FS寄存器指向當(dāng)前活動(dòng)線程的TEB結(jié)構(gòu)（線程結(jié)構(gòu)）

偏移 說(shuō)明
000 指向SEH鏈指針
004 線程堆棧頂部
008 線程堆棧底部
00C SubSystemTib
010 FiberData
014 ArbitraryUserPointer
018 FS段寄存器在內(nèi)存中的鏡像地址
020 進(jìn)程PID
024 線程ID
02C 指向線程局部存儲(chǔ)指針
030 PEB結(jié)構(gòu)地址（進(jìn)程結(jié)構(gòu)）
034 上個(gè)錯(cuò)誤號(hào)




得到KERNEL32.DLL基址的方法
assume fs:nothing ? ? ? ? ? ? ;打開(kāi)FS寄存器
mov eax,fs:[30h] ? ? ? ? ? ?;得到PEB結(jié)構(gòu)地址
mov eax,[eax + 0ch] ? ? ? ?;得到PEB_LDR_DATA結(jié)構(gòu)地址
mov esi,[eax + 1ch] ? ? ? ?;InInitializationOrderModuleList
lodsd ? ? ? ? ? ? ? ? ? ? ?;得到KERNEL32.DLL所在LDR_MODULE結(jié)構(gòu)的InInitializationOrderModuleList地址
mov edx,[eax + 8h] ? ? ? ? ;得到BaseAddress，既Kernel32.dll基址

總結(jié)

以上是生活随笔為你收集整理的mov eax,dword ptr fs:[0] 指令的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。