SEH学习心得【2】- 关于FS段寄存器

最新推荐文章于 2023-10-07 00:57:28 发布
最新推荐文章于 2023-10-07 00:57:28 发布
阅读量2k 收藏 1
点赞数
分类专栏: Windows 安全 文章标签: struct exception buffer windows string list
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BetaBin/article/details/7350171
版权
本文深入探讨了Windows系统中FS段寄存器在RING3和RING0下的不同作用,特别是在异常处理中的角色。在用户级别(RING3),FS段寄存器指向线程环境块(TEB),包含SEH异常控制块链表;在系统级别(RING0),它指向KPCR,用于保存线程切换信息。通过分析FS寄存器、TEB结构和KPCR,揭示了异常处理和线程状态管理的细节。
摘要由CSDN通过智能技术生成

——————

关于PEB结构在http://blog.csdn.net/betabin/article/details/7481949中列出。

——————

看SEH少不了FS段寄存器,关于其大概认识如下。

在不同的地址空间,FS段寄存器指向不同的内存段。线程运行在RING0(既系统级别)下,FS段值是0x3B(XP下的值,在2000下是0x38)。运行在RING3(用户级别)下,FS段值是0x30。而且FS段寄存器的值只能在RING0下被赋值。

一、RING3下的FS

指向的段为GDT中的0x30段。大小为4k,基地址为当前线程的TEB。(由于Windows中线程的不断切换,该段基地址是会改变的。而每个线程都有个ETHREAD结构,其KTHREAD成员有TEB成员。有点绕。)

关于TEB,结构如下:

typedef struct _TEB {
    NT_TIB NtTib;
    PVOID  EnvironmentPointer;
    CLIENT_ID ClientId;
    PVOID ActiveRpcHandle;
最低0.47元/天 解锁文章
BetaBin
关注
专栏目录
WindowsFS 段寄存器
weixin_34408717的博客
11-06 483
代码运行在RING0(系统地址空间)和RING3(用户地址空间)时,FS段寄存器分别指向GDT(全局描述符表)中不同段:在RING3下,FS段值是0x3B(这是WindowsXP下值;在Windows2000下值为0x38。差别就是在XP下RPL=3);运行在RING0下时,FS段寄存器值是0x30。下面以XP为例说说。 一.RING3下的FS ...
FS寄存器
lei35151的专栏
04-27 1159
WinNT内核下内存采用保护模式,段寄存器的意义与实模式汇编下的意义不同了。fs[0]就是异常入口队列的首指针(seh) 。另外,FS存的是段选择子,而不是实模式下的高16位基地址。 struct _seh{      struct _seh * lpNextSeh;      LPVOID lpFuncEntry; } FS寄存器指向当前活动线程的TEB结构(线程结构) 偏移 说
WindowsFS段寄存器
misterliwei的专栏
06-17 6624
本文修订版见:WindowsFS段寄存器 V2线程运行在RING0(系统地址空间)和RING3(用户地址空间)时,FS段寄存器分别指向不同内存段的。线程运行在RING0下,FS段值是0x30(WindowsXP下值,在Windows2000下值为0x38);运行在
FS段寄存器详解
weixin_30568591的博客
03-22 1947
偏移 说明 00  只想SEH链表指针 04  线程堆栈顶部(地址最小) 08  线程堆栈底部(地址最大) 0c  SubSystemTib 10  FiberData 14  ArbitraryUserPointer 18  FS 段寄存器在内存中的镜像 20  进程PID 24  线程ID 2c  指向线程局部存储的指针 30  PEB结构地址(进程结构) 34 ...
Windows核心编程_FS段寄存器
17岁boy的博客
06-21 4551
Windows核心编程_FS段寄存器FS段寄存器Windows用来存储一些进程信息的,FS段的首地址是存储这些进程信息的首地址:在内核态FS指向GDT表的:0x30地址, 在用户态FS=0x3B也就是说当切换到用户态时,操作系统会把进程下正在执行的线程的某些信息写入到0X3B为起始地址的空间里,内核态时候也一样,操作系统也会写入一些关于内核程序的相关信息到0x3B里!由于进程的不同进程信息也不同,...
x86-64-12.2.0-release-posix-seh-msvcrt-rt-v10-rev2
02-25
标题 "x86-64-12.2.0-release-posix-seh-msvcrt-rt-v10-rev2" 指的是一个针对x86_64架构的GCC编译器版本,该版本是12.2.0,定位为“release”发布版,具有POSIX线程(pthread)支持,使用SEH(结构化异常处理)机制...
winlibs-x86-64-posix-seh-gcc-13.2.0-llvm-16.0.6-mingw-w64msvcrt
最新发布
05-29
标题“winlibs-x86-64-posix-seh-gcc-13.2.0-llvm-16.0.6-mingw-w64msvcrt”指的是一个专为Windows平台设计的C和C++编译工具链。这个工具链集成了GCC (GNU Compiler Collection) 13.2.0版本和LLVM 16.0.6编译器,...
winlibs-x86-64-posix-seh-gcc-13.2.0-llvm-16.0.6-mingw-w64ucrt-11
08-11
支持c++23
x86_64-13.2.0-release-win32-seh-ucrt-rt_v11-rev1.7z
12-14
标题 "x86_64-13.2.0-release-win32-seh-ucrt-rt_v11-rev1.7z" 暗示了一个针对x86_64架构的Windows 32位兼容版本的软件开发工具包。这个描述可能包含了关于编译器、运行时库和相关工具的信息。"seh"代表结构化异常...
FS寄存器的作用
tanweng的专栏
05-15 7888
确实通过读取FS寄存器指定的内存可以获得很多系统关键信息, 主要是和进线程相关的很多信息,例如 代码: lkd> u PsGetCurrentProcess nt!IoGetCurrentProcess: 804f0700 64a124010000    mov     eax,dword ptr fs:[00000124h] 804f0706 8b4044          mov
[笔记] Windows内核课程:保护模式《二》段寄存器介绍
二次元怪兽的博客
10-07 541
段寄存器,页寄存器ES、CS、SS、DS、FS、GS、LDTR、TR 共8个。
fs寄存器
caojichang的专栏
07-01 899
利用FS寄存器获取KERNEL32.DLL基址算法的证明FS寄存器指向当前活动线程的TEB结构(线程结构)偏移  说明000  指向SEH链指针004  线程堆栈顶部008  线程堆栈底部00C  SubSystemTib010  FiberData014  ArbitraryUserPointer018  FS段寄存器在内存中的镜像地址020  进程PID024  线程ID02C  指向线程局部
FS寄存器资料
syflyhua的专栏
05-23 1501
转自 http://blog.csdn.net/yushiqiang1688/archive/2010/01/04/5127180.aspx FS寄存器指向当前活动线程的TEB结构(线程结构) 偏移  说明 000  指向SEH链指针 004  线程堆栈顶部 008  线程堆栈底部 00C  SubSystemTib 010  FiberData 014  ArbitraryUse
浅谈FS段寄存器在用户层和内核层的使用
weixin_33774615的博客
05-06 558
2019独角兽企业重金招聘Python工程师标准>>> ...
汇编干货,火速收藏!段寄存器的种类和作用,汇编标志位,常用指令详解,小知识点。
m0_52196532的博客
09-30 2447
段寄存器的种类和作用: 1、代码段寄存器CS,用于存放当前正在运行的程序代码所在段。 2、数据段寄存器DS,用于存放数据段。 3、堆栈段寄存器SS,存放堆栈段。 4、附加段寄存器ES,存放当前程序使用附加数据段。 汇编标志位: OF标志:溢出标志位(有符号数) flag的第11位是OF,溢出标记位;一般情况下,OF记录了有符号数运算的结果是否 发生了溢出;如果发生了溢出,则OF=1;如果没有,则OF=0。 CF和OF之间的区别:CF是针对于无...
WindowsFS段寄存器 V2
misterliwei的专栏
07-29 7527
Normal 0 7.8 磅 0 2 false false false MicrosoftInternetExplorer4 <object class
40 进程与线程之Windows线程切换——FS段寄存器
qq_18059143的博客
12-05 575
FS:[0]寄存器在3环时指向TEB.进入0环后FS:[0]指向KPCR 系统中同时存在很多个线程,这就意味着FS:[0]在3环时指向的TEB要有多个(每个线程一份)。 但在实际的使用中我们发现,当我们在3环查看不同线程的FS寄存器时, FS的段选择子都是相同的,那是如何实现通过一个FS寄存器指向多个TEB呢? 下面是ida的分析SwapContext代码 ; CODE XREF: Sw...
x86_64-13.1.0-release-posix-seh-msvcrt-rt_v11-rev1.7z 68.9 MB May 28 x86_64-13.1.0-release-posix-seh-ucrt-rt_v11-rev1.7z 68.9 MB May 28 x86_64-13.1.0-release-win32-seh-msvcrt-rt_v11-rev1.7z 68.9 MB May 28 x86_64-13.1.0-release-win32-seh-ucrt-rt_v11-rev1.7z 68.9 MB May 28它的安装版本这四个x86里面选哪一个呢,我的系统是windows64位
07-10
2. x86_64-13.1.0-release-posix-seh-ucrt-rt_v11-rev1.7z 这两个版本都支持Windows 64位系统。其中,"posix-seh-msvcrt"版本使用了MSVC Runtime v11,而"posix-seh-ucrt"版本使用了UCRT(Universal C Runtime)。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值