JIURL玩玩Win2k进程线程篇 TEB

最新推荐文章于 2022-03-09 16:29:53 发布
VIP文章 最新推荐文章于 2022-03-09 16:29:53 发布
阅读量2.5k 收藏
点赞数
文章标签: struct exception attributes string thread function
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/imquestion/article/details/16424
版权

JIURL玩玩Win2k进程线程篇 TEB

作者: JIURL

                主页: http://jiurl.yeah.net

    日期: 2003-7-30

    TEB,Thread Environment Block,线程环境块。位于用户地址空间。在比 PEB 所在地址低的地方,比如 0x7FFDF000,0x7FFDE000。每个线程都有自己的一个 TEB。由于 TEB 在用户地址空间,所以本进程中运行在用户模式下的代码就可以访问 TEB 结构。Win2k Build 2195 中一个线程的 ETHREAD 结构偏移 +020 处的 *Teb 指向这个线程的 TEB 结构。在 undocumented.ntinternals.net (需要注意的是这是个非官方的站点)我们可以找到 TEB 及其相关结构的定义。从 kd 中也可以找到一些相关结构的定义。我们首先列出结构的定义,然后对一些内容进行说明。

// 来自 undocumented
最低0.47元/天 解锁文章
imquestion
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JIURL玩玩Win2k内存
08-17
JIURL玩玩Win2k内存
KTHREAD 线程调度 SDT TEB SEH shellcode中DLL模块机制动态获取 《寒江独钓》内核学习笔记(5)...
weixin_33972649的博客
12-04 261
目录 1. 相关阅读材料 2. 《加密与解密3》 3. [经典文章翻译]A_Crash_Course_on_the_Depths_of_Win32_Structured_Exception_Handling.pdf 4. 《0 DAY安全: 软件漏洞分析技术》   2. 数据结构分析 二. KTHREAD KTHREAD(内核层线程对象)。再次重复说明一点: win...
图的深度遍历函数调用中的参数太多_针对越南APT攻击样本深度分析
weixin_39970855的博客
11-09 203
一、前言APT已经成为了安全领域热门的话题。Eleven Paths旗下Innovación y laboratorio 4月发表《Docless Vietnam APT》报告:上述信息表述,我们侦测到一些恶意邮件发送到属于越南政府的邮箱,这封越南语邮件的日期是2019年3月13号。这封邮件可能是来源于越南政府内部,不排除是有人把这封邮件投送到安全部门,因为这封邮件存在可疑因素。TKCT quy ...
遍历进程线程
qq_25420503的专栏
03-02 1294
typedef struct _CL_PROCESS_THREADINFO { LPVOID pvStartAddr; // 线程的起始地址 DWORD dwTid; // 线程Id WCHAR wszModuleName[MAX_PATH]; // 所属的模块路径 }CL_PROCESS_THREADINFO;  BOOL CLThread::QueryThreadInf
JIURL玩玩Win2k进程线程 ETHREAD
jiurl的专栏
08-18 2905
JIURL玩玩Win2k进程线程 ETHREAD作者: JIURL                 主页: http://jiurl.yeah.net     日期: 2003-7-30     每个线程都有一个 ETHREAD 结构。Win2k Build 2195 中 ETHR
JIURL玩玩Win2k进程线程 EPROCESS
jiurl的专栏
08-18 3798
JIURL玩玩Win2k进程线程 EPROCESS作者: JIURL                 主页: http://jiurl.yeah.net     日期: 2003-7-30     每个进程都有一个 EPROCESS 结构,里面保存着进程的各种信息,和相关结构的指针
利用TEB和PEB在3环 断链模块 遍历模块
qq_41490873的博客
05-02 719
nt!_TEB +0x000 NtTib : _NT_TIB +0x01c EnvironmentPointer : Ptr32 Void +0x020 ClientId : _CLIENT_ID //UniqueProcess UniqueThread 进程ID +4 线程ID +0x028 ActiveRpcHan...
windbg获取TEB线程环境块)信息
qq_35426012的博客
10-23 2050
windbg下载安装配置符号路径 如果是win10直接下载windbg预览版,预览版只有win10才能用,我的是win7所以下载的是老版本的,老版本去官网中的win10 sdk中下载 链接:https://developer.microsoft.com/zh-cn/windows/downloads/sdk-archive 下载后会有x86和64位两个版本,两个版本都要配置符号路径,否则只能使用...
通过TEB遍历进程模块
Koma的主页
04-03 3245
#include "StdAfx.h" #include #include #include typedef struct _PEB_LDR_DATA { UINT Length; BYTE Initialized; void* SsHandle; LIST_ENTRY InLoadOrderModuleList; } PEB_LDR_DATA, *PPEB_LDR_DATA;
JIURL玩玩Win2k进程线程 PEB
jiurl的专栏
08-18 2737
JIURL玩玩Win2k进程线程 PEB 作者: JIURL                 主页: http://jiurl.yeah.net     日期: 2003-7-30     PEB,Process Environment Block ,进程环境块。位于用户地址空间。
PEDump.zip_ JIURL PEDUMP_ dump_R-Tree_coff_pedump
09-22
PEDUMP程序自从1994年的版本以来,已经有了明显的改善。它可以显示在PE里的每一个数据类型,包括: IMAGE_NT_HEADERS   输入/输出表   资源   基址重定位 ... 除了可导出PE可执行文件外,PEDUMP也能导出COFF格式的...
JIURL键盘驱动
04-10
些关于键盘驱动的东西
JIURL PE 格式学习总结(一)-- PE文件概述.docx
12-07
JIURL PE 格式学习总结(一)-- PE文件概述
JIURL PE 格式学习总结(四)-- PE文件中的资源.docx
12-07
JIURL PE 格式学习总结(四)-- PE文件中的资源
线程局部存储(TLS)
whl0071的专栏
03-09 2076
线程局部存储,Part 1:概述 和其它主流多线程操作系统一样,Windows为大家提供一个机制,该机制允许程序员实现基于线程的局部状态存储。这种能力通常称为线程局部存储(Thread Local Storage,TLS),这对于那些需要保存线程相关信息但需要全局可见的应用场景非常有用。 尽管TLS的介绍有很好的文档可参考,但关于其实现细节的介绍并不多(尽管也有一些非官方文档进行比较表面的介绍)。 至少从高层来将,TLS在概念上并不复杂。常规设计是将所有对TLS的访问都通过TEB中的指针来进行间接访问
用ollydbg浅识TEB和PEB用来反跟踪
weixin_30267691的博客
08-28 192
本文目的:借助工具直观接触TEB和PEB。 首先,来了解下什么是TEB和PEB。 TEBThread Environment Block,线程环境块):系统在此TEB中保存频繁使用的线程相关的数据。位于用户地址空间。进程中的每个线程都有自己的一个TEB。一个进程的所有TEB都以堆栈的方式,存放在从0x7FFDE000(WinXP,当然,不同的系统可能位于不同的地址)开始的线性内存中,每4KB...
TEB结构思考
stonesharp的专栏
11-08 4569
在网上看到的一文章如下: TEB与PEB的结构分析,如阿燐燐所诉FS寄存器指向当前活动线程TEB结构(线程结构)    用OD打开一个任意程序可以看到FS段寄存器的状况,其中选择子是003B,在GDT中的起始位置是7FFDF000,大小是00FFFFFF,是一个RING3的调用门。 在数据窗口中跟踪7FFDF000然后以长型地址的方式查看数据,可以完整的看到TEB结构 ,
teb,peb 数据结构原型
weixin_34128501的博客
05-18 249
为什么80%的码农都做不了架构师?>>> ...
高级色系PPT11.pptx
最新发布
05-08
高级色系PPT11.pptx

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值