JIURL玩玩Win2k进程线程篇 TEB

最新推荐文章于 2020-05-02 13:58:33 发布
最新推荐文章于 2020-05-02 13:58:33 发布
阅读量2.6k 收藏
点赞数
文章标签: struct exception attributes string thread function
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/imquestion/article/details/16424
版权
本文深入探讨了Windows 2000系统中进程和线程的交互,重点关注线程环境块(TEB)结构。通过解析TEB的各个字段,包括struct、exception处理、attributes、线程字符串和函数调用,揭示了系统如何管理和维护线程状态。了解这些基础知识对于系统级编程和调试至关重要。
摘要由CSDN通过智能技术生成

JIURL玩玩Win2k进程线程篇 TEB

作者: JIURL

                主页: http://jiurl.yeah.net

    日期: 2003-7-30

    TEB,Thread Environment Block,线程环境块。位于用户地址空间。在比 PEB 所在地址低的地方,比如 0x7FFDF000,0x7FFDE000。每个线程都有自己的一个 TEB。由于 TEB 在用户地址空间,所以本进程中运行在用户模式下的代码就可以访问 TEB 结构。Win2k Build 2195 中一个线程的 ETHREAD 结构偏移 +020 处的 *Teb 指向这个线程的 TEB 结构。在 undocumented.ntinternals.net (需要注意的是这是个非官方的站点)我们可以找到 TEB 及其相关结构的定义。从 kd 中也可以找到一些相关结构的定义。我们首先列出结构的定义,然后对一些内容进行说明。

// 来自 undocumented
最低0.47元/天 解锁文章
imquestion
关注
JIURL玩玩Win2k进程线程 ETHREAD
jiurl的专栏
08-18 2918
JIURL玩玩Win2k进程线程 ETHREAD作者: JIURL                 主页: http://jiurl.yeah.net     日期: 2003-7-30     每个线程都有一个 ETHREAD 结构。Win2k Build 2195 中 ETHR
JIURL玩玩Win2k进程线程 PEB
jiurl的专栏
08-18 2759
JIURL玩玩Win2k进程线程 PEB 作者: JIURL                 主页: http://jiurl.yeah.net     日期: 2003-7-30     PEB,Process Environment Block ,进程环境块。位于用户地址空间。
JIURL玩玩Win2k进程线程 EPROCESS
jiurl的专栏
08-18 3811
JIURL玩玩Win2k进程线程 EPROCESS作者: JIURL                 主页: http://jiurl.yeah.net     日期: 2003-7-30     每个进程都有一个 EPROCESS 结构,里面保存着进程的各种信息,和相关结构的指针
利用TEB和PEB在3环 断链模块 遍历模块
qq_41490873的博客
05-02 788
nt!_TEB +0x000 NtTib : _NT_TIB +0x01c EnvironmentPointer : Ptr32 Void +0x020 ClientId : _CLIENT_ID //UniqueProcess UniqueThread 进程ID +4 线程ID +0x028 ActiveRpcHan...
FS寄存器指向当前活动线程TEB结构(线程结构)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
09-04 3478
FS寄存器指向当前活动线程TEB结构(线程结构) 偏移 说明 000 指向SEH链指针 004 线程堆栈顶部 008 线程堆栈底部 00C SubSystemTib 010 FiberData 014 ArbitraryUserPointer 018 FS段寄存器在内存中的镜像地址 020 进程PID 024 线程ID 02C 指向线程局部存储指针 030 PEB
JIURL玩玩Win2k内存
08-17
JIURL玩玩Win2k内存
PEDump.zip_ JIURL PEDUMP_ dump_R-Tree_coff_pedump
最新发布
09-22
PEDUMP程序自从1994年的版本以来,已经有了明显的改善。它可以显示在PE里的每一个数据类型,包括: IMAGE_NT_HEADERS   输入/输出表   资源   基址重定位 ... 除了可导出PE可执行文件外,PEDUMP也能导出COFF格式的...
(转载)Win2k内存 分页机制 (二)
feijj2002_的专栏
09-10 1778
JIURL玩玩Win2k内存 分页机制 (二)作者: JIURL                 主页: http://jiurl.yeah.net     日期: 2003-7-30 8种转换由于页表被映射到了0xc0000000 开始的4MB地址空间。所以我们也可以象CPU那样完成虚拟地址到物理地址的转换。系统按照对应虚拟空间的先后顺序,把一个进程的页表映射在0xc0000000 开始的4M
JIURL键盘驱动
04-10
"JIURL键盘驱动"是专为JIURL品牌键盘设计的驱动程序,它允许操作系统识别并有效地控制这个特定品牌的键盘,确保键盘上的按键能够正确地将输入指令传递给计算机。 首先,我们要理解驱动程序的基本概念。驱动程序,或...
通过TEB遍历进程模块
Koma的主页
04-03 3282
#include "StdAfx.h" #include #include #include typedef struct _PEB_LDR_DATA { UINT Length; BYTE Initialized; void* SsHandle; LIST_ENTRY InLoadOrderModuleList; } PEB_LDR_DATA, *PPEB_LDR_DATA;
TEB(线程环境块)学习
weixin_44156885的博客
09-11 5280
文章目录TEBTEB结构中的两个重要成员NtTib成员PEB成员PEB.BeingDebuggedPEB.ImageBaseAddressPEB.LdrPEB.ProcessHeap & PEB.NtGolbalFlag TEB TEB结构中的两个重要成员 +0x000 NtTib :_NT_TIB . . . +0x30 ProcessEnvironmentBlock ...
windbg获取TEB线程环境块)信息
qq_35426012的博客
10-23 2224
windbg下载安装配置符号路径 如果是win10直接下载windbg预览版,预览版只有win10才能用,我的是win7所以下载的是老版本的,老版本去官网中的win10 sdk中下载 链接:https://developer.microsoft.com/zh-cn/windows/downloads/sdk-archive 下载后会有x86和64位两个版本,两个版本都要配置符号路径,否则只能使用...
TEB结构思考
stonesharp的专栏
11-08 4611
在网上看到的一文章如下: TEB与PEB的结构分析,如阿燐燐所诉FS寄存器指向当前活动线程TEB结构(线程结构)    用OD打开一个任意程序可以看到FS段寄存器的状况,其中选择子是003B,在GDT中的起始位置是7FFDF000,大小是00FFFFFF,是一个RING3的调用门。 在数据窗口中跟踪7FFDF000然后以长型地址的方式查看数据,可以完整的看到TEB结构 ,
遍历进程线程
qq_25420503的专栏
03-02 1374
typedef struct _CL_PROCESS_THREADINFO { LPVOID pvStartAddr; // 线程的起始地址 DWORD dwTid; // 线程Id WCHAR wszModuleName[MAX_PATH]; // 所属的模块路径 }CL_PROCESS_THREADINFO;  BOOL CLThread::QueryThreadInf
用ollydbg浅识TEB和PEB用来反跟踪
weixin_30267691的博客
08-28 223
本文目的:借助工具直观接触TEB和PEB。 首先,来了解下什么是TEB和PEB。 TEBThread Environment Block,线程环境块):系统在此TEB中保存频繁使用的线程相关的数据。位于用户地址空间。进程中的每个线程都有自己的一个TEB。一个进程的所有TEB都以堆栈的方式,存放在从0x7FFDE000(WinXP,当然,不同的系统可能位于不同的地址)开始的线性内存中,每4KB...
teb,peb 数据结构原型
weixin_34128501的博客
05-18 266
为什么80%的码农都做不了架构师?>>> ...
TEB结构说明
IT男也疯狂
05-25 9113
kd> dt _teb nt!_TEB +0x000 NtTib : _NT_TIB +0x01c EnvironmentPointer : Ptr32 Void +0x020 ClientId : _CLIENT_ID :1.可以得到当前进程的ID,我们应该这样子得到呢? +0x028 ActiveRpcHandle : Ptr3
TEB PEB
Tan小白的日常
04-24 231
PEB typedef struct _PEB { UCHAR InheritedAddressSpace; // 00h UCHAR ReadImageFileExecOptions; // 01h UCHAR BeingDebugged; // 02h UCHAR Spare; // 03h PVOID Mutant; // 04h PVOID
PE文件资源解析:JIURL的学习总结
文档主要探讨了PE(Portable Executable)文件格式中的资源部分,包括如何定位和解析PE文件中的资源,如位图(BMP)、光标、菜单和对话框等。以下是详细的知识点总结: 1. **PE文件结构**:PE文件是一种在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值