为什么进程、线程一些重要信息可以通过FS寄存器简单的取到?

最新推荐文章于 2022-05-25 17:56:24 发布
最新推荐文章于 2022-05-25 17:56:24 发布
阅读量1.1k 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 内核 线程 intel xp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zfdyq0/article/details/37774069

这两天稍微学习了一下寄存器相关知识,很多人说为什么进程、线程一些重要信息可以通过FS寄存器简单的取到?

kd> u PsLookupProcessByProcessId
nt!PsLookupProcessByProcessId:
805ca38a 8bff            mov     edi,edi
805ca38c 55              push    ebp
805ca38d 8bec            mov     ebp,esp
805ca38f 53              push    ebx
805ca390 56              push    esi
805ca391 64a124010000    mov     eax,dword ptr fs:[00000124h]
805ca397 ff7508          push    dword ptr [ebp+8]
805ca39a 8bf0            mov     esi,eax
kd> u PsGetCurrentProcess
nt!IoGetCurrentProcess:
804ef608 64a124010000    mov     eax,dword ptr fs:[00000124h]
804ef60e 8b4044          mov     eax,dword ptr [eax+44h]
804ef611 c3              ret
804ef612 cc              int     3
804ef613 cc              int     3
804ef614 cc              int     3
804ef615 cc              int     3
804ef616 cc              int     3
kd> u PsGetCurrentThread
nt!PsGetCurrentThread:
8052890c 64a124010000    mov     eax,dword ptr fs:[00000124h]
80528912 c3              ret
80528913 cc              int     3
80528914 cc              int     3
80528915 cc              int     3
80528916 cc              int     3
80528917 cc              int     3
nt!PsGetCurrentThreadStackBase:
80528918 64a124010000    mov     eax,dword ptr fs:[00000124h]

可以看到 都有个 fs:[00000124h],我们先 r 一下看看fs的值: 

kd> r
eax=00000001 ebx=ffdff980 ecx=8054bd4c edx=000002f8 esi=00000000 edi=1d399334
eip=80528bdc esp=8054abd0 ebp=8054abe0 iopl=0         nv up ei pl nz na po nc
cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00000202
nt!RtlpBreakWithStatusInstruction:
80528bdc cc              int     3

可见在内核态中 fs=0x30,我们.formats 0x40看一下: 

kd> .formats 0x30
Evaluate expression:
  Hex:     00000030
  Decimal: 48
  Octal:   00000000060
  Binary:  00000000 00000000 00000000 00110000
  Chars:   ...0
  Time:    Thu Jan 01 08:00:48 1970
  Float:   low 6.72623e-044 high 0
  Double:  2.37152e-322

然后查一下intel手册,对比一下:


可以看到: RPL:0  TI:0  INDEX:6

也就是序号为6,如下:

kd> r gdtr
gdtr=8003f000
取全局描述符gdtr = 8003f000, 

kd> dq 8003f000
8003f000  00000000`00000000 00cf9b00`0000ffff
8003f010  00cf9300`0000ffff 00cffb00`0000ffff
8003f020  00cff300`0000ffff 80008b04`200020ab
8003f030  ffc093df`f0000001 0040f300`00000fff
8003f040  0000f200`0400ffff 00000000`00000000
8003f050  80008954`af000068 80008954`af680068
8003f060  00009302`2f40ffff 0000920b`80003fff
8003f070  ff0092ff`700003ff 80009a40`0000ffff

选取第六个:ffc093df`f0000001,分别.formats一下 

kd> .formats ffc093df
Evaluate expression:
  Hex:     ffc093df
  Decimal: -4156449
  Octal:   37760111737
  Binary:  11111111 11000000 10010011 11011111
  Chars:   ....
  Time:    ***** Invalid
  Float:   low -1.#QNAN high -1.#QNAN
  Double:  -1.#QNAN
kd> .formats f0000001
Evaluate expression:
  Hex:     f0000001
  Decimal: -268435455
  Octal:   36000000001
  Binary:  11110000 00000000 00000000 00000001
  Chars:   ....
  Time:    ***** Invalid
  Float:   low -1.58456e+029 high -1.#QNAN
  Double:  -1.#QNAN

接下来继续查看intel手册:


根据手册将:

  Binary:  11111111 11000000 10010011 11011111

  Binary:  11110000 00000000 00000000 00000001

拼接 起来:

Base Address:11111111 11011111 11110000 00000000 

转化为16进制:FFDFF000

看到这里是不是特别熟悉了!没错就是KPCR结构,接下来就应该明白为什么可以通过FS寄存器简单取到进程、线程的信息了吧!

以上是单核win xp 系统的分析。xp的FFDFF000地址是固定不变的。


zfdyq0
关注
C/C++程序员为什么要了解汇编?了解汇编有哪些好处?如何学习汇编?
dvlinker的技术专栏
10-09 14万+
本文详细讲解了C++程序员为什么要了解汇编,了解汇编都有哪些具体的好处,如何学习汇编,以及如何看懂汇编代码上下文等,希望能给大家提供一定的借鉴或参考。
系统调用和进程切换时的寄存器信息保存在哪里?
热门推荐
Zong__Zong的博客
07-31 1万+
系统调用是什么??? 系统调用是操作系统为用户提供的一系列API;系统调用将用户的请求发给内核内核执行完以后,将结果返回给用户; 以open为例,进行系统调用: 分析Linux2.6.11版本 <1>通过在unistd.h中的函数名的拼接; <2>找到对应的系统调用号 <3>然后将此系统调用号通过eax寄存器告知内核,在执行0x80号中断的时候,eax寄存器中放的是5; <4>将
进程管理&进程加载
m0_37857539的博客
03-14 368
进程 &nbsp;&nbsp;多道程序在执行时,需要共享系统资源,从而导致各程序在执行过程中出现相互制约的关系,程序的执行表现出间断性的特征。这些特征都是在程序的执行过程中发生的,是动态的过程,而传统的程序本身是一组指令的集合,是一个静态的概念,无法描述程序在内存中的执行情况,即我们无法从程序的字面上看出它何时执行,何时停顿,也无法看出它与其它执行程序的关系,因此,程序这个静态概念已不能如实反映程...
汇编中各寄存器的作用(16位CPU14个,32位CPU16个)和 x86汇编指令集大全(带注释)
freeking101的博客
08-10 7599
From:https://www.cnblogs.com/zimmerk/articles/2520011.html From:https://blog.youkuaiyun.com/bjbz_cxy/article/details/79467688 汇编寄存器功能详解:https://wenku.baidu.com/view/14ef15857cd184254a353586.html 寄存器、汇编...
Windows 中 FS寄存器
weixin_34408717的博客
11-06 553
代码运行在RING0(系统地址空间)和RING3(用户地址空间)时,FS寄存器分别指向GDT(全局描述符表)中不同段:在RING3下,FS段值是0x3B(这是WindowsXP下值;在Windows2000下值为0x38。差别就是在XP下RPL=3);运行在RING0下时,FS寄存器值是0x30。下面以XP为例说说。 一.RING3下的FS ...
恶意代码分析总结
weixin_41038905的博客
03-04 486
寄存器类型: 1、CS:代码段寄存器; 2、DS:数据寄存器; 3、SS:堆栈段寄存器; 4、FS:标志段寄存器 5、GS:全局段寄存器 6、ES:扩展段寄存器 通过读取FS寄存器指定的内存可以获得很多系统关键信息内核态是fs = 0x30,用户态 fs = 0x3B,fs内核态指向_KPCR,用户态指向_TEB。 TEB(Thread Environment Block),线程环境块,也就是说每一个线程都会有TEB,用于保存系统与线程之间的数据,便于操作控制。那么Fs:[0x30]就是PEB进程环境
加壳
dohxxx的博客
12-29 842
加壳 整个头部是以0x200粒度对齐的, 一般情况下,头部都有0x400字节的大小. 整个头部以区段头结尾. 然而区段头并没有完全占用剩下的所有空间, 往往都会有一些剩余的空间被0填充.当添加新的区段头的时候, 其实就是将新的区段头数据填入到这些剩余的填充空间中. 下面开始给你的程序开始增加内容,通过2种方法, 不管用什么方法,都需要先记录入口点,一会加区段的时候需要用,如果没记住,会有很大麻...
易语言实现FS寄存器获取线程进程ID教程
总结:上述信息提供了易语言在进行Windows编程时,如何操作和利用FS寄存器获取当前线程进程的ID的深入知识。通过理解TEB和PEB结构,以及它们在操作系统中的角色,可以帮助开发者编写更为高效和稳健的代码,解决...
易语言-SM_取自身线程ID和进程ID
06-25
FS寄存器指向当前活动线程的TEB结构(线程结构) 偏移 说明 000 指向SEH链指针 004 线程堆栈顶部 008 线程堆栈底部 00C SubSystemTib 010 FiberData 014 ArbitraryUserPointer 018 FS寄存器在内存中的镜像地址 020...
fs寄存器
最新发布
03-08
例如,在Windows中,FS寄存器指向当前线程的TIB(Thread Information Block),其中包含了异常处理链表、线程ID等信息。而在Linux下,FS可能用于指向线程的本地存储或特定的内核数据结构。 接下来,我需要查阅用户...
FS 寄存器使用
wowbell的专栏
03-18 1185
<br />在用户层下,FS寄存器指向当前活动线程的TEB结构                  nt!_TEB<br /> +0x000 NtTib : _NT_TIB<br /> +0x01c EnvironmentPointer : Ptr32 Void<br /> +0x020 ClientId : _CLIENT_ID<br /> +0x028 ActiveRpcHandle : Ptr32 Void<br /> +0
FS寄存器的作用
tanweng的专栏
05-15 8131
确实通过读取FS寄存器指定的内存可以获得很多系统关键信息, 主要是和进线程相关的很多信息,例如 代码: lkd> u PsGetCurrentProcess nt!IoGetCurrentProcess: 804f0700 64a124010000    mov     eax,dword ptr fs:[00000124h] 804f0706 8b4044          mov
Intel X86 CPU系列的寄存器
leopard21的专栏
09-18 1419
一、32位CPU系统级寄存器数据结构 二、寄存器分类介绍 通用寄存器:8个,分别为EAX,EBX,ECX,EDX,ESP,EBP,ESI,EDI 标志寄存器:1个,EFLAGS 控制寄存器:5个,分别为CR0-CR4 调试寄存器:8个,分别为DR0-DR7 系统地址寄存器:4个,GDTR、IDTR、LDTR和TR 16位段寄存器:6个,分别为CS,DS,ES,FS,GS,SS
C/C++ 程序反调试的方法
优快云
08-18 7163
C/C++ 要实现程序反调试有多种方法,BeingDebugged,NtGlobalFlag,ProcessHeap,CheckRemoteDebuggerPresent,STARTUPINFO,IsDebuggerPresent,父进程检测,TLS 线程局部存储,RDTSC时钟检测反调试,MapFileAndCheckSum,等都可实现反调试,这里我分别编写了一些案例,基本上一锅端了。 使用W...
C/C++ 反调试与绕过手法
优快云
09-13 6457
反调试技术,恶意代码会用它识别自身是否被调试,或者让调试器失效,给反病毒工程师们制造麻烦,拉长提取特征码的时间线,本章将具体总结常见的反调试基础的实现原理以及如何过掉这些反调试手段,从而让我们能够继续分析恶意代码。
《逆向工程核心原理》学习笔记(六):高级逆向分析技术
闵行小鱼塘
05-25 2857
继续学习《逆向工程核心原理》,本篇笔记是第六部分:高级逆向分析技术,包括TLS、TEB、PEB、SEH和IA-32指令等内容
jeecgboot的autopoi模板导出的写法
新手是谁?
10-02 2822
不废话,直接贴代码 1.在 jeecg-boot/jeecg-boot-module-system/src/main/resources文件夹下建立模板文件夹,本文用的是“exportTemplate”,如下图。 2.模板按官方教程的写法弄好。 3.开始正式代码 3.1 获取模板文件的函数 public static TemplateExportParams getTemplateParams(String name){ return new TemplateExportParams
C++异常处理机制__1.SEH处理的函数栈布局
hongjiqin的专栏
09-15 2789
C++可以有两种异常处理方法1. SEH exceptions (Structured Exception Handling), 结构化异常处理它有三个关键字__try, __except, __finally,并通过RaiseException 抛出异常其中一个__try后只能跟一个__except或一个__finally。当__try后跟__except时,为异常处理(ex
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值