获取其他进程的fs寄存器

最新推荐文章于 2022-05-25 17:56:24 发布
最新推荐文章于 2022-05-25 17:56:24 发布
阅读量889 收藏 2
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Unsped/article/details/58912014
版权

由于fs寄存器里面有很多信息可用,so 在不注入的情况下采用暴力搜索。

我不知道有没有更高级的办法。

nt!_TEB
   +0x000 NtTib            : _NT_TIB
      +0x000 ExceptionList    : Ptr32
      +0x004 StackBase        : Ptr32
      +0x008 StackLimit       : Ptr32
      +0x00c SubSystemTib     : Ptr32
      +0x010 FiberData        : Ptr32
      +0x010 Version          : Uint4B
      +0x014 ArbitraryUserPointer : Ptr32
      +0x018 Self             : Ptr32  <——
   +0x01c EnvironmentPointer : Ptr32
   +0x020 ClientId         : _CLIENT_ID
      +0x000 UniqueProcess    : Ptr32
      +0x004 UniqueThread     : Ptr32
   +0x028 ActiveRpcHandle  : Ptr32
   +0x02c ThreadLocalStoragePointer : Ptr32
   +0x030 ProcessEnvironmentBlock : Ptr32  <——
   +0x034 LastErrorValue   : Uint4B
   +0x038 CountOfOwnedCriticalSections : Uint4B
   +0x03c CsrClientThread  : Ptr32
   +0x040 Win32ThreadInfo  : Ptr32

事不过三,用三个能知道的就可以了

分别是

+18

+20

+24

然后只需要获取到pid tid 就可以暴力搜索了。

+4这样有点慢 可以0x1000的跳着搜索。

Unsped
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
易语言-SM_取自身线程ID和进程ID
06-25
FS寄存器指向当前活动线程的TEB结构(线程结构) 偏移 说明 000 指向SEH链指针 004 线程堆栈顶部 008 线程堆栈底部 00C SubSystemTib 010 FiberData 014 ArbitraryUserPointer 018 FS寄存器在内存中的镜像地址 020...
C++ Modbus tcp 如何读取寄存器的字符串
u013083044的博客
05-21 2074
函数,我们可以指定起始地址和要读取的寄存器数量。然后,我们将读取到的 16 位数字数组按顺序转换为字符串类型的数据,这里使用的是。希望这可以帮助你读取多个寄存器地址的数据,并将其转换为字符串类型的数据。函数从多个寄存器地址读取数据,并将其转换为字符串类型的数据。函数连接到 Modbus TCP 服务器。最后,我们输出转换后的字符串数据。在 Modbus TCP 中,可以使用。函数从多个连续的寄存器地址中读取数据。函数关闭 Modbus TCP 连接。
C++ 获取内存地址(取值运算符)
小牧在一直在学习,在前进的道路上大家一起学习,进步。
07-21 5699
c++ 获取内存地址使用取值运算符 : & 下面看下& 的使用 #include <iostream> using namespace std; int main() { string var1 = "c++"; int var2 = 10086; cout << "var1 变量的地址: "; cout << &var1 << endl; cout << "var2
FS寄存器指向当前活动线程的TEB结构(线程结构)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
09-04 3466
FS寄存器指向当前活动线程的TEB结构(线程结构) 偏移 说明 000 指向SEH链指针 004 线程堆栈顶部 008 线程堆栈底部 00C SubSystemTib 010 FiberData 014 ArbitraryUserPointer 018 FS寄存器在内存中的镜像地址 020 进程PID 024 线程ID 02C 指向线程局部存储指针 030 PEB
浅谈FS寄存器在用户层和内核层的使用
少仲
04-12 6162
在R0和R3时,FS寄存器分别指向GDT中的不同段:在R3下,FS寄存器的值是0x3B,在R0下,FS寄存器的值是0x30.分别用OD和Windbg在R3和R0下查看寄存器(XP3),下图: FS寄存器的改变是从R3进入R0后和从R0退回到R3前完成的,也就是说:都是在R0下给FS赋不同值的.(FS在R0和R3中是不同的值,在KiFastCallEntry / KiSy
《逆向工程核心原理》学习笔记(六):高级逆向分析技术
闵行小鱼塘
05-25 1974
继续学习《逆向工程核心原理》,本篇笔记是第六部分:高级逆向分析技术,包括TLS、TEB、PEB、SEH和IA-32指令等内容
进程内存读取,附源码定义.pdf
11-02
5. **获取进程信息**: 在遍历过程中,可能需要获取特定的信息,如进程名称(FILE_NAME_OFFSET),进程ID(PROCESS_ID_OFFSET),链表链接(PROCESS_LINK_OFFSET)以及退出时间(EXIT_TIME_OFFSET)。这些偏移量...
PEBGetAddress
08-25
1. **获取PEB地址**:在x86/x64架构上,PEB的地址可以通过读取FS或GS段寄存器的某个偏移量来得到。例如,在32位系统中,通常使用`FS:[0x30]`来访问;在64位系统中,使用`GS:[0x60]`。 2. **访问PEB字段**:获取到...
易语言-汇编取程序ID和名字
06-25
FS寄存器的偏移0x30处存放的是PEB的指针,这为我们提供了进入进程环境块的通道。 进程环境块(PEB)则是一个全局的数据结构,用于维护进程的全局状态信息。PEB包含了诸如进程是否正在调试、进程的可执行文件路径、...
fs:[0]到底表示什么?fs寄存器在WINDOWS系统中的作用
热门推荐
CharlesPrince的专栏
04-29 1万+
fs:[0]到底表示什么?TEB,PEB,TIB,PCRB结构的表示。 fs寄存器在WINDOWS系统中的作用
SEH 机制探索1 --- TEB 结构
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-05 1343
SEH 机制探索1 --- TEB 结构 在 windows 中的 SEH(Structured Exception Handling)结构化异常处理需要使用 TIB(Thread Information Block)线程信息块的 _EXCEPTION_REGISTRATION_RECORD结构。而 TIB 结构包括在 TEB(Thread Environment Block) 结构下,
逆向学习笔记(1)
谈成(C/C++)
04-12 268
1.TLS回调函数 1)TLS回调会在线程的创建和销毁时被调用,常用来做反调试。 2)TLS回调函数位于IMAGE_DATA_DIRECTORY[9](数据目录)的位置,即TLS table,与导入导出表类似。 3)其中TLS table结构是IMAGE_TLS_DIRECTORY。而其中的AddressOfCallback则表示回调函数地址的数组,也就是说可能会有多个TLS回调函数。 4)TLS回调函数定义: typedef VOID (NTAPI *PIMAGE_TLS_CALLBACK)(
如何使用windbg查看C#某个线程的栈大小 ?
dotNET跨平台
03-10 405
每一个线程都有一个叫 TEB(Thread Environment Block) 的线程环境块数据结构,这个结构中有一个叫做 NT_TIB 的结构,它里面有两个字段分别为 StackBas...
Win32 系统线程信息块(TIB)浅析
07-08 2447
<br />作者:Matt Pietrek<br /> 编译:VCKBASE <br />原文出处:May 1996 Under The Hood<br /><br />   Windows 操作系统各个版本之间虽然核心部分差异很大,但它们都共享一个关键的系统数据结构,许多程序员都没有加以关注。更精确地说,这种共享是针对此数据结构的某 些域。先不说差别,这个结构被广泛使用,甚至是被编译器产生的代码存取。没错,你的C++编译器产生代码
[C++]使用FS寄存器判断进程是否被调试
tzwsoho的专栏
07-15 1342
昨天研究了一下IsDebuggerPresent这个函数的实现代码,发现真的很简单,只有区区4行:mov eax, dword ptr fs:[018H] mov eax, dword ptr [eax + 030H] movzx eax, dword ptr [eax + 02
FS寄存器
weixin_30394333的博客
07-30 1402
FS寄存器指向当前活动线程的TEB结构(线程结构),缺省情况下fs:error表示fs未使用,若要引用fs寄存器,需fs:nothing后,才可使用。 XP下teb结构如下 kd> dt _tebnt!_TEB +0x000 NtTib : _NT_TIB ;SEH链表指针 +0x01c Environment...
反汇编中遇到的一些特殊的指令
吖吖狼 的专栏
10-24 1497
1、CDQ  CDQ 把原来的 EAX 扩展成 EDX:EAX (带正负值), 这个指令把 EAX 的第 31 bit 复制到 EDX 的每一个 bit 上。例如:         假设 EAX 是 FFFFFFFB (-5) ,它的第 31 bit (最左边) 是 1, 执行 CDQ 后, CDQ 把第 31 bit 复制至 EDX 所有 bit         EDX 变成 FFFFFF
TIB --- FS
收集学习过程中对自己有帮助的牛人文章
11-30 1265
转载自: http://en.wikipedia.org/wiki/Win32_Thread_Information_Block Contents of the TIB[edit] Position Length Windows Versions Description FS:[0x00] 4 Win9x and NT Curr
rtl8211fs寄存器手册
最新发布
09-28
比如,我们可以通过将特定的值写入寄存器来设置PHY的速度和双工模式,或者通过读取寄存器获取链路状态和PHY的诊断信息。 RTL8211FS寄存器手册还可能包含了一些使用示例和建议,以帮助开发人员更好地理解和应用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值