简单解释Windows如何使用FS段寄存器-软件逆向-看雪-安全社区|安全招聘|kanxue.com

简单解释Windows如何使用FS段寄存器

发表于: 2012-12-17 13:32 46582

简单解释Windows如何使用FS段寄存器

rhettxie

2012-12-17 13:32

46582

昨天有人问我，为什么进程，线程的很多关键信息可以简单的通过FS寄存器来取到。是啊，为什么呢？于是便有了这篇文章。

确实通过读取FS寄存器指定的内存可以获得很多系统关键信息，主要是和进线程相关的很多信息，例如

lkd> u PsGetCurrentProcess
nt!IoGetCurrentProcess:
804f0700 64a124010000    mov     eax,dword ptr fs:[00000124h]
804f0706 8b4044          mov     eax,dword ptr [eax+44h]

lkd> u PsGetCurrentThread
nt!PsGetCurrentThread:
8052c42a 64a124010000    mov     eax,dword ptr fs:[00000124h]

kd> r gdtr
gdtr=8003f000
kd> dq 8003f000
8003f000  00000000`00000000 00cf9a00`0000ffff
8003f010  00cf9200`0000ffff 00cffa00`0000ffff
8003f020  00cff200`0000ffff 80008b04`200020ab
8003f030  ffc092df`f0000001 0040f300`00000fff
8003f040  0000f200`0400ffff 00000000`00000000
8003f050  80008954`a3000068 80008954`a3680068
8003f060  00009202`2f30ffff 0000920b`80003fff
8003f070  ff0092ff`700003ff 80009a40`0000ffff

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

#系统底层

上传的附件：

111.jpg （14.12kb，142次下载）
222.jpg （44.35kb，138次下载）

收藏・105

免费・10

支持

最新回复 (36) 1 2 ▶
gkdark 雪币： 199 活跃值： (65) 能力值： ( LV5，RANK：70 ) 在线值：发帖 22 回帖 308 粉丝 0 关注私信	gkdark 1 2 楼支持楼主发出好文，广告位出租中！ 2012-12-17 14:48 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 3 楼有点意思............... 2012-12-17 15:12 0
迷死人雪币： 179 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	迷死人 4 楼顶啊！不错不错！ 2012-12-18 04:13 0
option 雪币： 8201 活跃值： (2701) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 713 粉丝 1 关注私信	option 5 楼弱弱的问收学生吗 2012-12-18 07:20 0
kanxue 雪币： 47147 活跃值： (20450) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 6 楼编辑了一下帖子，改进了一下帖图的方式。正确的图片格式是： [ATTACH ]74471[/ATTACH ] 具体参考此帖教学：http://bbs.pediy.com/showpost.php?postid=292659 2012-12-18 21:57 0
loongzyd 雪币： 1015 活跃值： (235) 能力值： ( LV12，RANK：440 ) 在线值：发帖 191 回帖 1111 粉丝 4 关注私信	loongzyd 10 7 楼前排站位，谢谢楼主分享！ 2012-12-18 22:07 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 8 楼膜拜潜水多年的老人…… 2012-12-18 23:32 0
eidolonlon 雪币： 31 能力值： (RANK：10 ) 在线值：发帖 11 回帖 74 粉丝 1 关注私信	eidolonlon 9 楼为数不多我能看懂的文章, 感谢楼主发贴. 2012-12-18 23:52 0
迷魂雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 67 粉丝 0 关注私信	迷魂 10 楼楼上说的对，为数不多能看懂的文章。谢谢 2012-12-19 00:03 0
要学会编雪币： 350 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 233 粉丝 0 关注私信	要学会编 11 楼真是为数不多能看懂的文章 2012-12-19 05:06 0
叶梦雪币： 119 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	叶梦 12 楼 MARK。FS 寄存器机理。 2012-12-19 10:08 0
zadley 雪币： 575 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	zadley 13 楼老人讲的很详细 2012-12-19 10:51 0
佛雷姆雪币： 316 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 36 粉丝 0 关注私信	佛雷姆 14 楼通俗易懂. tag FS段寄存器 2012-12-20 11:14 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 15 楼好文。建议楼主再出一篇“以FS为例分析段选择子"。 2012-12-20 11:15 0
叶梦雪币： 119 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	叶梦 16 楼老大神，您好，能帮我解答一个问题么？ INTEL手册那个图应该对应的是_KIDTENTRY这个结构吧。我看代码里定义为 typedef struct _KIDTENTRY { WORD Offset; WORD Selector; WORD Access; WORD ExtendedOffset; } KIDTENTRY, *PKIDTENTRY; 感觉和图不对应呀，能讲解一下是为什么么？ 2012-12-20 15:43 0
叶梦雪币： 119 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	叶梦 17 楼在情景分析里为什么图是这样的呢？情景分析错了？ [ ATTACH ]74531 [ /ATTACH ] 上传的附件： 11.jpg （22.91kb，3次下载） 2012-12-20 15:47 0
appview 雪币： 738 活跃值： (3818) 能力值： ( LV3，RANK：20 ) 在线值：发帖 12 回帖 200 粉丝 1 关注私信	appview 18 楼感谢lz，学习了 2012-12-20 22:35 0
silence刘雪币： 79 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 225 粉丝 0 关注私信	silence刘 19 楼 Mark下，我还是先研究Windows内核把 2012-12-21 09:19 0
Hoiker 雪币： 564 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 80 粉丝 0 关注私信	Hoiker 20 楼分析透彻呀,大开眼界、 2012-12-23 13:08 0
ouyangtian 雪币： 130 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 168 粉丝 0 关注私信	ouyangtian 21 楼标记一下，FS 寄存器。 2013-1-16 09:08 0
fiorentina 雪币： 184 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 53 粉丝 0 关注私信	fiorentina 22 楼留名后慢慢看 2013-3-21 17:29 0
文夏之雪币： 24 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 37 粉丝 0 关注私信	文夏之 23 楼不错，貌似很高深。自己基础不够，看得艰难了点收藏一下，以后再看 2013-7-8 12:20 0
机器精灵雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 5 粉丝 0 关注私信	机器精灵 24 楼好文，标记，FS段寄存器 2013-8-9 20:49 0
cqzj70 雪币： 77 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 325 粉丝 0 关注私信	cqzj70 25 楼 mark 2014-3-7 18:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

rhettxie

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (36) 1 2 ▶
gkdark 雪币： 199 活跃值： (65) 能力值： ( LV5，RANK：70 ) 在线值：发帖 22 回帖 308 粉丝 0 关注私信	gkdark 1 2 楼支持楼主发出好文，广告位出租中！ 2012-12-17 14:48 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 3 楼有点意思............... 2012-12-17 15:12 0
迷死人雪币： 179 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	迷死人 4 楼顶啊！不错不错！ 2012-12-18 04:13 0
option 雪币： 8201 活跃值： (2701) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 713 粉丝 1 关注私信	option 5 楼弱弱的问收学生吗 2012-12-18 07:20 0
kanxue 雪币： 47147 活跃值： (20450) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 6 楼编辑了一下帖子，改进了一下帖图的方式。正确的图片格式是： [ATTACH ]74471[/ATTACH ] 具体参考此帖教学：http://bbs.pediy.com/showpost.php?postid=292659 2012-12-18 21:57 0
loongzyd 雪币： 1015 活跃值： (235) 能力值： ( LV12，RANK：440 ) 在线值：发帖 191 回帖 1111 粉丝 4 关注私信	loongzyd 10 7 楼前排站位，谢谢楼主分享！ 2012-12-18 22:07 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 8 楼膜拜潜水多年的老人…… 2012-12-18 23:32 0
eidolonlon 雪币： 31 能力值： (RANK：10 ) 在线值：发帖 11 回帖 74 粉丝 1 关注私信	eidolonlon 9 楼为数不多我能看懂的文章, 感谢楼主发贴. 2012-12-18 23:52 0
迷魂雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 67 粉丝 0 关注私信	迷魂 10 楼楼上说的对，为数不多能看懂的文章。谢谢 2012-12-19 00:03 0
要学会编雪币： 350 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 233 粉丝 0 关注私信	要学会编 11 楼真是为数不多能看懂的文章 2012-12-19 05:06 0
叶梦雪币： 119 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	叶梦 12 楼 MARK。FS 寄存器机理。 2012-12-19 10:08 0
zadley 雪币： 575 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	zadley 13 楼老人讲的很详细 2012-12-19 10:51 0
佛雷姆雪币： 316 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 36 粉丝 0 关注私信	佛雷姆 14 楼通俗易懂. tag FS段寄存器 2012-12-20 11:14 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 15 楼好文。建议楼主再出一篇“以FS为例分析段选择子"。 2012-12-20 11:15 0
叶梦雪币： 119 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	叶梦 16 楼老大神，您好，能帮我解答一个问题么？ INTEL手册那个图应该对应的是_KIDTENTRY这个结构吧。我看代码里定义为 typedef struct _KIDTENTRY { WORD Offset; WORD Selector; WORD Access; WORD ExtendedOffset; } KIDTENTRY, *PKIDTENTRY; 感觉和图不对应呀，能讲解一下是为什么么？ 2012-12-20 15:43 0
叶梦雪币： 119 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	叶梦 17 楼在情景分析里为什么图是这样的呢？情景分析错了？ [ ATTACH ]74531 [ /ATTACH ] 上传的附件： 11.jpg （22.91kb，3次下载） 2012-12-20 15:47 0
appview 雪币： 738 活跃值： (3818) 能力值： ( LV3，RANK：20 ) 在线值：发帖 12 回帖 200 粉丝 1 关注私信	appview 18 楼感谢lz，学习了 2012-12-20 22:35 0
silence刘雪币： 79 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 225 粉丝 0 关注私信	silence刘 19 楼 Mark下，我还是先研究Windows内核把 2012-12-21 09:19 0
Hoiker 雪币： 564 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 80 粉丝 0 关注私信	Hoiker 20 楼分析透彻呀,大开眼界、 2012-12-23 13:08 0
ouyangtian 雪币： 130 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 168 粉丝 0 关注私信	ouyangtian 21 楼标记一下，FS 寄存器。 2013-1-16 09:08 0
fiorentina 雪币： 184 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 53 粉丝 0 关注私信	fiorentina 22 楼留名后慢慢看 2013-3-21 17:29 0
文夏之雪币： 24 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 37 粉丝 0 关注私信	文夏之 23 楼不错，貌似很高深。自己基础不够，看得艰难了点收藏一下，以后再看 2013-7-8 12:20 0
机器精灵雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 5 粉丝 0 关注私信	机器精灵 24 楼好文，标记，FS段寄存器 2013-8-9 20:49 0
cqzj70 雪币： 77 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 325 粉丝 0 关注私信	cqzj70 25 楼 mark 2014-3-7 18:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复