汇编fs段

最新推荐文章于 2019-12-05 00:53:43 发布
最新推荐文章于 2019-12-05 00:53:43 发布
阅读量2.1k 收藏 1
点赞数
分类专栏: PE文件分析

FS寄存器指向当前活动线程的TEB结构(线程结构)
偏移  说明
000  指向SEH链指针
004  线程堆栈顶部
008  线程堆栈底部
00C  SubSystemTib
010  FiberData
014  ArbitraryUserPointer
018  FS段寄存器在内存中的镜像地址
020  进程PID
024  线程ID
02C  指向线程局部存储指针
030  PEB结构地址(进程结构)
034  上个错误号


得到KERNEL32.DLL基址的方法
assume fs:nothing             ;打开FS寄存器
mov eax,fs:[30h]            ;得到PEB结构地址
mov eax,[eax + 0ch]        ;得到PEB_LDR_DATA结构地址
mov esi,[eax + 1ch]        ;InInitializationOrderModuleList
lodsd                      ;得到KERNEL32.DLL所在LDR_MODULE结构的InInitializationOrderModuleList地址
mov edx,[eax + 8h]         ;得到BaseAddress,既Kernel32.dll基址 

C/C++程序员为什么要了解汇编?了解汇编有哪些好处?如何学习汇编
dvlinker的技术专栏
10-09 14万+
本文详细讲解了C++程序员为什么要了解汇编,了解汇编都有哪些具体的好处,如何学习汇编,以及如何看懂汇编代码上下文等,希望能给大家提供一定的借鉴或参考。
现代 c++ 四:查看汇编代码、看懂汇编代码
最新发布
antsmall的专栏
05-23 3078
很多时候,要真正理解 c++ 一些特性的实现原理,最快的方式是自己亲自查看 c++ 代码对应的汇编代码。本文记录一下 c++ 如何查看生成出来的汇编代码,以及如何看懂代码,部分内容参考自《深入理解计算机系统》[1]。
Windows 中 FS 寄存器
weixin_34408717的博客
11-06 549
代码运行在RING0(系统地址空间)和RING3(用户地址空间)时,FS寄存器分别指向GDT(全局描述符表)中不同:在RING3下,FS值是0x3B(这是WindowsXP下值;在Windows2000下值为0x38。差别就是在XP下RPL=3);运行在RING0下时,FS寄存器值是0x30。下面以XP为例说说。 一.RING3下的FS ...
FS寄存器
liwei8703的专栏
12-15 725
FS寄存器指向当前活动线程的TEB结构(线程结构)偏移  说明000  指向SEH链指针004  线程堆栈顶部008  线程堆栈底部00C  SubSystemTib010  FiberData014  ArbitraryUserPointer018  FS寄存器在内存中的镜像地址020  进程PID024  线程ID02C  指向线程局部存储指针030  PEB结构地址(进程结构)034  上
Windows核心编程_FS寄存器
17岁boy的博客
06-21 4905
Windows核心编程_FS寄存器FS寄存器Windows用来存储一些进程信息的,FS的首地址是存储这些进程信息的首地址:在内核态FS指向GDT表的:0x30地址, 在用户态FS=0x3B也就是说当切换到用户态时,操作系统会把进程下正在执行的线程的某些信息写入到0X3B为起始地址的空间里,内核态时候也一样,操作系统也会写入一些关于内核程序的相关信息到0x3B里!由于进程的不同进程信息也不同,...
汇编fs 寄存器
热门推荐
tangyanzhi1111的专栏
05-15 1万+
tangyanzhi11110我的:收件箱资源博客空间设置|帮助|退出 首页业界移动云计算研发论坛博客下载 更多 彼月的专栏 目录视图摘要视图订阅 有奖征集活动系列——【HTML5游戏编程之旅】        专访雷果国:我从1.5K到18K的成长之路      【限时优惠】第五届云计算大会社区门票抢购  探究云计
汇编语言教程-寄存器的说明语句
07-19
在x86架构的计算机中,寄存器包括代码寄存器(CS)、数据寄存器(DS)、附加寄存器(ES)、堆栈寄存器(SS)、寄存器(FS)和寄存器(GS)。这些寄存器对于程序的内存管理至关重要。 在汇编语言的...
fs.rar_汇编语言_Asm_
08-10
标题中的"fs.rar_汇编语言_Asm_"表明这是一个关于汇编语言的项目,而"fs.asm"是压缩包中的主要文件,很可能包含了实现自编贪食蛇小游戏的源代码。汇编语言(Assembly Language)是计算机编程的一种底层语言,它直接...
Fs6502:用 F# 编写的 6502 汇编器和仿真器
06-20
Fs6502:F#实现的6502汇编器与仿真器详解》 Fs6502是一个有趣的编程项目,它利用F#编程语言实现了6502微处理器的汇编器和仿真器。6502是一款经典的8位微处理器,广泛应用于1970年代至1980年代的许多家用计算机...
FS寄存器详解
weixin_30568591的博客
03-22 1995
偏移 说明 00  只想SEH链表指针 04  线程堆栈顶部(地址最小) 08  线程堆栈底部(地址最大) 0c  SubSystemTib 10  FiberData 14  ArbitraryUserPointer 18  FS 寄存器在内存中的镜像 20  进程PID 24  线程ID 2c  指向线程局部存储的指针 30  PEB结构地址(进程结构) 34 ...
Windows中FS寄存器
misterliwei的专栏
06-17 6766
本文修订版见:Windows中FS寄存器 V2线程运行在RING0(系统地址空间)和RING3(用户地址空间)时,FS寄存器分别指向不同内存的。线程运行在RING0下,FS值是0x30(WindowsXP下值,在Windows2000下值为0x38);运行在
SEH学习心得【2】- 关于FS寄存器
BetaBin
03-13 2111
—————— 关于PEB结构在http://blog.youkuaiyun.com/betabin/article/details/7481949中列出。 —————— 看SEH少不了FS寄存器,关于其大概认识如下。 在不同的地址空间,FS寄存器指向不同的内存。线程运行在RING0(既系统级别)下,FS值是0x3B(XP下的值,在2000下是0x38)。运行在RING3(用户级别)下,FS
浅谈FS寄存器在用户层和内核层的使用
weixin_33774615的博客
05-06 594
2019独角兽企业重金招聘Python工程师标准>>> ...
浅谈一下FS寄存器在用户层和内核层的使用
dog0230的博客
05-10 425
菜鸟一枚,有一时间不搞内核了,分享一下以前学习的结果,有不对的地方请各位指点,大牛飘过~~ 在R0和R3时,FS寄存器分别指向GDT中的不同:在R3下,FS寄存器的值是0x3B,在R0下,FS寄存器的值是0x30。分别用OD和Windbg在R3和R0下查看寄存器(XP3),下图: FS寄存器的改变是从R3进入R0后和从R0退回到R3前完成的,也就是说:都是在R0...
Windows中FS寄存器 V2
misterliwei的专栏
07-29 7615
Normal 0 7.8 磅 0 2 false false false MicrosoftInternetExplorer4 <object class
40 进程与线程之Windows线程切换——FS寄存器
qq_18059143的博客
12-05 632
FS:[0]寄存器在3环时指向TEB.进入0环后FS:[0]指向KPCR 系统中同时存在很多个线程,这就意味着FS:[0]在3环时指向的TEB要有多个(每个线程一份)。 但在实际的使用中我们发现,当我们在3环查看不同线程的FS寄存器时, FS选择子都是相同的,那是如何实现通过一个FS寄存器指向多个TEB呢? 下面是ida的分析SwapContext代码 ; CODE XREF: Sw...
ARM汇编指令
duckprom的专栏
01-10 1355
ARM汇编指令 ARM处理器的指令集可以分为跳转指令、数据处理指令、程序状态寄存器(PSR)处理指令、加载/存储指令、协处理器指令和异常产生指令6大指令。 一、跳转指令 跳转指令用于实现程序流程的跳转,在ARM程序中有以下两种方法可以实现程序流程的跳转。 Ⅰ.使用专门的跳转指令; Ⅱ.直接向程序计数器PC写入跳转地址值,通过向程序计数器PC写入跳转地址值,可以实现在4GB的地址空间中的任
<转>汇编中的fs:[0]
weixin_34290390的博客
06-09 611
FS寄存器指向当前活动线程的TEB结构(线程结构)偏移 说明000 指向SEH链指针004 线程堆栈顶部008 线程堆栈底部00C SubSystemTib010 FiberData014 ArbitraryUserPointer018 FS寄存器在内存中的镜像地址020 进程PID024 线程ID02C 指向线程局部存储指针030 PEB结构地址(进程结构)034 上个错误号...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值