JIURL玩玩Win2k进程线程篇 TEB

Windows 2k 进程线程探索：TEB结构详解

最新推荐文章于 2020-05-02 13:58:33 发布

原创最新推荐文章于 2020-05-02 13:58:33 发布 · 2.6k 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#struct #exception #attributes #string #thread #function

本文深入探讨了Windows 2000系统中进程和线程的交互，重点关注线程环境块（TEB）结构。通过解析TEB的各个字段，包括struct、exception处理、attributes、线程字符串和函数调用，揭示了系统如何管理和维护线程状态。了解这些基础知识对于系统级编程和调试至关重要。

JIURL玩玩Win2k进程线程篇 TEB

作者: JIURL

主页: http://jiurl.yeah.net

日期: 2003-7-30

TEB，Thread Environment Block，线程环境块。位于用户地址空间。在比 PEB 所在地址低的地方，比如 0x7FFDF000，0x7FFDE000。每个线程都有自己的一个 TEB。由于 TEB 在用户地址空间，所以本进程中运行在用户模式下的代码就可以访问 TEB 结构。Win2k Build 2195 中一个线程的 ETHREAD 结构偏移 +020 处的 *Teb 指向这个线程的 TEB 结构。在 undocumented.ntinternals.net （需要注意的是这是个非官方的站点）我们可以找到 TEB 及其相关结构的定义。从 kd 中也可以找到一些相关结构的定义。我们首先列出结构的定义，然后对一些内容进行说明。

// 来自 undocumented.ntinternals.net
typedef struct _TEB {
NT_TIB Tib;
PVOID EnvironmentPointer;
CLIENT_ID Cid;
PVOID ActiveRpcInfo;
PVOID ThreadLocalStoragePointer;
PPEB Peb;
ULONG LastErrorValue;
ULONG CountOfOwnedCriticalSections;
PVOID CsrClientThread;
PVOID Win32ThreadInfo;
ULONG Win32ClientInfo[0x1F];
PVOID WOW32Reserved;
ULONG CurrentLocale;
ULONG FpSoftwareStatusRegister;
PVOID SystemReserved1[0x36];
PVOID Spare1;
ULONG ExceptionCode;
ULONG SpareBytes1[0x28];
PVOID SystemReserved2[0xA];
ULONG GdiRgn;
ULONG GdiPen;
ULONG GdiBrush;
CLIENT_ID RealClientId;
PVOID GdiCachedProcessHandle;
ULONG GdiClientPID;
ULONG GdiClientTID;
PVOID GdiThreadLocaleInfo;
PVOID UserReserved[5];
PVOID GlDispatchTable[0x118];
ULONG GlReserved1[0x1A];
PVOID GlReserved2;
PVOID GlSectionInfo;
PVOID GlSection;
PVOID GlTable;
PVOID GlCurrentRC;
PVOID GlContext;
NTSTATUS LastStatusValue;
UNICODE_STRING StaticUnicodeString;
WCHAR StaticUnicodeBuffer[0x105];
PVOID DeallocationStack;
PVOID TlsSlots[0x40];
LIST_ENTRY TlsLinks;
PVOID Vdm;
PVOID ReservedForNtRpc;
PVOID DbgSsReserved[0x2];
ULONG HardErrorDisabled;
PVOID Instrumentation[0x10];
PVOID WinSockData;
ULONG GdiBatchCount;
ULONG Spare2;
ULONG Spare3;
ULONG Spare4;
PVOID ReservedForOle;
ULONG WaitingOnLoaderLock;
PVOID StackCommit;
PVOID StackCommitMax;
PVOID StackReserved;
} TEB, *PTEB;

// 来自 kd
struct _NT_TIB (sizeof=28)
+00 struct _EXCEPTION_REGISTRATION_RECORD *ExceptionList
+04 void *StackBase
+08 void *StackLimit
+0c void *SubSystemTib
+10 void *FiberData
+10 uint32 Version
+14 void *ArbitraryUserPointer
+18 struct _NT_TIB *Self

struct _CLIENT_ID (sizeof=8)
+0 void *UniqueProcess
+4 void *UniqueThread

struct _EXCEPTION_REGISTRATION_RECORD (sizeof=8)
+0 struct _EXCEPTION_REGISTRATION_RECORD *Next
+4 function *Handler

struct _UNICODE_STRING (sizeof=8)
+0 uint16 Length
+2 uint16 MaximumLength
+4 uint16 *Buffer

异常处理链

struct _TEB
struct _NT_TIB (sizeof=28)
+00 struct _EXCEPTION_REGISTRATION_RECORD *ExceptionList

指向结构化异常处理(SEH)链的指针。

线程用户模式下的堆栈

struct _TEB
struct _NT_TIB (sizeof=28)
+04 void *StackBase
+08 void *StackLimit

一个线程，有两个自己的堆栈(Stack)。一个是内核模式下的堆栈，一个是用户模式下的堆栈。当线程在内核模式，也就是 ring0 下，执行代码的时候，使用的是内核模式堆栈。当线程在用户模式下，也就是 ring3 下，执行代码的时候，使用的是用户模式堆栈。某些只在内核模式运行的线程没有用户模式堆栈，比如 System 进程（PID为8的进程）的一些线程。

一个线程的用户模式堆栈，位于用户地址空间。线程 TEB 偏移 +04 处的 StackBase 是该线程用户模式堆栈的最高地址，也就是开始地址，堆栈是向下增长的。线程 TEB 偏移 +08 处的 StackLimit 是该线程用户模式堆栈的最低地址（有效部分）。

线程的内核模式堆栈的信息在线程 ETHREAD 结构中。

FS 段

在系统的许多函数的汇编代码中我们进程可以看到使用 fs 段。对于 x86 来说，分段机制是默认，并且必须使用的。Win2k 使用了平坦(Flat)模型，把段设为整个4G地址空间，隐藏了分段机制。不过 fs 段是一个例外。对于运行在用户模式下，也就是运行在ring3下的程序，fs 段是当前线程的 TEB 所在地址空间。对于运行在内核模式下，也就是运行在ring0下的程序，fs 段是从地址 FFDFF000 开始，大小为 0x2000 的那部分地址空间。

下面我们使用 SoftICE 分别观察在 ring3 执行代码的 FS段和在 ring0 执行代码的 FS段。

ring3

在ring3执行某一时刻的段寄存器和全局描述符表

:r -d
CS:EIP=001B:00401919 SS:ESP=0023:0012FE20
EAX=00000001 EBX=7FFDF000 ECX=0012FFB0 EDX=00040000
ESI=0012FE20 EDI=0012FF80 EBP=0012FF80 EFL=00000246
DS=0023 ES=0023 FS=0038 GS=0000

注意 CS 为 1B ，说明 CPL 为 ring3。注意 FS 段选择符。

:gdt
Sel. Type Base Limit DPL Attributes
GDTbase=80036000 Limit=03FF
0008 Code32 00000000 FFFFFFFF 0 P RE
0010 Data32 00000000 FFFFFFFF 0 P RW
001B Code32 00000000 FFFFFFFF 3 P RE
0023 Data32 00000000 FFFFFFFF 3 P RW
0028 TSS32 801F4000 000020AB 0 P B
0030 Data32 FFDFF000 00001FFF 0 P RW
003B Data32 7FFDE000 00000FFF 3 P RW
// FS 对应的段描述符，Base=7FFDE000 DPL=3
// 当前的线程的 TEB 就在 7FFDE000 开始处的 4KB 地址空间中。
0043 Data16 00000400 0000FFFF 3 P RW
0048 Reserved 00000000 00000000 0 NP
0050 TSS32 80470040 00000068 0 P
...

ring0

刚才的ring3程序进行系统调用，产生了 int 2e 中断。当转到中断2e的中断处理程序时，CPU 以及转换了堆栈段，代码段。中断2e的中断处理程序会把原来的fs段选择符压栈，将fs段选择符赋值为30。

这时的段寄存器和全局描述符表

// 注意 CS 和 SS ，CPL 已经是 ring0 了。注意 FS 值为30。
:r -d
CS:EIP=0008:804615DD SS:ESP=0010:EF0B5DB4
EAX=00000038 EBX=00000030 ECX=80002000 EDX=0012FD9C
ESI=00000000 EDI=0012FF80 EBP=0012FDF8 EFL=00000002
DS=0023 ES=0023 FS=0030 GS=0000

:gdt
Sel. Type Base Limit DPL Attributes
GDTbase=80036000 Limit=03FF
0008 Code32 00000000 FFFFFFFF 0 P RE
0010 Data32 00000000 FFFFFFFF 0 P RW
001B Code32 00000000 FFFFFFFF 3 P RE
0023 Data32 00000000 FFFFFFFF 3 P RW
0028 TSS32 801F4000 000020AB 0 P B
0030 Data32 FFDFF000 00001FFF 0 P RW
// FS 对应的段描述符，Base=FFDFF000 DPL=0
003B Data32 7FFDE000 00000FFF 3 P RW
...

用户模式下的 FS 段是当前线程的 TEB。
内核模式下的 FS 段，是 FFDFF000 开始的8KB（通常只有4KB映射了物理内存）地址空间。它的内容是和当前线程有关的一些信息。其中
偏移+00 处的4个字节是内核模式下 EXCEPTION_REGISTRATION_RECORD *ExceptionList 。
偏移+04 处的4个字节，偏移+08 处的4个字节，是和线程内核堆栈有关的信息。
偏移+124 处的4个字节，是指向当前线程的 ETHREAD 结构的指针。
注意 FFDFF000 开始的这段地址空间中是当前线程的有关信息，对于不同的线程，这段地址空间中的内容也是不一样。

为了方便观察某个进程地址空间中内容，我写了一个叫 JiurlProcessMemSee 的程序，可以获得指定进程地址空间中的内容。