[求助]汇编 fs是什么段-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
hccphcq 雪币： 92 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 158 粉丝 0 关注私信	hccphcq 2 楼 FS寄存器指向当前活动线程的TEB结构（线程结构）偏移说明 000 指向SEH链指针 004 线程堆栈顶部 008 线程堆栈底部 00C SubSystemTib 010 FiberData 014 ArbitraryUserPointer 018 FS段寄存器在内存中的镜像地址 020 进程PID 024 线程ID 02C 指向线程局部存储指针 030 PEB结构地址（进程结构） 034 上个错误号得到KERNEL32.DLL基址的方法 assume fs:nothing ;打开FS寄存器 mov eax,fs:[30h] ;得到PEB结构地址 mov eax,[eax + 0ch] ;得到PEB_LDR_DATA结构地址 mov esi,[eax + 1ch] ;InInitializationOrderModuleList lodsd ;得到KERNEL32.DLL所在LDR_MODULE结构的InInitializationOrderModuleList地址 mov edx,[eax + 8h] ;得到BaseAddress，既Kernel32.dll基址引用自：http://blog.csdn.net/xbin8/archive/2008/03/08/2158762.aspx 2009-10-28 09:33 1
chenbaidu 雪币： 75 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 27 粉丝 0 关注私信	chenbaidu 3 楼十分感激，结贴 2009-10-28 11:09 0
怀特迈恩雪币： 444 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 242 粉丝 0 关注私信	怀特迈恩 4 楼楼主，结帖要先给分啊。 2009-10-28 13:30 0
chenbaidu 雪币： 75 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 27 粉丝 0 关注私信	chenbaidu 5 楼不知道如何给分，哪位大虾教一下 2009-10-28 21:19 0
dge 雪币： 622 活跃值： (65) 能力值： ( LV13，RANK：290 ) 在线值：发帖 11 回帖 251 粉丝 3 关注私信	dge 6 6 楼其实FS段寄存器体现了系统的分段机制，FS段的基址不是0，而是从某个特别位置开始，这个特别的位置被windows存放一些特别的东西。 FS在用户层和内核层的基址也不同，但都是存放和当前线程密切相关的东西。 2009-10-29 00:33 0
Ivanlife 雪币： 146 活跃值： (92) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 61 粉丝 0 关注私信	Ivanlife 7 楼写shellcode就知道了 2009-11-5 21:16 0
lansbaoy 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	lansbaoy 8 楼二楼强人,学习了. 2009-11-6 19:34 0
月下听禅雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	月下听禅 9 楼 FS, 主要是Windows下面的SEH。这个涉及到TEB结构。给你几个链接，希望对你有帮助 http://www.luocong.com/articles/show_article.asp?Article_ID=30 http://forum.eviloctal.com/thread-6883-1-32.html http://www.upwinder.com/www/43/3078.html 2009-11-6 19:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
hccphcq 雪币： 92 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 158 粉丝 0 关注私信	hccphcq 2 楼 FS寄存器指向当前活动线程的TEB结构（线程结构）偏移说明 000 指向SEH链指针 004 线程堆栈顶部 008 线程堆栈底部 00C SubSystemTib 010 FiberData 014 ArbitraryUserPointer 018 FS段寄存器在内存中的镜像地址 020 进程PID 024 线程ID 02C 指向线程局部存储指针 030 PEB结构地址（进程结构） 034 上个错误号得到KERNEL32.DLL基址的方法 assume fs:nothing ;打开FS寄存器 mov eax,fs:[30h] ;得到PEB结构地址 mov eax,[eax + 0ch] ;得到PEB_LDR_DATA结构地址 mov esi,[eax + 1ch] ;InInitializationOrderModuleList lodsd ;得到KERNEL32.DLL所在LDR_MODULE结构的InInitializationOrderModuleList地址 mov edx,[eax + 8h] ;得到BaseAddress，既Kernel32.dll基址引用自：http://blog.csdn.net/xbin8/archive/2008/03/08/2158762.aspx 2009-10-28 09:33 1
chenbaidu 雪币： 75 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 27 粉丝 0 关注私信	chenbaidu 3 楼十分感激，结贴 2009-10-28 11:09 0
怀特迈恩雪币： 444 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 242 粉丝 0 关注私信	怀特迈恩 4 楼楼主，结帖要先给分啊。 2009-10-28 13:30 0
chenbaidu 雪币： 75 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 27 粉丝 0 关注私信	chenbaidu 5 楼不知道如何给分，哪位大虾教一下 2009-10-28 21:19 0
dge 雪币： 622 活跃值： (65) 能力值： ( LV13，RANK：290 ) 在线值：发帖 11 回帖 251 粉丝 3 关注私信	dge 6 6 楼其实FS段寄存器体现了系统的分段机制，FS段的基址不是0，而是从某个特别位置开始，这个特别的位置被windows存放一些特别的东西。 FS在用户层和内核层的基址也不同，但都是存放和当前线程密切相关的东西。 2009-10-29 00:33 0
Ivanlife 雪币： 146 活跃值： (92) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 61 粉丝 0 关注私信	Ivanlife 7 楼写shellcode就知道了 2009-11-5 21:16 0
lansbaoy 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	lansbaoy 8 楼二楼强人,学习了. 2009-11-6 19:34 0
月下听禅雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	月下听禅 9 楼 FS, 主要是Windows下面的SEH。这个涉及到TEB结构。给你几个链接，希望对你有帮助 http://www.luocong.com/articles/show_article.asp?Article_ID=30 http://forum.eviloctal.com/thread-6883-1-32.html http://www.upwinder.com/www/43/3078.html 2009-11-6 19:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复