头Optional Header 的 Data Directory 项中有一个：

IMAGE_DIRECTORY_ENTRY_TLS (索引（下标）：9)

typedef struct _IMAGE_TLS_DIRECTORY32 {
    DWORD StartAddressOfRawData;
    DWORD EndAddressOfRawData;
    DWORD AddressOfIndex;       
    DWORD AddressOfCallBacks;   // 指向 TLS Callback 数组
    DWORD SizeOfZeroFill;
    DWORD Characteristics;
} IMAGE_TLS_DIRECTORY32;

typedef struct _IMAGE_TLS_DIRECTORY32 {
    DWORD StartAddressOfRawData;
    DWORD EndAddressOfRawData;
    DWORD AddressOfIndex;       
    DWORD AddressOfCallBacks;   // 指向 TLS Callback 数组
    DWORD SizeOfZeroFill;
    DWORD Characteristics;
} IMAGE_TLS_DIRECTORY32;

IMAGE_TLS_DIRECTORY32* tlsDir = 
    (IMAGE_TLS_DIRECTORY32*)((BYTE*)base + RvaToOffset(dataDir.VirtualAddress));

DWORD* callbacks = (DWORD*)tlsDir->AddressOfCallBacks;

while (*callbacks)
{
    printf("TLS Callback: %p\n", (void*)*callbacks);
    callbacks++;
}

操作系统 loader →
    执行 TLS Callback →（全部） →
    C/C++ 静态初始化（全局对象构造等） →
    mainCRTStartup →
    main() 或 WinMain()

DLL 被加载 →
  加载器初始化（LdrInitialize） →
    TLS Callback 执行（全部 TLS 回调） →
    C/C++ CRT 静态初始化（全局对象构造、全局变量初始化） →
    DLL入口点 DllMain(DLL_PROCESS_ATTACH)