逆向 - TEB线程环境块

最新推荐文章于 2021-01-25 14:44:22 发布
最新推荐文章于 2021-01-25 14:44:22 发布
阅读量469 收藏 2
点赞数
分类专栏: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JiangBuLiu/article/details/105225591
版权

今天分析的时候在IDA里面看到这样一段代码,差点忽视了在这里插入图片描述
遇到代码v1 = *(_DWORD *)(__readfsdword(0x18) + 4)
FS寄存器指向当前活动线程的TEB结构

偏移内容
0x0SEH链表指针
0x4线程堆栈顶部(地址最小)
0x8线程堆栈底部(地址最大)
0xCSubSystemTib
0x10FiberData
0x14ArbitraryUserPointer
0x18FS段寄存器在内存中的镜像
0x20进程PID
0x24线程ID
0x2C指向线程局部存储的指针
0x30PEB结构地址(进程结构)
0x34上一个错误(LastError)

V1为当前进程PID

建瓯最坏
关注
专栏目录
171124 逆向-线程环境TEB
whklhhhh的博客
11-28 2186
1625-5 王子昂 总结《2017年11月24日》 【连续第420天总结】 A. TEB线程环境) B. 介绍该结构体中包含进程中运行线程的各种信息,每个线程都对应一个TEB结构体。 不同OS中TEB结构的形态略微不同。定义结构体中有非常多的成员,其中用户模式调试中起着重要作用的成员有两个:+0 NtTib : _NT_TIB ... +0X30 ProcessEnvironmentB
滴水逆向进程与线程
若面朝大海边竹妮春暖花开的博客
11-06 1196
一、进程结构体 EPROCESS是0环进程结构体,PEB是三环进程结构体 EPROCESS的第一个成员为KPROCESS WaitForSingleObject可以等待对象、进程或线程,只要0环对象以DISPATCH_HEADER开头称为可等待对象 DirectoryTableBase为页目录表基址,是要填到Cr3中的值 windbg中dd PsActiveProcessHead查看链...
Thread Environment Block(TEB
寻梦&之璐
01-25 5152
TEB简介 TEB(Thread Environment Block,线程环境)指线程环境,该结构体包含进程中运行线程的各种信息,进程中的每个线程都对应着一个TEB结构体。不同OS中TEB结构体的形态略微有点不同 TEB结构体定义 MSDN typedef struct _TEB { PVOID Reserved1[12]; PPEB ProcessEnvironmentBlock; PVOID Reserved2[399]; BYTE Reserved3[1952]; PVOI
TEB(线程环境)学习
weixin_44156885的博客
09-11 5273
文章目录TEBTEB结构中的两个重要成员NtTib成员PEB成员PEB.BeingDebuggedPEB.ImageBaseAddressPEB.LdrPEB.ProcessHeap & PEB.NtGolbalFlag TEB TEB结构中的两个重要成员 +0x000 NtTib :_NT_TIB . . . +0x30 ProcessEnvironmentBlock ...
PEB进程环境分析研究
zz_strive_2012的专栏
03-02 6632
# 2015-08-01 Peb(Process Environment Block)简单学习及分析 文章目录 1. PEB结构初探2. Peb应用程序代码 参考资料: Google peb site:pediy.com PEB结构——枚举用户模列表 修改已加载DLL的模名和路径 PEB结构初探 windows系统中通过各种结
进程环境PEB笔记
weixin_30439067的博客
07-30 471
The operating system allocates a structure for every running process that can always be found at fs:[0x30] from within the process.The PEB structure holds information about the process's heaps,b...
TEB结构说明
IT男也疯狂
05-25 9112
kd> dt _teb nt!_TEB +0x000 NtTib : _NT_TIB +0x01c EnvironmentPointer : Ptr32 Void +0x020 ClientId : _CLIENT_ID :1.可以得到当前进程的ID,我们应该这样子得到呢? +0x028 ActiveRpcHandle : Ptr3
171224 逆向-EvilExe的Shellcode分析
whklhhhh的博客
12-24 487
1625-5 王子昂 总结《2017年12月24日》 【连续第450天总结】 A. JarvisOJ-EvilExe(Shellcode分析) B. ShellCode分析将Shellcode复制到OD随便一段空白处中进行分析 注意跳转执行的时候是从第二个字节开始,第一个字节0xEE是没有用的右击第二个字节,设置EIP进行执行 可以发现它动态获取Kernel32.dll和通过LoadL
180306 逆向-反调试技术(1)BeingDebugged
whklhhhh的博客
03-22 1809
1625-5 王子昂 总结《2018年3月6日》 【连续第521天总结】 A. 反调试技术(1) B. BeingDebugged Win32API为程序提供了IsDebuggerPresent来判断自己是否处于调试状态,懒惰的程序员使用这个API来自欺欺人 实现源码为: IsDebuggerPresent(VOID) { return NtCurrentPeb(...
易语言获取“TEB/PEB”结构体成员值数据
06-06
在Windows操作系统中,TEB(Thread Environment Block)和PEB(Process Environment Block)是系统级的数据结构,它们存储了线程和进程相关的各种信息。易语言作为一款中国本土的编程语言,提供了方便的接口来访问...
TEB
qq_39249347的博客
09-03 1815
TEB线程环境,该结构体包含进程中运行线程的各种信息,进程中的每个线程都对应一个TEB结构体。 Windows7中的TEB结构体成员。 +0x000 NtTib : _NT_TIB +0x01c EnvironmentPointer : Ptr32 Void +0x020 ClientId : _CLIENT_ID //进程的pid +0x028 ActiveRpcHandle : Ptr3.
KTHREAD 线程调度 SDT TEB SEH shellcode中DLL模机制动态获取 《寒江独钓》内核学习笔记(5)...
weixin_33972649的博客
12-04 276
目录 1. 相关阅读材料 2. 《加密与解密3》 3. [经典文章翻译]A_Crash_Course_on_the_Depths_of_Win32_Structured_Exception_Handling.pdf 4. 《0 DAY安全: 软件漏洞分析技术》   2. 数据结构分析 二. KTHREAD KTHREAD(内核层线程对象)。再次重复说明一点: win...
TEB结构思考
stonesharp的专栏
11-08 4610
在网上看到的一篇文章如下: TEB与PEB的结构分析,如阿燐燐所诉FS寄存器指向当前活动线程TEB结构(线程结构)    用OD打开一个任意程序可以看到FS段寄存器的状况,其中选择子是003B,在GDT中的起始位置是7FFDF000,大小是00FFFFFF,是一个RING3的调用门。 在数据窗口中跟踪7FFDF000然后以长型地址的方式查看数据,可以完整的看到TEB结构 ,
__readfsdword未定义
zxllds的专栏
03-02 3784
error C3861: '__readfsdword': identifier not found 解决方案:#include 即可
WinDBG 技巧:显示进程/线程环境参数(!peb 和 !teb 命令)
IE浏览器开发
03-06 5721
首先介绍PEB和TEB概念: PEB(Process Environment Block,进程环境)存放进程信息,每个进程都有自己的PEB信息。位于用户地址空间。 TEB(Thread Environment Block,线程环境)系统在此TEB中保存频繁使用的线程相关的数据。位于用户地址空间,在比 PEB 所在地址低的地方。进程中的每个线程都有自己的一个TEB。调试的
纯C++编写Win32/X64通用Shellcode注入csrss进程
chaos444的博客
01-17 2873
标 题: 【原创】纯C++编写Win32/X64通用Shellcode注入csrss进程. 作 者: 猪会被杀掉 时 间: 2015-08-08,04:26:13 链 接: http://bbs.pediy.com/showthread.php?t=203140 这是做的一些研究,觉得没什么用处,人生不应该把精力放在这些小打小闹的垃圾玩意身上;先讲一下文章的主题这样做的目的,这样做
滴水逆向——C++_二叉树
sunr.
04-27 1310
1、概念: 1.分类: 满二叉树:除叶子结点外, 所有结点都有两个结点, 叶子结点的left, right为NULL. 完全二叉树 : 除了最底层的叶子结点之外, 其余层全满, 而且叶子层集中在左端.堆是一种特殊的完全二叉树(全满或者差一个结点就全满) 平衡二叉树:所谓平衡二叉树指的是,左右两个子树的高度差的绝对值不超过 1。包括AVL树, 红黑树. 哈夫曼树:又称为最...
滴水逆向——C++_构造\析构、继承
sunr.
04-20 485
1、构造函数 构造函数的特点: 1.与类同名 2.没有返回值 3.创建对象的时候执行 4.主要用于初始化 5.可以有多个(最好有一个无参的), 称为重载 其他函数也可以重载 6.编译器不要求必须提供 2、析构函数 析构函数的特点: 1.只能有一个析构函数,不能重载 2.不能带任何参数 3.不能带返回值 4.主要用于...
滴水逆向——Win32_资源文件、消息断点
sunr.
05-01 851
1、资源文件,创建对话框 1.创建一个空的Win32应用程序 2.打开新创建的xxx.rc文件, 在资源窗口新增一个对话框,并在对话框上新增2个按钮. 3.打开resource.h文件,观察变化: #define IDD_DIALOG_MAIN 101 #define IDC_BUTTO...
Topstar TEB-M8060:6路显示工控机新品
"TEB-M8060是一款由Topstar公司推出的多路显示平台,专为工控机应用设计。这款新品具有强大的显示能力,支持6路显示,其中5路可以独立工作,并且能够处理3-4路高清视频信号。此外,它还具备双路独立音频功能,为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值