首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [求助]关于fs:20的问题 0.00雪花
发表于: 2009-10-23 23:39 5027

[旧帖] [求助]关于fs:20的问题 0.00雪花

baohongyu 活跃值
2009-10-23 23:39
5027
mov     eax, large fs:20h
mov     eax, [eax+0Ch]
mov     eax, [eax+44h]
mov     [ebp+var_4], eax

fs:20h 应该是 TEB 的
+0x020 ClientId         : struct _CLIENT_ID, 2 elements, 0x8 bytes
      +0x000 UniqueProcess    : Ptr32 to Void
      +0x004 UniqueThread     : Ptr32 to Void

可是 那个 mov     eax, [eax+0Ch],又是什么意思呢。难道是UniqueProcess+0CH吗?
太菜的问题...

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (6)
baohongyu
雪    币: 306
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
最新结果,我复制他的代码,自己手动测试,报错。果然在第二句 mov eax,[eax+0ch] 处。本来这句就解释不通的。 clientid 里的一个值,+0C,不可能成地址的,实际测试也证明了我的想法:
不过我编译通过的是这样的代码
        _asm
        {
                push eax
                mov eax, fs:20h
                mov ds:m_dwTempVal1,eax
                mov eax, [eax+0Ch]
                mov ds:m_dwTempVal2,eax
                mov eax, [eax+44h]
                mov ds:m_dwTempVal3,eax
                pop eax
        }

我的代码反汇编后与他的是一样的。可是这段代码就在 mov eax, [eax+0Ch] 这个地方报错。和我想的一样。可是他的为什么不错呢。他的是驱动层。
2009-10-24 08:56
0
Aaah
雪    币: 182
活跃值: (226)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
http://blog.csdn.net/misterliwei/archive/2007/06/17/1655290.aspx
2009-10-24 10:29
0
baohongyu
雪    币: 306
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
谢楼上的,收到
2010-1-11 18:47
0
liuyq
雪    币: 285
活跃值: (16)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
5
收到了也不给人家加分
2010-1-11 19:24
0
kkmylove
雪    币: 338
活跃值: (103)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
私信
6
呵呵 可能忘记了
2010-1-12 11:07
0
baohongyu
雪    币: 306
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
以前我不会加分啊。笨
现在来补下吧
2010-3-5 11:01
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//