FS寄存器

最新推荐文章于 2018-06-21 16:40:24 发布
最新推荐文章于 2018-06-21 16:40:24 发布
阅读量1.1k 收藏
点赞数 1
分类专栏: 汇编

WinNT内核下内存采用保护模式,段寄存器的意义与实模式汇编下的意义不同了。fs[0]就是异常入口队列的首指针(seh) 。另外,FS存的是段选择子,而不是实模式下的高16位基地址。

struct _seh{
     struct _seh * lpNextSeh;
     LPVOID lpFuncEntry;
}

FS寄存器指向当前活动线程的TEB结构(线程结构)

偏移 说明
000 指向SEH链指针
004 线程堆栈顶部
008 线程堆栈底部
00C SubSystemTib
010 FiberData
014 ArbitraryUserPointer
018 FS段寄存器在内存中的镜像地址
020 进程PID
024 线程ID
02C 指向线程局部存储指针
030 PEB结构地址(进程结构)
034 上个错误号

得到KERNEL32.DLL基址的方法
assume fs:nothing             ;打开FS寄存器
mov eax,fs:[30h]            ;得到PEB结构地址
mov eax,[eax + 0ch]        ;得到PEB_LDR_DATA结构地址
mov esi,[eax + 1ch]        ;InInitializationOrderModuleList
lodsd                      ;得到KERNEL32.DLL所在LDR_MODULE结构的InInitializationOrderModuleList地址
mov edx,[eax + 8h]         ;得到BaseAddress,既Kernel32.dll基址 
lei35151
关注
专栏目录
Windows 中 FS寄存器
weixin_34408717的博客
11-06 483
代码运行在RING0(系统地址空间)和RING3(用户地址空间)时,FS寄存器分别指向GDT(全局描述符表)中不同段:在RING3下,FS段值是0x3B(这是WindowsXP下值;在Windows2000下值为0x38。差别就是在XP下RPL=3);运行在RING0下时,FS寄存器值是0x30。下面以XP为例说说。 一.RING3下的FS ...
收集点关于FS寄存器的资料
晓斌的博客
03-08 5818
FS寄存器指向当前活动线程的TEB结构(线程结构)偏移  说明000  指向SEH链指针004  线程堆栈顶部008  线程堆栈底部00C  SubSystemTib010  FiberData014  ArbitraryUserPointer018  FS寄存器在内存中的镜像地址020  进程PID024  线程ID02C  指向线程局部存储指针030  PEB结构地址(进程结构)034  上
FS寄存器资料
syflyhua的专栏
05-23 1501
转自 http://blog.csdn.net/yushiqiang1688/archive/2010/01/04/5127180.aspx FS寄存器指向当前活动线程的TEB结构(线程结构) 偏移  说明 000  指向SEH链指针 004  线程堆栈顶部 008  线程堆栈底部 00C  SubSystemTib 010  FiberData 014  ArbitraryUse
fs寄存器
weixin_30502965的博客
10-01 368
1、fs寄存器在Ring0中指向一个称为KPCR的数据结构,即FS段的起点与KPCR结构对齐。 2、对于Ring3的应用程序,fs:[0]的地址指向的是TEB结构,这个结构的开头是一个NT_TIB结构,NT_TIB结构的0x18偏移处是一个Self指针,指向这个结构自身,也就是指向TEB结构的开头。 TEB结构的0x30偏移是一个指向PEB的指针。PEB又是一个结构,这个结构的0x2偏移处是一...
FS寄存器的作用
tanweng的专栏
05-15 7887
确实通过读取FS寄存器指定的内存可以获得很多系统关键信息, 主要是和进线程相关的很多信息,例如 代码: lkd> u PsGetCurrentProcess nt!IoGetCurrentProcess: 804f0700 64a124010000    mov     eax,dword ptr fs:[00000124h] 804f0706 8b4044          mov
rtl8211fs寄存器手册
最新发布
09-28
RTL8211FS寄存器手册是用于指导RTL8211FS芯片操作的一本手册。RTL8211FS是一种集成了物理层接口(PHY)的以太网控制器芯片,常用于嵌入式系统中。 该寄存器手册详细描述了RTL8211FS芯片中各个寄存器的功能和使用...
FS 寄存器使用
wowbell的专栏
03-18 1093
<br />在用户层下,FS寄存器指向当前活动线程的TEB结构                  nt!_TEB<br /> +0x000 NtTib : _NT_TIB<br /> +0x01c EnvironmentPointer : Ptr32 Void<br /> +0x020 ClientId : _CLIENT_ID<br /> +0x028 ActiveRpcHandle : Ptr32 Void<br /> +0
RTL_8211FS 使用手册.rar
07-06
RTL8211FS是一款由Realtek公司生产的网络接口控制器,主要用于实现千兆以太网连接。这个数据手册是理解该芯片工作原理、配置方法以及应用的重要参考资料。以下是基于"RTL_8211FS 使用手册.rar"压缩包中的"RTL_8211F....
浅谈FS寄存器在用户层和内核层的使用
少仲
04-12 6224
在R0和R3时,FS寄存器分别指向GDT中的不同段:在R3下,FS寄存器的值是0x3B,在R0下,FS寄存器的值是0x30.分别用OD和Windbg在R3和R0下查看寄存器(XP3),下图: FS寄存器的改变是从R3进入R0后和从R0退回到R3前完成的,也就是说:都是在R0下给FS赋不同值的.(FS在R0和R3中是不同的值,在KiFastCallEntry / KiSy
利用FS寄存器获取KERNEL32.DLL基址算法的证明
sea
01-09 5041
FS寄存器指向当前活动线程的TEB结构(线程结构)偏移  说明000  指向SEH链指针004  线程堆栈顶部008  线程堆栈底部00C  SubSystemTib010  FiberData014  ArbitraryUserPointer018  FS寄存器在内存中的镜像地址020  进程PID024  线程ID02C  指向线程局部存储指针
收集点关于FS寄存器的资料,以及S.E.H结构原理
aiyun1234的博客
11-24 208
改资料转载与两处,分别是: http://blog.csdn.net/xbin8/archive/2008/03/08/2158762.aspx(收集点关于FS寄存器的资料) http://hi.baidu.com/2008momo2008/blog/item/7356fb7fcf0b070e28388ac8.html(S.E.H结构原理) 收集点关于FS寄存器的资料: FS寄存...
DS, ES, SS, DI, SI, BP, SP, IP, FS 寄存器
三生万物
10-01 5502
宽为限 紧用功 功夫到 滞塞通 DS叫做段寄存器, 指向当前运行着的程序的数据段. 你可以把它指向任何你想要的地方, 只要那个地方有你想要的数据
SEH学习心得【2】- 关于FS寄存器
BetaBin
03-13 2035
—————— 关于PEB结构在http://blog.csdn.net/betabin/article/details/7481949中列出。 —————— 看SEH少不了FS寄存器,关于其大概认识如下。 在不同的地址空间,FS寄存器指向不同的内存段。线程运行在RING0(既系统级别)下,FS段值是0x3B(XP下的值,在2000下是0x38)。运行在RING3(用户级别)下,FS段值
Windows中FS寄存器
misterliwei的专栏
06-17 6623
本文修订版见:Windows中FS寄存器 V2线程运行在RING0(系统地址空间)和RING3(用户地址空间)时,FS寄存器分别指向不同内存段的。线程运行在RING0下,FS段值是0x30(WindowsXP下值,在Windows2000下值为0x38);运行在
FS寄存器详解
weixin_30568591的博客
03-22 1947
偏移 说明 00  只想SEH链表指针 04  线程堆栈顶部(地址最小) 08  线程堆栈底部(地址最大) 0c  SubSystemTib 10  FiberData 14  ArbitraryUserPointer 18  FS寄存器在内存中的镜像 20  进程PID 24  线程ID 2c  指向线程局部存储的指针 30  PEB结构地址(进程结构) 34 ...
Windows核心编程_FS寄存器
17岁boy的博客
06-21 4550
Windows核心编程_FS寄存器FS寄存器Windows用来存储一些进程信息的,FS段的首地址是存储这些进程信息的首地址:在内核态FS指向GDT表的:0x30地址, 在用户态FS=0x3B也就是说当切换到用户态时,操作系统会把进程下正在执行的线程的某些信息写入到0X3B为起始地址的空间里,内核态时候也一样,操作系统也会写入一些关于内核程序的相关信息到0x3B里!由于进程的不同进程信息也不同,...
x86实模式寄存器一览 汇编学习
weixin_33811961的博客
07-21 134
8086 CPU 中寄存器总共为 14 个,且均为 16 位AX :累加寄存器CX :计数器寄存器DX :数据寄存器DS :数据段寄存器ES :附加段寄存器BX :基地址寄存器SI :源变址寄存器DI :目的变址寄存器CS :代码段寄存器IP :指令指针寄存器SS :栈段寄存器SP :栈指针寄存器BP :基指针寄存器FLAG:标志寄存器以上为X86系列CPU实模式...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值