收集点关于FS寄存器的资料

转载 2010年02月11日 11:14:00

From: http://blog.csdn.net/xbin8/archive/2008/03/08/2158762.aspx

 

FS寄存器指向当前活动线程的TEB结构(线程结构)
偏移  说明
000  指向SEH链指针
004  线程堆栈顶部
008  线程堆栈底部
00C  SubSystemTib
010  FiberData
014  ArbitraryUserPointer
018  FS段寄存器在内存中的镜像地址
020  进程PID
024  线程ID
02C  指向线程局部存储指针
030  PEB结构地址(进程结构)
034  上个错误号


得到KERNEL32.DLL基址的方法
assume fs:nothing             ;打开FS寄存器
mov eax,fs:[30h]            ;得到PEB结构地址
mov eax,[eax + 0ch]        ;得到PEB_LDR_DATA结构地址
mov esi,[eax + 1ch]        ;InInitializationOrderModuleList
lodsd                      ;得到KERNEL32.DLL所在LDR_MODULE结构的InInitializationOrderModuleList地址
mov edx,[eax + 8h]         ;得到BaseAddress,既Kernel32.dll基址
 

收集点关于FS寄存器的资料

FS寄存器指向当前活动线程的TEB结构(线程结构)偏移  说明000  指向SEH链指针004  线程堆栈顶部008  线程堆栈底部00C  SubSystemTib010  FiberData014...
  • xbin8
  • xbin8
  • 2008年03月08日 21:40
  • 5049

FS寄存器资料

FS寄存器指向当前活动线程的TEB结构(线程结构)偏移  说明000  指向SEH链指针004  线程堆栈顶部008  线程堆栈底部00C  SubSystemTib010  FiberData014...
  • yushiqiang1688
  • yushiqiang1688
  • 2010年01月04日 09:18
  • 2024

fs寄存器 资料

FS寄存器指向当前活动线程的TEB结构(线程结构)偏移  说明000  指向SEH链指针004  线程堆栈顶部008  线程堆栈底部00C  SubSystemTib010  FiberData014...
  • whf727
  • whf727
  • 2009年08月24日 14:31
  • 1054

浅谈FS段寄存器在用户层和内核层的使用

在R0和R3时,FS段寄存器分别指向GDT中的不同段:在R3下,FS段寄存器的值是0x3B,在R0下,FS段寄存器的值是0x30.分别用OD和Windbg在R3和R0下查看寄存器(XP3),下图: ...
  • py_panyu
  • py_panyu
  • 2015年04月12日 17:05
  • 1108

利用FS寄存器得到任意函数地址

[plain] view plaincopy ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;...
  • cosmoslife
  • cosmoslife
  • 2015年11月16日 16:12
  • 421

fs:[0]到底表示什么?fs段寄存器在WINDOWS系统中的作用

fs:[0]到底表示什么?TEB,PEB,TIB,PCRB结构的表示。 fs段寄存器在WINDOWS系统中的作用...
  • CharlesPrince
  • CharlesPrince
  • 2011年04月29日 15:13
  • 10035

Windows中FS段寄存器

本文修订版见:Windows中FS段寄存器 V2线程运行在RING0(系统地址空间)和RING3(用户地址空间)时,FS段寄存器分别指向不同内存段的。线程运行在RING0下,FS段值是0x30(Win...
  • misterliwei
  • misterliwei
  • 2007年06月17日 13:33
  • 4599

为什么进程、线程一些重要信息可以通过FS寄存器简单的取到?

这两天稍微学习了一下寄存器相关知识,
  • zfdyq0
  • zfdyq0
  • 2014年07月14日 22:29
  • 791

汇编fs 寄存器

tangyanzhi11110我的:收件箱资源博客空间设置|帮助|退出 首页业界移动云计算研发论坛博客下载 更多 彼月的专栏 目录视图摘要视...
  • tangyanzhi1111
  • tangyanzhi1111
  • 2013年05月15日 16:12
  • 6738

Win32下FS寄存器、TEB和PEB详解

在Win32下,FS段寄存器指向当前的TEB结构,在TEB编译0x30处是PEB指针,通过这个指针即可获得PED的地址。 实现方法: __asm { mov eax, fs:[0x30] ...
  • u011843461
  • u011843461
  • 2013年09月29日 10:39
  • 2679
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:收集点关于FS寄存器的资料
举报原因:
原因补充:

(最多只允许输入30个字)