Windows核心编程_FS段寄存器

最新推荐文章于 2023-12-12 17:13:25 发布
最新推荐文章于 2023-12-12 17:13:25 发布
阅读量4.8k 收藏 8
点赞数
分类专栏: # Windows_核心编程 文章标签: fs 段寄存器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bjbz_cxy/article/details/80762663
版权

Windows核心编程_FS段寄存器

FS段寄存器Windows用来存储一些进程信息的,FS段的首地址是存储这些进程信息的首地址:在内核态FS指向GDT表的:0x30地址, 在用户态FS=0x3B

也就是说当切换到用户态时,操作系统会把进程下正在执行的线程的某些信息写入到0X3B为起始地址的空间里,内核态时候也一样,操作系统也会写入一些关于内核程序的相关信息到0x3B里!

由于进程的不同进程信息也不同,所以当控制权到不同的进程下时操作系统会向0x3B空间下写入不同的数据!

下面为FS寄存器下偏移的相关信息:

00  指向SEH链表指针

 

04  线程堆栈顶部(地址最小)

 

08  线程堆栈底部(地址最大)

 

0c  SubSystemTib

 

10  FiberData

 

14  ArbitraryUserPointer

 

18  FS 段寄存器在内存中的镜像

 

20  进程PID

 

24  线程ID

 

2c  指向线程局部存储的指针

 

30  PEB结构地址(进程结构/不是PCB进程控制块)

 

34  上一个错误(LastError)

 

这里来演示一下用_asm内联汇编来获取FS寄存器指向的地址空间里的内容

获取进程PID:

 

DWORD _PID;
	_asm{
		mov eax, dword ptr fs:[20h]
		mov [_PID],eax
	}
	printf("%d", _PID);
	getchar();

运行结果:

 

 

 

不信的话,我们使用WindowsAPI:

GetCurrentProcessId来获取自身进程PID试试:
DWORD _PID;
	_asm{
		mov eax, dword ptr fs:[20h]
		mov [_PID],eax
	}
	printf("%d,%d", _PID, GetCurrentProcessId());
	getchar();

运行结果

 

但是还有一个问题,多核CPU是一个CPU下有多个单核CPU,这些CPU通过内部总线来交互数据的,并且是并行的,当每个线程切换时,windows会将某个线程的信息写入到此寄存器下,但是并行的,每个CPU都会有一个自己的fs段寄存器!

 

 

 

WindowsFS 段寄存器
weixin_34408717的博客
11-06 541
代码运行在RING0(系统地址空间)和RING3(用户地址空间)时,FS段寄存器分别指向GDT(全局描述符表)中不同段:在RING3下,FS段值是0x3B(这是WindowsXP下值;在Windows2000下值为0x38。差别就是在XP下RPL=3);运行在RING0下时,FS段寄存器值是0x30。下面以XP为例说说。 一.RING3下的FS ...
基于visual c++之windows核心编程代码分析(20) 纤程与线程的互相转换
尹成的技术博客
12-17 3285
Windows2000/XP中,纤程(fiber)相当于用户级别的线程或轻进程.纤程由Win32库函数支持,对核心是不可见的.纤程可以通过SwitchToFiber显示至另一合作纤程,以实现合作纤程之间的协同.纤程包含独立的目态栈,寄存器状态的控制信息.目态控制的纤程转接要求较高的编程经验.由于纤程属于目态对象,一个纤程被封锁意味着所在线程被封锁.应用程序可以通过ConvertThreadToF
WindowsFS段寄存器
misterliwei的专栏
06-17 6744
本文修订版见:WindowsFS段寄存器 V2线程运行在RING0(系统地址空间)和RING3(用户地址空间)时,FS段寄存器分别指向不同内存段的。线程运行在RING0下,FS段值是0x30(WindowsXP下值,在Windows2000下值为0x38);运行在
fs寄存器
weixin_30502965的博客
10-01 516
1、fs寄存器在Ring0中指向一个称为KPCR的数据结构,即FS段的起点与KPCR结构对齐。 2、对于Ring3的应用程序,fs:[0]的地址指向的是TEB结构,这个结构的开头是一个NT_TIB结构,NT_TIB结构的0x18偏移处是一个Self指针,指向这个结构自身,也就是指向TEB结构的开头。 TEB结构的0x30偏移是一个指向PEB的指针。PEB又是一个结构,这个结构的0x2偏移处是一...
FS段寄存器详解
weixin_30568591的博客
03-22 1989
偏移 说明 00  只想SEH链表指针 04  线程堆栈顶部(地址最小) 08  线程堆栈底部(地址最大) 0c  SubSystemTib 10  FiberData 14  ArbitraryUserPointer 18  FS 段寄存器在内存中的镜像 20  进程PID 24  线程ID 2c  指向线程局部存储的指针 30  PEB结构地址(进程结构) 34 ...
FS寄存器
lei35151的专栏
04-27 1207
WinNT内核下内存采用保护模式,段寄存器的意义与实模式汇编下的意义不同了。fs[0]就是异常入口队列的首指针(seh) 。另外,FS存的是段选择子,而不是实模式下的高16位基地址。 struct _seh{      struct _seh * lpNextSeh;      LPVOID lpFuncEntry; } FS寄存器指向当前活动线程的TEB结构(线程结构) 偏移 说
第4章80x86保护模式及其编程.rar_80x86保护模式及其编程
09-23
1. 段寄存器:CS、DS、ES、FS、GS和SS的使用及其作用。 2. 段描述符表:GDT和LDT的结构、创建及访问。 3. 分页机制:页表、页目录、页帧号和虚拟地址到物理地址的转换。 4. 内存访问权限:读、写、执行权限以及特权...
windows核心编程-线程挂起和Context
qq_22423659的博客
12-01 2194
一、线程挂起(暂停) 1、SuspendThread用来暂停一个线程的执行,线程暂停时,不会被调度执行 2、ResumeThread用来恢复一个暂停线程的执行(一个暂停的线程无法调用这个方法来恢复自己, 3、因为暂停的线程不可能被执行)暂停县城总是立即被暂停,而不管被暂停的线程执行到了哪个指令 线程内核对象内部,存储了一个暂停计数的值,每调用一次,SuspendThread方法该值就加1,
一口气看完45个寄存器,CPU核心技术大揭秘
xuanyuan_fsx的专栏
10-21 1503
序言 前段时间,我连续写了十来篇CPU底层系列技术故事文章,有不少读者私信我让我写一下CPU的寄存器寄存器这个太多太复杂,不适合写故事,拖了很久,总算是写完了,这篇文章就来详细聊聊x86/x64架构的CPU中那些纷繁复杂的寄存器们。 长文预警,时速较快,请系好安全带~起飞~ 自1946年冯·诺伊曼领导下诞生的世界上第一台通用电子计算机ENIAC至今,计算机技术已经发展了七十多载。 从当初专用于数学计算的庞然大物,到后来大型机服务器时代,从个人微机技术蓬勃发展,到互联网浪潮席卷全球,再到移动
x86_64架构下的内存映射寄存器设计与优化
内存映射在Rust中通常涉及`std::fs::File`和`std::os::unix::io::AsRawFd`(或`std::os::windows::io::AsRawHandle`在Windows上)来获取文件描述符,并通过`mmap`系统调用将文件映射到内存。Rust社区还提供了诸如`...
段寄存器
热门推荐
maomao171314的专栏
01-15 1万+
一、段寄存器有哪些 ? 段寄存器有ES、CS、SS、DS、FS、GS、LDTR、TR共8个。 通常我们用汇编读写某一个地址时,如下: Mov dword ptr ds:[0x123846],eax 这时我们把eax 的值往地址去写,写的地址是: ds.base + 0x123456 二、段寄存器的结构 在x86下.我们可以看如下寄存器表示图. 寄存器名称 段选择子(Select) 段属性(Attributes) .
【免杀】通用shellcode原理及思路——FS段寄存器获取kernel32.dll基址逻辑、根据函数名进行查找逻辑、双指针循环遍历获取函数名称
m0_62783065的博客
01-08 708
【免杀】通用shellcode原理——FS段寄存器获取kernel32.dll基址逻辑、根据函数名进行查找逻辑、双指针循环遍历获取函数名称
10.Windows线程切换_FS段寄存器
My classmates
10-21 559
FS:[0]寄存器在3环时指向TEB.进入0环后FS:[0]指向KPCR 系统中同时存在很多个线程,这就意味着FS:[0]在3环时指向的TEB要有多个(每个线程一份)。 但在实际的使用中我们发现,当我们在3环查看不同线程的FS寄存器时, FS的段选择子都是相同的,那是如何实现通过一个FS寄存器指向多个TEB呢? 下面是ida的分析代码 ; CODE ...
FS寄存器的作用
tanweng的专栏
05-15 8076
确实通过读取FS寄存器指定的内存可以获得很多系统关键信息, 主要是和进线程相关的很多信息,例如 代码: lkd> u PsGetCurrentProcess nt!IoGetCurrentProcess: 804f0700 64a124010000    mov     eax,dword ptr fs:[00000124h] 804f0706 8b4044          mov
SEH学习心得【2】- 关于FS段寄存器
BetaBin
03-13 2095
—————— 关于PEB结构在http://blog.csdn.net/betabin/article/details/7481949中列出。 —————— 看SEH少不了FS段寄存器,关于其大概认识如下。 在不同的地址空间,FS段寄存器指向不同的内存段。线程运行在RING0(既系统级别)下,FS段值是0x3B(XP下的值,在2000下是0x38)。运行在RING3(用户级别)下,FS段值
浅谈一下FS段寄存器在用户层和内核层的使用
dog0230的博客
05-10 413
菜鸟一枚,有一段时间不搞内核了,分享一下以前学习的结果,有不对的地方请各位指点,大牛飘过~~ 在R0和R3时,FS段寄存器分别指向GDT中的不同段:在R3下,FS段寄存器的值是0x3B,在R0下,FS段寄存器的值是0x30。分别用OD和Windbg在R3和R0下查看寄存器(XP3),下图: FS寄存器的改变是从R3进入R0后和从R0退回到R3前完成的,也就是说:都是在R0...
以下是汇编中的段寄存器(大小写形式)及其解析:
最新发布
2301_81654001的博客
12-12 751
段寄存器GA、FS、ES、DS、CS、SS
打造实用Windows汇编编程指南
1. 段寄存器:在x86架构中,CS、DS、ES、SS、FS和GS寄存器用于存储内存段的地址。 2. 栈操作:ESP和EBP寄存器用于管理函数调用和局部变量。 3. 指令集:熟悉基本的汇编指令,如mov、add、sub、jmp、call等。 4. ...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

17岁boy想当攻城狮

感谢打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值