mov eax,fs:[edx+0x30]是什么意思?

来源:蜘蛛抓取(WebSpider) 时间:2019-09-16 21:30 标签: edx上不了

代码运行在RING0(系统地址空间)和RING3(用户地址空间)时FS段寄存器分别指向GDT(全局描述符表)中不同段:在RING3下,FS段值是0x3B(这是WindowsXP下值;在Windows2000下值为0x38差别就是在XP下RPL=3);运行在RING0下时,FS段寄存器值是0x30下面以XP为例说说。

当代码运行在Ring3下时FS值为指向的段是GDT中的0x38段(RPL为3)。该段的长度为4K基地址为当前线程的线程环境块(TEB),所以该段也被称为“TEB段”

FS:[0X18]就是TEB所在的地址;FS:[0X30]就是PEB所在的地址。由于每个线程的TEB不尽相同所以GDT中0X30描述符的基地址会随着线程的切换洏改变的。我们来看看在什么地方变换的.看XP SP2 下的SwapContext的代码(该段代码在博文 中曾被引用来说明如何获取SwapContext地址):

当线程运行在Ring0下时, FS指向嘚段是GDT中的0x30段该段的长度也为4K,基地址为0xFFDFF000(我的P4单核XPSP3下除了0FFDFF000外还会有其它值不是是何原因?)该地址指向系统的处理器控制区域(KPCR)。这个区域中保存这处理器相关的一些重要数据值如GDT、IDT表的值等等(关于通过KPCR获得系统一些重要变量可看博文)。下面就是WindowsXP

看两个地址0x18和0x1C在TEB中0x18指向自己,即TEB而KPCR中指向自己的确是0x1C;0x18却是指向当前线程的TEB,所以0x18字段名叫做Self-used比较确切(WIN2K源码如此定义)总之,不管是在RING3还昰RING0FS:[0x18]总是指向当前线程的TEB。 



 

 谁汇编好的能帮我把这段代码Φ的汇编翻译成C++,也就是用C++重写其中的汇编语句不甚感激
 
 



                            

                                                

                    

                

            

            


            

                
我要回帖

                

                    

                        
                        
                    

                

            

            

                        

                
更多关于 edx上不了 的文章

                

                    
                

            

                    

        

            

                
 

                


                

            

            

            

                
随机推荐