mov eax,dword ptr fs:[0] 指令
2018-02-06 17:42
411 查看
FS寄存器指向当前活动线程的TEB结构(线程结构)
偏移 说明
000 指向SEH链指针
004 线程堆栈顶部
008 线程堆栈底部
00C SubSystemTib
010 FiberData
014 ArbitraryUserPointer
018 FS段寄存器在内存中的镜像地址
020 进程PID
024 线程ID
02C 指向线程局部存储指针
030 PEB结构地址(进程结构)
034 上个错误号
得到KERNEL32.DLL基址的方法
assume fs:nothing ;打开FS寄存器
mov eax,fs:[30h] ;得到PEB结构地址
mov eax,[eax + 0ch] ;得到PEB_LDR_DATA结构地址
mov esi,[eax + 1ch] ;InInitializationOrderModuleList
lodsd ;得到KERNEL32.DLL所在LDR_MODULE结构的InInitializationOrderModuleList地址
mov edx,[eax + 8h] ;得到BaseAddress,既Kernel32.dll基址
转自:http://blog.csdn.net/liujiayu2/article/details/77604226
偏移 说明
000 指向SEH链指针
004 线程堆栈顶部
008 线程堆栈底部
00C SubSystemTib
010 FiberData
014 ArbitraryUserPointer
018 FS段寄存器在内存中的镜像地址
020 进程PID
024 线程ID
02C 指向线程局部存储指针
030 PEB结构地址(进程结构)
034 上个错误号
得到KERNEL32.DLL基址的方法
assume fs:nothing ;打开FS寄存器
mov eax,fs:[30h] ;得到PEB结构地址
mov eax,[eax + 0ch] ;得到PEB_LDR_DATA结构地址
mov esi,[eax + 1ch] ;InInitializationOrderModuleList
lodsd ;得到KERNEL32.DLL所在LDR_MODULE结构的InInitializationOrderModuleList地址
mov edx,[eax + 8h] ;得到BaseAddress,既Kernel32.dll基址
转自:http://blog.csdn.net/liujiayu2/article/details/77604226
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- mov eax,dword ptr fs:[0] 指令
- mov eax, dword ptr [esi]指令区别
- mov eax, dword ptr [esi]指令区别
- 00405EB0 mov eax,dword ptr [ecx] 是什么意思?
- 汇编语法与实例 解释: mov eax, dword ptr [728C6C]
- MOV EAX,DWORD PTR SS:[EBP+8]
- test dword ptr [eax],eax ; probe page.
- 堆栈溢出问题 test dword ptr [eax],eax probe page.
- 关于 DWORD PTR [EAX]
- 1、关于dword ptr 指令
- test dword ptr [eax],eax ; probe page. 分页出错
- 关于dword ptr 指令
- [原创]局部数组变量定义超过所分配的最大空间时报错“test dword ptr [eax],eax ; probe page”
- test dword ptr [eax],eax ; probe page.--VS报错!
- 关于dword ptr 指令的意思
- 怪异问题 调试到位置(test dword ptr [eax],eax ; probe page.)局部数组变量定义所分配的最大空间为1M
- dword ptr指令详细解析[转载]
- 关于dword ptr指令...
- 关于dword ptr 指令的意思
- Debug下jmp dword ptr 指令