mov eax,dword ptr fs:[0] 指令

最新推荐文章于 2023-03-24 23:26:32 发布
转载 最新推荐文章于 2023-03-24 23:26:32 发布 · 3.2k 阅读 · 1

本文详细介绍了FS寄存器在Windows操作系统中如何指向线程的TEB结构,并通过该结构获取KERNEL32.DLL的基址。包括FS寄存器的偏移说明,如SEH链指针、线程堆栈信息等,以及通过PEB结构和LDR_MODULE结构定位DLL基址的具体步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

FS寄存器指向当前活动线程的TEB结构(线程结构)

 

偏移 说明
000 指向SEH链指针
004 线程堆栈顶部
008 线程堆栈底部
00C SubSystemTib
010 FiberData
014 ArbitraryUserPointer
018 FS段寄存器在内存中的镜像地址
020 进程PID
024 线程ID
02C 指向线程局部存储指针
030 PEB结构地址(进程结构)
034 上个错误号




得到KERNEL32.DLL基址的方法
assume fs:nothing             ;打开FS寄存器
mov eax,fs:[30h]            ;得到PEB结构地址
mov eax,[eax + 0ch]        ;得到PEB_LDR_DATA结构地址
mov esi,[eax + 1ch]        ;InInitializationOrderModuleList
lodsd                      ;得到KERNEL32.DLL所在LDR_MODULE结构的InInitializationOrderModuleList地址
mov edx,[eax + 8h]         ;得到BaseAddress,既Kernel32.dll基址

C++反汇编揭秘1 – 一个简单C++程序反汇编解析 (Rev. 3)
张羿的优快云专栏
11-14 1万+
如果想要了解C++内部的实现原理,没有什么比观察C++代码对应的汇编代码来的更直接了。本系列主要从汇编角度研究C++代码和汇编的对应关系,揭示C++内部的机制和原理。在第一篇文章中我将从一个简单的C++程序着手快速解释一下C++反汇编代码的基本的结构和内容,相当于一个简单的Preview。而在后续的文章中,我将根据不同的Topic,详细解释C++代码对应的反汇编代码。一个简单的C++程序示
Windows 中 FS 段寄存器
weixin_34408717的博客
11-06 552
代码运行在RING0(系统地址空间)和RING3(用户地址空间)时,FS段寄存器分别指向GDT(全局描述符表)中不同段:在RING3下,FS段值是0x3B(这是WindowsXP下值;在Windows2000下值为0x38。差别就是在XP下RPL=3);运行在RING0下时,FS段寄存器值是0x30。下面以XP为例说说。 一.RING3下的FS ...
FS:0 FS:[0]之差异
weixin_34062469的博客
09-13 953
FS:0指向线程环境块TEB; FS:[0]指向当前线程的结构化异常处理结构(SEH); FS:0指向TEB的理解应该是: TEB结构存放于FS段从0开始的位置,整个TEB结构数据在FS段中; FS:[0]指向当前线程的结构化异常处理结构的理解应该是:FS:0所指向的TEB结构中,第一个元素指向当前线程的结构化异常处理结构,而这个结构存在与DS段中; 部分TE...
FS寄存器
求索
09-18 1052
FS寄存器指向当前活动线程的TEB结构(线程结构)偏移 说明000 指向SEH链指针004 线程堆栈顶部008 线程堆栈底部00C SubSystemTib010 FiberData014 ArbitraryUserPointer018 FS段寄存器在内存中的镜像地址020 进程PID024 线程ID02C 指向线程局部存储指针030 PEB结构地址(进程结构)034 上个错误号得到KER
<转>汇编中的fs:[0]
weixin_34290390的博客
06-09 612
FS寄存器指向当前活动线程的TEB结构(线程结构)偏移 说明000 指向SEH链指针004 线程堆栈顶部008 线程堆栈底部00C SubSystemTib010 FiberData014 ArbitraryUserPointer018 FS段寄存器在内存中的镜像地址020 进程PID024 线程ID02C 指向线程局部存储指针030 PEB结构地址(进程结构)034 上个错误号...
FS:0FS:[0]
Docoocoo的專欄--做酷
06-20 2015
 FS:0指向线程环境块TEB;FS:[0]指向当前线程的结构化异常处理结构(SEH);FS:0指向TEB的理解应该是:TEB结构存放于FS段从0开始的位置,整个TEB结构数据在FS段中;FS:[0]指向当前线程的结构化异常处理结构的理解应该是:FS:0所指向的TEB结构中,第一个元素指向当前线程的结构化异常处理结构,而这个结构存在与DS段中;部分TEB如下:ntdll!
fs:[0]到底表示什么?fs段寄存器在WINDOWS系统中的作用
热门推荐
CharlesPrince的专栏
04-29 1万+
fs:[0]到底表示什么?TEB,PEB,TIB,PCRB结构的表示。 fs段寄存器在WINDOWS系统中的作用
Win32 FS:[0xXX]信息
数学与科学
07-24 774
备忘录–2017-07-24 我正在一个其他进程的虚拟空间中: 0、我应该怎么往这个空间中写数据呢? 1、我应该怎么定位这个空间中与当前进程的相关信息呢? 2、我应该怎么定位我写入的数据呢? 以下内容并不能完全解决所有问题… FS:[0xXX]:这是维基百科的一些说明//可以如下使用 void main() { DWORD i = 0; __a
mov eax, dword ptr fs:[30h]是啥意思
05-21
在这条汇编指令中,dword ptr fs:[30h] 表示 fs 段寄存器中存储的值加上偏移地址 0x30,然后取这个地址处的32位值,也就是 TIB 结构体的地址。这个指令通常在汇编语言中用来获取当前线程的 TIB 地址,以便访问其中的...
mov eax, dword ptr fs:[30h] movzx eax, byte ptr [eax+2h]这是啥意思
05-21
具体来说,它读取 FS 寄存器中存储的线程信息块(Thread Information Block,简称 TIB),然后从 TIB 中偏移 0x2 字节处读取一个字节。这个字节存储了当前线程的特权级,其值为 0、1、2 或 3,分别对应内核态、系统...
免杀专题(一)shellcode原理
weixin_47224111的博客
12-30 4019
免杀专题(一)shellcode原理 基本概念 一段16进制的机器码,可在暂存器eip溢出后,塞入一段可让cpu执行的shellcode机器码,让电脑可以执行攻击者的任意指令。 原理 因为shellcode一般为一段汇编代码,不依赖任何编译环境,也不能像编写代码一样,调用api函数名称来实现功能。它通过主动查找dll基址并动态获取api地址的方式来实现api调用。 Kernel32.dll控制着系统的内存管理、数据的输入输出操作和中断处理。 shellcode分为两个模块,基本模块和功能模块 基本模块 用
反调试技术
qq_36963214的博客
11-05 1202
Windows反调试技术 Windows API反调试 IsDebuggerPresent 用OD加载一个带IsDebuggerPresent的程序,在IsDebuggerPresent下硬件断点跟进,发现IsDebuggerPresent的汇编实现如下: MOV EAX,DWORD PTR FS:[0x30] MOVZX EAX,BYTE PTR DS:[EAX+0x2] RETN FS寄存器指向的是TEB(线程环境块),其数据结构如下: typedef struct _NT_TEB { NT_
008259E0 | 55 | PUSH EBP | 008259E1 | 8BEC | MOV EBP,ESP | 008259E3 | 8B45 08 | MOV EAX,DWORD PTR SS:[EBP+0x8] | 008259E6 | 50 | PUSH EAX | 008259E7 | 68 30538200 | PUSH game.825330 | 008259EC | E8 8FFCFFFF | CALL game.825680 | x5 id3 008259F1 | 5D | POP EBP | 008259F2 | C2 0400 | RET 0x4 |这段汇编如何正确调用呢
最新发布
07-31
MOV EAX,DWORD PTR SS:[EBP+0x8] PUSH EAX PUSH game.825330 CALL game.825680 POP EBP RET 0x4 ``` 这段代码是一个函数(我们称之为`caller`函数),它调用了位于`game.825680`的函数(我们称之为`callee`)。我们...
【原创】取FS:[0]的一个小技巧
OSReact的专栏
07-12 1186
代码: 004F45A5 > 1E push ds 004F45A6 0FA0 push fs 004F45A8 1F pop ds 004F45A9 33C0 xor eax, eax 004F45AB 8B00 m
SEH及逆向调试
Starr
10-10 3219
SEH 文章目录SEH1. 异常处理方法正常运行的异常处理调试运行的异常处理2. 常见异常EXCEPTION_ACCESS_VIOLATIONEXCEPTION_BREAKPOINTEXCEPTION_ILLEGAL_INSTRUCTIONEXCEPTION_INT_DIVIDE_BY_ZEROEXCEPTION_SINGLE_STEP3. SEH详细说明回调函数ExceptionRecordEs...
INT 3 异常反调试
weixin_37740119的博客
01-22 1065
代码转自https://bbs.pediy.com/thread-225740.htm #include"stdio.h" #include"windows.h" #include"tchar.h" voidAD_BreakPoint() { printf("SEH:BreakPoint\n"); __asm{ //installSEH pushhandler ...
汇编级别反调试(2)
青月的成长记录吖
03-24 572
如果可执行文件最初是在没有上述结构的情况下创建的,或者 GlobalFlagsClear = 0,则在磁盘或内存中,该字段将具有非零值,表示存在隐藏的调试器。如果程序是32位的,但是运行在64位系统上,遇到 WOW64 “天堂门”技术,可以通过下面代码,获取到单独创建的PEB结构: 你可以参考Get 32bit PEB of another process from a x64 process 同样的需求: 64位进程需要获取运行在WOW64中32位程序的PEB环境。并在原始调用结束后恢复线程环境。
Windows核心编程_FS段寄存器
17岁boy的博客
06-21 4908
Windows核心编程_FS段寄存器FS段寄存器Windows用来存储一些进程信息的,FS段的首地址是存储这些进程信息的首地址:在内核态FS指向GDT表的:0x30地址, 在用户态FS=0x3B也就是说当切换到用户态时,操作系统会把进程下正在执行的线程的某些信息写入到0X3B为起始地址的空间里,内核态时候也一样,操作系统也会写入一些关于内核程序的相关信息到0x3B里!由于进程的不同进程信息也不同,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值