FS寄存器的作用

最新推荐文章于 2025-01-22 18:39:19 发布
最新推荐文章于 2025-01-22 18:39:19 发布
阅读量8k 收藏 2
点赞数 2
分类专栏: Windows编程
 
   确实通过读取FS寄存器指定的内存可以获得很多系统关键信息, 主要是和进线程相关的很多信息,例如
代码: 
lkd> u PsGetCurrentProcess
nt!IoGetCurrentProcess:
804f0700 64a124010000    mov     eax,dword ptr fs:[00000124h]
804f0706 8b4044          mov     eax,dword ptr [eax+44h]
代码: 
lkd> u PsGetCurrentThread
nt!PsGetCurrentThread:
8052c42a 64a124010000    mov     eax,dword ptr fs:[00000124h]
    可见,fs:[00000124h] 这里存放的是当前线程的KTHREAD,有了这个结构那么当前运行的进程,线程信息就都可以取到了。by the way,这种运行状态相关的信息必然也只能通过最简单的方式获取到,因为这是获取其它信息的源头。linux kernel 通过esp 向下取整到8K 就可以得到 thread_info信息,同样的简单。
    
    那么FS作为段寄存器到底指向的是什么呢? 我取了内核态和用户态FS的值,在内核态FS=0x30, 在用户态FS=0x3B。实际上如果你去看wrk中SwapContext 和 KiSystemServices的代码就会发现,FS 只会是前面提到的两个固定值。OK, 且看内核态FS 指向哪里:
代码: 
kd> r gdtr
gdtr=8003f000
kd> dq 8003f000
8003f000  00000000`00000000 00cf9a00`0000ffff
8003f010  00cf9200`0000ffff 00cffa00`0000ffff
8003f020  00cff200`0000ffff 80008b04`200020ab
8003f030  ffc092df`f0000001 0040f300`00000fff
8003f040  0000f200`0400ffff 00000000`00000000
8003f050  80008954`a3000068 80008954`a3680068
8003f060  00009202`2f30ffff 0000920b`80003fff
8003f070  ff0092ff`700003ff 80009a40`0000ffff
  我打印了全局描述符GDTR指向的内存内容,FS 指向的描述符应该是其中一项(理论上也有可能指向LDTR,但后面会看到FS没有指向这里)。那么FS到底指的是那一项,这时候需要翻出来INTEL手册了

名称: 111.jpg 查看次数: 120 文件大小: 14.1 KB

  
代码: 
kd> .formats 0x30
Evaluate expression:
  Hex:     00000030
  Decimal: 48
  Octal:   00000000060
  Binary:  00000000 00000000 00000000 00110000
  Chars:   ...0
  Time:    Thu Jan 01 08:00:48 1970
  Float:   low 6.72623e-044 high 0
  Double:  2.37152e-322
和上面的图对照,0x30 解释的结果是
RPL 0   TI  0   Index  6
意思是从GDTR中取第6项,here we go 从前面打印的内存中取第6项,内容为
ffc092df`f0000001。后面我们需要解释这个描述符项的含义。再次参照intel手册

名称: 222.jpg 查看次数: 123 文件大小: 44.3 KB

代码: 
kd> .formats ffc092df
  
  Binary:  11111111 11000000 10010010 11011111
  
kd> .formats f0000001

  Binary:  11110000 00000000 00000000 00000001
  
按手册中规则的形式,拼接出段的基地址
11111111 11011111 11110000 00000000
把这个数值转换成16进制为 0xFFDFF000 。 如果你熟悉windows内核的话现在应该WOW了。是的,这是关于运行态最重要的信息PCR的地址,而且这个地址永远固定在0xFFDFF000(单核,XP)。这里是一个KPCR结构,这个结构里有关于当前线程的所有信息。
    至此,我们搞清楚了在内核里面为什么可以通过FS方便的取得进程,线程信息,也解释前面列举的两个函数的原理。

  在用户态,走一遍我刚才介绍的流程一切也就了然了。过程不再赘述。得到的FS 指向的虚拟内存地址为7ffdd000。这个地址正好是线程的TEB的地址。实际上,KPCR里有字段直接指向了线程的TEB。
浅谈FS段寄存器在用户层和内核层的使用
少仲
04-12 6337
在R0和R3时,FS段寄存器分别指向GDT中的不同段:在R3下,FS段寄存器的值是0x3B,在R0下,FS段寄存器的值是0x30.分别用OD和Windbg在R3和R0下查看寄存器(XP3),下图: FS寄存器的改变是从R3进入R0后和从R0退回到R3前完成的,也就是说:都是在R0下给FS赋不同值的.(FS在R0和R3中是不同的值,在KiFastCallEntry / KiSy
收集点关于FS寄存器的资料
晓斌的博客
03-08 5859
FS寄存器指向当前活动线程的TEB结构(线程结构)偏移  说明000  指向SEH链指针004  线程堆栈顶部008  线程堆栈底部00C  SubSystemTib010  FiberData014  ArbitraryUserPointer018  FS段寄存器在内存中的镜像地址020  进程PID024  线程ID02C  指向线程局部存储指针030  PEB结构地址(进程结构)034  上
汇编与逆向(二)-汇编基础
m0_61598337的博客
01-22 1567
MOVS指令执行后,EDI和ESI寄存器指向的地址自动增加或减少1个单位(1字节、2字节或4字节),增加或减少受EFLAGS标志寄存器的DF标志位影响,DF位为0时增加,为1时减少。3.算术运算指令:ADD,SUB,ADC(带进位的加法指令=ADD+标志寄存器CF位的值),SBB(带借位的减法指令=SUB-标志寄存器CF位的值),INC(加1指令),DEC(减1指令)PUSHAD,即在堆栈上压入所有的32位寄存器,顺序依次为EAX,ECX,EDX,EBX,ESP,EBP,ESI,EDI。
FS寄存器资料
syflyhua的专栏
05-23 1545
转自 http://blog.youkuaiyun.com/yushiqiang1688/archive/2010/01/04/5127180.aspx FS寄存器指向当前活动线程的TEB结构(线程结构) 偏移  说明 000  指向SEH链指针 004  线程堆栈顶部 008  线程堆栈底部 00C  SubSystemTib 010  FiberData 014  ArbitraryUse
FS寄存器
lei35151的专栏
04-27 1195
WinNT内核下内存采用保护模式,段寄存器的意义与实模式汇编下的意义不同了。fs[0]就是异常入口队列的首指针(seh) 。另外,FS存的是段选择子,而不是实模式下的高16位基地址。 struct _seh{      struct _seh * lpNextSeh;      LPVOID lpFuncEntry; } FS寄存器指向当前活动线程的TEB结构(线程结构) 偏移 说
fs寄存器
最新发布
03-08
</think>### FS寄存器在x86架构中的作用 在x86架构中,$FS$寄存器是**段寄存器**(Segment Register)之一,属于扩展的段寄存器(还包括$GS$)。其核心功能是通过分段机制提供内存访问的基址,但在不同操作模式和...
rtl8211fs寄存器手册
09-28
RTL8211FS寄存器手册是用于指导RTL8211FS芯片操作的一本手册。RTL8211FS是一种集成了物理层接口(PHY)的以太网控制器芯片,常用于嵌入式系统中。 该寄存器手册详细描述了RTL8211FS芯片中各个寄存器的功能和使用...
易语言实现FS寄存器获取线程与进程ID教程
FS寄存器是一个段寄存器,在x86架构的处理器中用于指向当前线程的TEB(Thread Environment Block)。TEB包含了线程的堆栈信息、进程标识等关键数据。 5. TEB(Thread Environment Block) TEB是线程环境块,是一个...
FS 寄存器使用
wowbell的专栏
03-18 1159
<br />在用户层下,FS寄存器指向当前活动线程的TEB结构                  nt!_TEB<br /> +0x000 NtTib : _NT_TIB<br /> +0x01c EnvironmentPointer : Ptr32 Void<br /> +0x020 ClientId : _CLIENT_ID<br /> +0x028 ActiveRpcHandle : Ptr32 Void<br /> +0
linux中fs作用,“ FS” /“ GS”寄存器的用途是什么?
weixin_39714015的博客
05-14 1451
TL; DR;“ FS” /“ GS”寄存器的用途是什么?只需访问默认数据段(DS)之外的数据。就像ES。长读:因此,我知道以下寄存器及其用途是什么:[...]好吧,但DS几乎不是“某些”数据段,而是默认数据段。默认情况下所有操作都发生(* 1)。这是所有默认变量都位于-本质上data和bss。这是x86代码非常紧凑的部分原因。所有最常用的基本数据(加上代码和堆栈)都在16位速记距离之内。ES用于...
fs:[0]到底表示什么?fs段寄存器在WINDOWS系统中的作用
热门推荐
CharlesPrince的专栏
04-29 1万+
fs:[0]到底表示什么?TEB,PEB,TIB,PCRB结构的表示。 fs段寄存器在WINDOWS系统中的作用
Windows中FS段寄存器
misterliwei的专栏
06-17 6718
本文修订版见:Windows中FS段寄存器 V2线程运行在RING0(系统地址空间)和RING3(用户地址空间)时,FS段寄存器分别指向不同内存段的。线程运行在RING0下,FS段值是0x30(WindowsXP下值,在Windows2000下值为0x38);运行在
收集点关于FS寄存器的资料,以及S.E.H结构原理
aiyun1234的博客
11-24 256
改资料转载与两处,分别是: http://blog.youkuaiyun.com/xbin8/archive/2008/03/08/2158762.aspx(收集点关于FS寄存器的资料) http://hi.baidu.com/2008momo2008/blog/item/7356fb7fcf0b070e28388ac8.html(S.E.H结构原理) 收集点关于FS寄存器的资料: FS寄存...
很有用的FS寄存器
weixin_33810302的博客
05-21 88
FS寄存器非常强大! FS寄存器指向当前活动线程的TEB结构(线程结构)偏移 说明000 指向SEH链指针004 线程堆栈顶部008 线程堆栈底部00C SubSystemTib010 FiberData014 ArbitraryUserPointer018 FS段寄存器在内存中的镜像地址020 进程PID024 线程ID02C 指向线程局部存储指针030 PEB结构地址...
DS, ES, SS, DI, SI, BP, SP, IP, FS 寄存器
三生万物
10-01 5845
宽为限 紧用功 功夫到 滞塞通 DS叫做段寄存器, 指向当前运行着的程序的数据段. 你可以把它指向任何你想要的地方, 只要那个地方有你想要的数据
浅谈一下FS段寄存器在用户层和内核层的使用
dog0230的博客
05-10 390
菜鸟一枚,有一段时间不搞内核了,分享一下以前学习的结果,有不对的地方请各位指点,大牛飘过~~ 在R0和R3时,FS段寄存器分别指向GDT中的不同段:在R3下,FS段寄存器的值是0x3B,在R0下,FS段寄存器的值是0x30。分别用OD和Windbg在R3和R0下查看寄存器(XP3),下图: FS寄存器的改变是从R3进入R0后和从R0退回到R3前完成的,也就是说:都是在R0...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值