收集点关于FS寄存器的资料

转载 2010年02月11日 11:14:00

From: http://blog.csdn.net/xbin8/archive/2008/03/08/2158762.aspx

 

FS寄存器指向当前活动线程的TEB结构(线程结构)
偏移  说明
000  指向SEH链指针
004  线程堆栈顶部
008  线程堆栈底部
00C  SubSystemTib
010  FiberData
014  ArbitraryUserPointer
018  FS段寄存器在内存中的镜像地址
020  进程PID
024  线程ID
02C  指向线程局部存储指针
030  PEB结构地址(进程结构)
034  上个错误号


得到KERNEL32.DLL基址的方法
assume fs:nothing             ;打开FS寄存器
mov eax,fs:[30h]            ;得到PEB结构地址
mov eax,[eax + 0ch]        ;得到PEB_LDR_DATA结构地址
mov esi,[eax + 1ch]        ;InInitializationOrderModuleList
lodsd                      ;得到KERNEL32.DLL所在LDR_MODULE结构的InInitializationOrderModuleList地址
mov edx,[eax + 8h]         ;得到BaseAddress,既Kernel32.dll基址
 

浅谈FS段寄存器在用户层和内核层的使用

在R0和R3时,FS段寄存器分别指向GDT中的不同段:在R3下,FS段寄存器的值是0x3B,在R0下,FS段寄存器的值是0x30.分别用OD和Windbg在R3和R0下查看寄存器(XP3),下图: ...

Windows 中 FS 段寄存器 V2

Windows 中 FS 段寄存器 V2
  • wzsy
  • wzsy
  • 2011年03月11日 15:22
  • 709

为什么进程、线程一些重要信息可以通过FS寄存器简单的取到?

这两天稍微学习了一下寄存器相关知识,
  • zfdyq0
  • zfdyq0
  • 2014年07月14日 22:29
  • 739

Windows 中 FS 段寄存器

代码运行在RING0(系统地址空间)和RING3(用户地址空间)时,FS段寄存器分别指向GDT(全局描述符表)中不同段:在RING3下,FS段值是0x3B(这是WindowsXP下值;在Windows...
  • whatday
  • whatday
  • 2013年11月06日 13:28
  • 2321

FS寄存器指向当前活动线程的TEB结构(线程结构)

FS寄存器指向当前活动线程的TEB结构(线程结构) 偏移 说明 000 指向SEH链指针 004 线程堆栈顶部 008 线程堆栈底部 00C SubSystemTib 010 Fi...

SEH学习心得【2】- 关于FS段寄存器

—————— 关于PEB结构在http://blog.csdn.net/betabin/article/details/7481949中列出。 —————— 看SEH少不了FS段寄存器,关于其大...
  • BetaBin
  • BetaBin
  • 2012年03月13日 19:44
  • 1594

利用FS寄存器得到任意函数地址

[plain] view plaincopy ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;...

FS寄存器指向当前活动线程的TEB结构(线程结构)

FS寄存器指向当前活动线程的TEB结构(线程结构) 偏移 说明 000 指向SEH链指针 004 线程堆栈顶部 008 线程堆栈底部 00C SubSystemTib 010 Fi...

Windows中FS段寄存器 V2

原文链接: http://blog.csdn.net/misterliwei/article/details/4391580   Windows  中  FS  段寄存器  V2 [ 注意:本文...

DS, ES, SS, DI, SI, BP, SP, IP, FS 寄存器

http://www.cnblogs.com/awpatp/archive/2010/07/07/1772725.html DS is called data segment register....
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:收集点关于FS寄存器的资料
举报原因:
原因补充:

(最多只允许输入30个字)