浅谈FS段寄存器在用户层和内核层的使用

最新推荐文章于 2021-07-12 11:06:04 发布
最新推荐文章于 2021-07-12 11:06:04 发布
阅读量6.2k 收藏 6
点赞数
分类专栏: Windows安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/py_panyu/article/details/45011505
版权
本文详细介绍了FS段寄存器在用户层(R3)和内核层(R0)的不同作用,指出在R3下FS指向线程环境块(TEB),而在R0下则指向处理器控制区域(KPCR)。通过FS寄存器,可以访问到线程相关的结构,如ETHREAD、KTHREAD和TEB,并提供了获取KTHREAD和IdleProcess的实例。
摘要由CSDN通过智能技术生成

 

 

 

 

在R0和R3时,FS段寄存器分别指向GDT中的不同段:在R3下,FS段寄存器的值是0x3B,在R0下,FS段寄存器的值是0x30.分别用OD和Windbg在R3和R0下查看寄存器(XP3),下图:

 

 

FS寄存器的改变是从R3进入R0后和从R0退回到R3前完成的,也就是说:都是在R0下给FS赋不同值的.(FS在R0和R3中是不同的值,在KiFastCallEntry / KiSystemService中FS值由0x3B变成0x30在 KiSystemCallExit / KiSystemCallExitBranch / KiSystemCallExit2 中再将R3的FS恢复)

 

一.R3与R0之间的互相转换

 

nt!KiSystemService:
808696a1 6a00            push    0
808696a3 55              push    ebp
808696a4 53              push    ebx
808696a5 56              push    esi
808696a6 57              push    edi
808696a7 0fa0            push    fs    //旧的R3 下的FS 保存入栈 
808696a9 bb30000000      mov     ebx,30h
808696ae 668ee3          mov     fs,bx  //FS=0X30  FS 值变成了0X30
808696b1 64ff3500000000  push    dword ptr fs:[0]
808696b8 64c70500000000ffffffff mov dword ptr fs:[0],0FFFFFFFFh
808696c3 648b3524010000  mov     esi,dword ptr fs:[124h]  //ESI=_ETHEAD
808696ca ffb640010000    push    dword ptr [esi+140h]     //PreviousMode
808696d0 83ec48          sub     esp,48h                  
808696d3 8b5c246c        mov     ebx,dword ptr [esp+6Ch]  


KiSystemCallExit部分代码
80869945 8d6550          lea     esp,[ebp+50h]
80869948 0fa1            pop     fs       // 恢复 FS 值 
8086994a 8d6554          lea     esp,[ebp+54h]
8086994d 5f              pop     edi
8086994e 5e              pop     esi
8086994f 5b              pop     ebx
80869950 5d
最低0.47元/天 解锁文章
少仲_
关注
专栏目录
WindowsFS 段寄存器
weixin_34408717的博客
11-06 501
代码运行在RING0(系统地址空间)和RING3(用户地址空间)时,FS段寄存器分别指向GDT(全局描述符表)中不同段:在RING3下,FS段值是0x3B(这是WindowsXP下值;在Windows2000下值为0x38。差别就是在XP下RPL=3);运行在RING0下时,FS段寄存器值是0x30。下面以XP为例说说。 一.RING3下的FS ...
cpu与寄存器内核态与用户态及如何切换
dihu4654的博客
05-18 1016
cpu:相当于计算机的大脑负责运算和发送命令; 寄存器寄存器是cpu当中的一个有限存储部件,cpu从内存调用数据时,寄存器会将从内存调用的数据进行更新在寄存器中以一个字或变量进行存储。 寄存器总共分为四种: 1.通用寄存器:用来保存变量与临时结果 2.程序寄存器:保存了将要取下的一条指令的内存地址 ...
Linux中的分段
forsakening的专栏
07-23 1514
转载地址:http://blog.163.com/yangfan876@126/blog/static/8061245620129234105537/ ---------------------------------------------------------------------------------------------------------------------------
linux中fs的作用,“ FS” /“ GS”寄存器的用途是什么?
weixin_39714015的博客
05-14 1390
TL; DR;“ FS” /“ GS”寄存器的用途是什么?只需访问默认数据段(DS)之外的数据。就像ES。长读:因此,我知道以下寄存器及其用途是什么:[...]好吧,但DS几乎不是“某些”数据段,而是默认数据段。默认情况下所有操作都发生(* 1)。这是所有默认变量都位于-本质上data和bss。这是x86代码非常紧凑的部分原因。所有最常用的基本数据(加上代码和堆栈)都在16位速记距离之内。ES用于...
浅谈一下FS段寄存器用户内核使用
最新发布
06-09
需要注意的是,在用户内核中,FS寄存器使用方式和具体实现略有不同。在用户中,可以使用指令“MOV FS:[0], EAX”来将EAX寄存器的值存储到当前线程的TIB中。而在内核中,由于地址空间的切换,需要使用...
Linux:浅谈tack_struct
peter——wang的博客
06-19 653
进程的概念:OS:程序的一个执行实例。正在执行的程序,能分配处理器并由处理器执行的实体。 内核:但当分配系统资源的实体。 进程的两个基本元素是程序代码和代码相连的数据集。进程是一种动态描述,但并不代表所有进程都在运行。进程描述:每个进程在内核中都有⼀一个进程控制块(PCB)来维护进程相关的信息,Linux内核的 进程控制块是task_struct结构体。现在我们全⾯面了解⼀一下其中都有哪些信息
FS 寄存器使用
wowbell的专栏
03-18 1122
<br />在用户下,FS寄存器指向当前活动线程的TEB结构                  nt!_TEB<br /> +0x000 NtTib : _NT_TIB<br /> +0x01c EnvironmentPointer : Ptr32 Void<br /> +0x020 ClientId : _CLIENT_ID<br /> +0x028 ActiveRpcHandle : Ptr32 Void<br /> +0
浅谈PWN基础-栈溢出
qq_45751349的博客
04-04 749
一、预备知识 缓冲区溢出简单介绍 缓冲区溢出:简单的说,缓冲区溢出就是超长的数据向小缓冲区复制,导致数据超出了小缓冲区,导致缓冲区其他的数据遭到破坏,这就是缓冲区溢出。而栈溢出是缓冲区溢出的一种,也是最常见的。只不过栈溢出发生在栈,堆溢出发生在堆,其实都是一样的。 二、简介栈 栈:栈是一种计算机系统中的数据结构,它按照先进后出的原则存储数据,先进入的数据被压入栈底,最后的数据在栈顶,需要读数据的时...
FS寄存器
it技术学习
11-27 1422
FS寄存器指向当前活动线程的TEB结构(线程结构) 偏移  说明 000  指向SEH链指针 004  线程堆栈顶部 008  线程堆栈底部 00C  SubSystemTib 010  FiberData 014  ArbitraryUserPointer 018  FS段寄存器在内存中的镜像地址 020  进程PID 024  线程ID 02C  指向线程局部存储指针
用户态和内核
Jia ming 的日常学习笔记
07-12 226
用户态和内核态;
linux fs
yangzhenwen的博客
09-19 1827
在内存中, 每个文件都有一个dentry(目录项)和inode(索引节点)结构,dentry记录着文件名,上级目录等信息,正是它形成了我们所看到的树状结构;而有关该文件的组织和管理的信息主要存放inode里面,它记录着文件在存储介质上的位置与分布。 struct dentry {     /* RCU lookup touched fields */     unsigned int d
收集点关于FS寄存器的资料
晓斌的博客
03-08 5837
FS寄存器指向当前活动线程的TEB结构(线程结构)偏移  说明000  指向SEH链指针004  线程堆栈顶部008  线程堆栈底部00C  SubSystemTib010  FiberData014  ArbitraryUserPointer018  FS段寄存器在内存中的镜像地址020  进程PID024  线程ID02C  指向线程局部存储指针030  PEB结构地址(进程结构)034  上
WindowsFS段寄存器
misterliwei的专栏
06-17 6663
本文修订版见:WindowsFS段寄存器 V2线程运行在RING0(系统地址空间)和RING3(用户地址空间)时,FS段寄存器分别指向不同内存段的。线程运行在RING0下,FS段值是0x30(WindowsXP下值,在Windows2000下值为0x38);运行在
Windows核心编程_FS段寄存器
17岁boy的博客
06-21 4622
Windows核心编程_FS段寄存器FS段寄存器Windows用来存储一些进程信息的,FS段的首地址是存储这些进程信息的首地址:在内核FS指向GDT表的:0x30地址, 在用户FS=0x3B也就是说当切换到用户态时,操作系统会把进程下正在执行的线程的某些信息写入到0X3B为起始地址的空间里,内核态时候也一样,操作系统也会写入一些关于内核程序的相关信息到0x3B里!由于进程的不同进程信息也不同,...
浅谈 Signal 与 APC 实现
FadeTrack
07-11 1504
引言之前在学习 linux signal 机制实现的时候,发现和 windows 的APC机制有些不谋而合的味道,遂贴出了二者在使用上相同的片段。今天专程花时间对APC的实现进行了分析,好好扒一扒二者在实现上异同之处。 本文的错误或不足之处望大家指正。本文环境抛开环境对比分析实现是不可能,要限定一个范围。 本文的 signal 机制参考为 linux 1.0.9 本文的 APC 机制参考为 WR
FS寄存器的作用
tanweng的专栏
05-15 7953
确实通过读取FS寄存器指定的内存可以获得很多系统关键信息, 主要是和进线程相关的很多信息,例如 代码: lkd> u PsGetCurrentProcess nt!IoGetCurrentProcess: 804f0700 64a124010000    mov     eax,dword ptr fs:[00000124h] 804f0706 8b4044          mov
WindowsFS 段寄存器 V2
求索
03-11 1053
WindowsFS 段寄存器 V2
fs寄存器
weixin_30502965的博客
10-01 433
1、fs寄存器在Ring0中指向一个称为KPCR的数据结构,即FS段的起点与KPCR结构对齐。 2、对于Ring3的应用程序,fs:[0]的地址指向的是TEB结构,这个结构的开头是一个NT_TIB结构,NT_TIB结构的0x18偏移处是一个Self指针,指向这个结构自身,也就是指向TEB结构的开头。 TEB结构的0x30偏移是一个指向PEB的指针。PEB又是一个结构,这个结构的0x2偏移处是一...
Linux中的五个数据段
pigff的博客
09-18 1876
进程(执行的程序)会占用一定数量的内存,它或是用来存放从磁盘载入的程序代码,或是存放取自用户输入的数据等等。不过进程对这些内存的管理方式因内存用途 不一而不尽相同,有些内存是事先静态分配和统一回收的,而有些却是按需要动态分配和回收的。对任何一个普通进程来讲,它都会涉及到5种不同的数据段。 下面我们来简单归纳一下进程对应的内存空间中所包含的5种不同的数据区都是干什么的。BSS段:BSS段(bss s
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值