Windows中FS段寄存器 V2

最新推荐文章于 2021-12-22 22:48:08 发布
最新推荐文章于 2021-12-22 22:48:08 发布
阅读量438 收藏
点赞数

原文链接:

http://blog.csdn.net/misterliwei/article/details/4391580

 

Windows  FS  段寄存器  V2

[注意:本文是以前文章《WindowsFS段寄存器》的修订版。]

 

    代码运行在 RING0 (系统地址空间)和 RING3(用户地址空间)时,FS 段寄存器分别指向 GDT( 全局描述符表)中不同段:在 RING3 下, FS 段值是 0x3B (这是WindowsXP下值;在 Windows2000 下值为 0x38。差别就是在XP RPL=3 );运行在RING0下时, FS 段寄存器值是 0x30。下面以XP 为例说说。

 

一.          RING3 下的 FS

 

       当代码运行在 Ring3 下时, FS 值为指向的段是 GDT 中的 0x38 段( RPL 为 3 )。该段的长度为 4K ,基地址为 当前线程 的线程环境块( TEB ),所以该段也被称为“ TEB 段”。

       WINXPSP1 及以前的 Windows2000 等系统中,进程环境块( PEB )的地址固定为 0X7FFDF000 ,该进程的第一个线程的 TEB 地址为 0X7FFDE000 ,第二个 TEB 的地址为 0X7FFDD000….. 但是自从 WindowsXP   SP2 开始 PEB 和 TEB 的地址都是随机映射的 ( 详见博文:MiCreatePebOrTeb函数注释   ) 。

 

       下图是 WindowsXP SP3下的TEB 结构 ( 大小为 0XFB8)

nt!_TEB

    +0x000 NtTib             : _NT_TIB

       +0x000 ExceptionList     : Ptr32 

       +0x004 StackBase        : Ptr32

       +0x008 StackLimit        : Ptr32 

       +0x00c SubSystemTib     : Ptr32

       +0x010 FiberData         : Ptr32 

       +0x010  Version           : Uint4B

       +0x014 ArbitraryUserPointer : Ptr32

       +0x018 Self              : Ptr32   <  ——

    +0x01c EnvironmentPointer : Ptr32 

    +0x020 ClientId          : _CLIENT_ID

       +0x000 UniqueProcess     : Ptr32 

       +0x004 UniqueThread      : Ptr32 

    +0x028 ActiveRpcHandle   : Ptr32 

    +0x02c ThreadLocalStoragePointer : Ptr32 

    +0x030 ProcessEnvironmentBlock : Ptr32   <  ——

    +0x034 LastErrorValue    : Uint4B

    +0x038 CountOfOwnedCriticalSections :  Uint4B

    +0x03c CsrClientThread     : Ptr32 

    +0x040 Win32ThreadInfo   : Ptr32

……

 

       FS:[0x18] 就是TEB所在的地址,FS:[0x30]就是PEB所在的地址。由于每个线程的TEB不尽相同,所以GDT中0x30描述符的基地址会随着线程的切换而改变。我们来看看在什么地方变换的。看XP SP2下的SwapContext的代码(该段代码在博文pjf获得SwapContext地址方法的解析http://blog.csdn.net/misterliwei/article/details/3575267中曾被引用,来说明如何获取SwapContext地址):

 

…………

8086dd6c  8b4b40                 mov      ecx,dword ptr [ebx+40h]

8086dd6f  894104                  mov     dword ptr [ecx+4],eax

8086dd72  8b6628                 mov     esp,dword ptr [esi+28h] 

8086dd75 8b4620                  mov     eax,dword ptr [esi+20h]//这两条指令将新线程的TEB 保存在KPRC 

8086dd78  894318                 mov     dword ptr [ebx+18h],eax//的0X18

8086dd7b  fb                          sti

8086dd7c  8b4744                 mov     eax,dword ptr [edi+44h]

8086dd7f  3b4644                  cmp     eax,dword ptr [esi+44h]

8086dd82 c6475000              mov     byte ptr [edi+50h],0

8086dd86  7440                     je       nt!SwapContext+0xe8 (8086ddc8)

8086dd88  8b7e44                 mov     edi,dword ptr [esi+44h]

8086dd8b  8b4b48                 mov     ecx,dword ptr [ebx+48h]

8086dd8e  314834                  xor     dword ptr [eax+34h],ecx

8086dd91 314f34                    xor     dword ptr [edi+34h],ecx

8086dd94 66f74720ffff            test    word ptr [edi+20h],0FFFFh

8086dd9a 7571                       jne     nt!SwapContext+0x12d (8086de0d)

8086dd9c 33c0                       xor     eax,eax

8086dd9e 0f00d0                    lldt    ax

8086dda1  8d8b40050000      lea     ecx,[ebx+540h]

8086dda7  e850afffff               call     nt!KeReleaseQueuedSpinLockFromDpcLevel (80868cfc)

8086ddac 33c0                        xor     eax,eax

8086ddae  8ee8                      mov     gs,ax

8086ddb0  8b4718                  mov     eax,dword ptr [edi+18h] 

8086ddb3  8b6b40                  mov     ebp,dword ptr [ebx+40h]

8086ddb6 8b4f30                    mov     ecx,dword ptr [edi+30h]

8086ddb9 89451c                   mov     dword ptr [ebp+1Ch],eax

8086ddbc 0f22d8                    mov     cr3,eax

8086ddbf  66894d66               mov     word ptr [ebp+66h],cx

8086ddc3  eb0e                      jmp     nt!SwapContext+0xf3 (8086ddd3)

8086ddc5  8d4900                  lea     ecx,[ecx]

8086ddc8  8d8b40050000      lea     ecx,[ebx+540h]

8086ddce  e829afffff               call     nt!KeReleaseQueuedSpinLockFromDpcLevel (80868cfc)

8086ddd3  8b4318                  mov     eax,dword ptr [ebx+18h]//这几句就是将新线程的TEB 的地址

8086ddd6 8b4b3c                   mov     ecx,dword ptr [ebx+3Ch]//更新到GDT 的0X38 描述符的基地址

8086ddd9 6689413a               mov     word ptr [ecx+3Ah],ax   // 中去

8086dddd  c1e810                  shr     eax,10h                 //

8086dde0 88413c                   mov     byte ptr [ecx+3Ch],al   //

8086dde3 88613f                    mov     byte ptr [ecx+3Fh],ah   //

8086dde6 ff464c                     inc     dword ptr [esi+4Ch]

.........

 

二.          RING0 下的 FS

 

    当线程运行在 Ring0 下时, FS 指向的段是GDT中的 0x30 段。该段的长度也为 4K,基地址为0xFFDFF000 (我的 P4 单核 XPSP3 下除了 0FFDFF000外还会有其它值,不是是何原因?)。该地址指向系统的处理器控制区域(KPCR )。这个区域中保存这处理器相关的一些重要数据值,如GDT IDT 表的值等等(关于通过 KPCR获得系统一些重要变量可看博文Windows XP 内核变量)。下面就是WindowsXP sp3中的 KPCR 数据结构:

 

nt!_KPCR

    +0x000  NtTib             : _NT_TIB

       +0x000 ExceptionList       : Ptr32 

       +0x004 StackBase         : Ptr32 

       +0x008 StackLimit        : Ptr32 

       +0x00c SubSystemTib      : Ptr32 

       +0x010  FiberData         : Ptr32 

       +0x010  Version           : Uint4B

       +0x014  ArbitraryUserPointer : Ptr32 

       +0x018 Self              : Ptr32  <  ----

    +0x01c SelfPcr             : Ptr32    <  -----

    +0x020 Prcb              : Ptr32 

    +0x024 Irql              : UChar

    +0x028 IRR               : Uint4B

    +0x02c IrrActive           : Uint4B

    +0x030 IDR               : Uint4B

    +0x034  KdVersionBlock    : Ptr32 

    +0x038  IDT               : Ptr32 

    +0x03c GDT               : Ptr32 

    +0x040 TSS               : Ptr32 

    +0x044 MajorVersion      : Uint2B

……………

 

    看两个地址 0x18 0x1C 。在 TEB 0x18 指向自己,即 TEB 。而KPCR中指向自己的确是 0x1C 0x18 却是指向当前线程的TEB ,所以0x18字段名叫做 Self-used 比较确切( WIN2K源码如此定义)。总之,不管是在RING3 还是 RING0 FS:[0x18]总是指向当前线程的 TEB

 

三.          RING0  RING3  之间的变换

 

       RING0 和 RING3 之间的变换通常是发生在系统调用与返回时,关于系统调用,可参看博文 WINDOWS系统调用    和   SYSENTER系统服务调用过程   。

       FS 在 RING0 和 RING3 中是不同的值,在 KiFastCallEntry / KiSystemService 中 FS 值由 0x3B 变成 0x30 ;在 KiSystemCallExit / KiSystemCallExitBranch / KiSystemCallExit2 中再将 RING3 的 FS 恢复。

 

       下面来看看 KiSystemService 的开头部分代码 (KiFastCallEntry 也是一样 ) :

 

nt!KiSystemService:
808696a1 6a00                                 push    0
808696a3  55                                    push    ebp
808696a4  53                                    push    ebx
808696a5  56                                    push    esi
808696a6  57                                    push    edi
808696a7  0fa0                                 push    fs      ;旧的RING3 下的FS 保存入栈
808696a9  bb30000000                    mov     ebx,30h
808696ae 668ee3                             mov     fs,bx   ;FS=0X30   FS  值变成了0X30. 
808696b1 64ff3500000000               push    dword ptr fs:[0]
808696b8 64c70500000000ffffffff     mov dword ptr fs:[0],0FFFFFFFFh
808696c3  648b3524010000            mov     esi,dword ptr  fs:[124h]  ;ESI=_ETHEAD
808696ca ffb640010000                   push    dword ptr [esi+140h]     ;PreviousMode
808696d0 83ec48                             sub      esp,48h                   ;
808696d3 8b5c246c                          mov     ebx,dword ptr [esp+6Ch]  ; 

…………

 

 

再看看下面的 KiSystemCallExit部分代码:

 

…………
80869945 8d6550            lea     esp,[ebp+50h]
80869948 0fa1              pop     fs //恢复 FS 
8086994a 8d6554            lea     esp,[ebp+54h]
8086994d 5f                pop     edi
8086994e 5e                pop     esi
8086994f 5b                pop     ebx
80869950 5d                pop     ebp
80869951 66817c24088000    cmp     word ptr [esp+8],80h
…………

 

 

 

 

 

 

 

 

十三之一
关注
恶意代码分析总结
weixin_41038905的博客
03-04 422
寄存器类型: 1、CS:代码段寄存器; 2、DS:数据段寄存器; 3、SS:堆栈段寄存器; 4、FS:标志段寄存器 5、GS:全局段寄存器 6、ES:扩展段寄存器 通过读取FS寄存器指定的内存可以获得很多系统关键信息,内核态是fs = 0x30,用户态 fs = 0x3B,fs在内核态指向_KPCR,用户态指向_TEB。 TEB(Thread Environment Block),线程环境块,也就是说每一个线程都会有TEB,用于保存系统与线程之间的数据,便于操作控制。那么Fs:[0x30]就是PEB进程环境
Windows FS 段寄存器
weixin_34408717的博客
11-06 483
代码运行在RING0(系统地址空间)和RING3(用户地址空间)时,FS段寄存器分别指向GDT(全局描述符表)不同段:在RING3下,FS段值是0x3B(这是WindowsXP下值;在Windows2000下值为0x38。差别就是在XP下RPL=3);运行在RING0下时,FS段寄存器值是0x30。下面以XP为例说说。 一.RING3下的FS ...
Windows FS 段寄存器 V2
求索
03-11 1044
Windows FS 段寄存器 V2
断门
qq_41490873的博客
04-15 420
## IDT表在WINDBG查找方式 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20190415211242928.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxNDkwODcz,si...
加壳
dohxxx的博客
12-29 761
加壳 整个头部是以0x200粒度对齐的, 一般情况下,头部都有0x400字节的大小. 整个头部以区段头结尾. 然而区段头并没有完全占用剩下的所有空间, 往往都会有一些剩余的空间被0填充.当添加新的区段头的时候, 其实就是将新的区段头数据填入到这些剩余的填充空间. 下面开始给你的程序开始增加内容,通过2种方法, 不管用什么方法,都需要先记录入口点,一会加区段的时候需要用,如果没记住,会有很大麻...
msr-reg-export.rar_V2
09-21
综上所述,这个压缩包的源代码文件主要关注于Linux内核对处理器缓存管理和MSR寄存器的控制,特别是针对版本2.13.6的`cacheflush`系统调用进行了优化或增强。对于理解和调试Linux内核的缓存行为,以及对Intel处理器...
rtc-test.rar_V2
09-20
"rtc-test.rar_V2" 提供了一个针对Linux内核v2.13.6的RTC测试设备驱动程序,这可能是一个开发者为了调试、优化或测试RTC功能而编写的特殊驱动。 RTC驱动通常包含以下几个主要组成部分: 1. **初始化和注销**:驱动...
linux iio 设备驱动,FS4412开发板使用Linux IIO驱动框架实现ADC驱动
weixin_32391045的博客
05-05 617
1.概述FS4412开发板有一个4通道(0/1/2)、10/12比特精度的 ADC ,其:1)ADCIN0: 在核心板引出2)ADCIN1: 在核心板引出3)ADCIN2: 在核心板引出4)ADCIN3: 连接开发板的VR1电位器本文主要介绍基于IIO驱动框架的ADC的简单实现方法。配置DTS节点FS4412 ADC 的 DTS 节点在 kernel/arch/arm/boot/dts/e...
SD卡数据读取
PJCnp的博客
12-22 4221
绝望系列一、安装Altium Designer 18二、绘制电路原理图1.建立工程2.绘制原理图基本操作数据读取原理sd卡协议寄存器SD卡读取与写入(SPI模式)实验准备连线配置HAL库代码分析结果总结 一、安装Altium Designer 18 ADB 提取码:1108 百度网盘速度你懂的,劝你自己找,我只是给个形式。 后续:操作简单,截图太多,难得写了,给个博客 点我 二、绘制电路原理图 1.建立工程 2.绘制原理图 基本操作 这个软件的基本操作极其反人类(不出意外它绝对不会
Windows核心编程_FS段寄存器
17岁boy的博客
06-21 4557
Windows核心编程_FS段寄存器FS段寄存器Windows用来存储一些进程信息的,FS段的首地址是存储这些进程信息的首地址:在内核态FS指向GDT表的:0x30地址, 在用户态FS=0x3B也就是说当切换到用户态时,操作系统会把进程下正在执行的线程的某些信息写入到0X3B为起始地址的空间里,内核态时候也一样,操作系统也会写入一些关于内核程序的相关信息到0x3B里!由于进程的不同进程信息也不同,...
WindowsFS段寄存器
misterliwei的专栏
06-17 6625
本文修订版见:WindowsFS段寄存器 V2线程运行在RING0(系统地址空间)和RING3(用户地址空间)时,FS段寄存器分别指向不同内存段的。线程运行在RING0下,FS段值是0x30(WindowsXP下值,在Windows2000下值为0x38);运行在
FS寄存器的作用
tanweng的专栏
05-15 7893
确实通过读取FS寄存器指定的内存可以获得很多系统关键信息, 主要是和进线程相关的很多信息,例如 代码: lkd> u PsGetCurrentProcess nt!IoGetCurrentProcess: 804f0700 64a124010000    mov     eax,dword ptr fs:[00000124h] 804f0706 8b4044          mov
10.Windows线程切换_FS段寄存器
My classmates
10-21 515
FS:[0]寄存器在3环时指向TEB.进入0环后FS:[0]指向KPCR 系统同时存在很多个线程,这就意味着FS:[0]在3环时指向的TEB要有多个(每个线程一份)。 但在实际的使用我们发现,当我们在3环查看不同线程的FS寄存器时, FS的段选择子都是相同的,那是如何实现通过一个FS寄存器指向多个TEB呢? 下面是ida的分析代码 ; CODE ...
WindowsFS段寄存器 V2
misterliwei的专栏
07-29 7527
Normal 0 7.8 磅 0 2 false false false MicrosoftInternetExplorer4 <object class
浅谈FS段寄存器在用户层和内核层的使用
weixin_33774615的博客
05-06 558
2019独角兽企业重金招聘Python工程师标准>>> ...
通过PEB遍历当前进程的模块(C语言实现)
aigo10000的博客
05-14 607
0x00 相关说明: Windows应用层如果要遍历当前进程所加载的模块可以使用WIN32API通过进程快照来实现 通过PEB来遍历进程模块没有WIN32API的使用痕迹,在某些场合更加好用 其32位应用程序的 PEB 的地址可以通过 fs:[0x30]获取,fs:[0]为TEB结构的地址 0x01 相关数据结构: 下面的数据结构可以在windbg使用命令查看(使用 dt ...
<转>汇编fs:[0]
weixin_34290390的博客
06-09 505
FS寄存器指向当前活动线程的TEB结构(线程结构)偏移 说明000 指向SEH链指针004 线程堆栈顶部008 线程堆栈底部00C SubSystemTib010 FiberData014 ArbitraryUserPointer018 FS段寄存器在内存的镜像地址020 进程PID024 线程ID02C 指向线程局部存储指针030 PEB结构地址(进程结构)034 上个错误号...
浅谈一下FS段寄存器在用户层和内核层的使用
最新发布
06-09
FS段寄存器是x86架构的一个系统保留寄存器,其主要作用是存储当前线程的线程信息块(Thread Information Block,TIB)的地址。在用户层FS寄存器被用于存储线程的TIB地址,TIB包含了线程的一些重要信息,如线程ID、线程本地存储、异常处理链、线程环境块以及FPU状态等。用户层程序可以通过FS寄存器来访问当前线程的TIB,并获取其的信息。 在内核层FS寄存器同样用于存储线程的TIB地址,但是TIB的结构和内容与用户层不同。在内核层,TIB包含了更多的线程信息,如内核栈地址、系统调用参数、硬件断处理程序堆栈、线程优先级以及调度相关信息等。内核层程序可以通过FS寄存器来访问当前线程的TIB,并获取其的信息。 需要注意的是,在用户层和内核层FS寄存器的使用方式和具体实现略有不同。在用户层,可以使用指令“MOV FS:[0], EAX”来将EAX寄存器的值存储到当前线程的TIB。而在内核层,由于地址空间的切换,需要使用特殊的指令或函数来访问FS寄存器,如“read_fs”和“write_fs”等。 总之,FS段寄存器在用户层和内核层都扮演着重要的角色,用于存储线程信息块的地址,并提供了访问线程信息的接口。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值