因为最近要研究内核重载,所以抱着书把 Windows内核情景分析 的系统调用看了一遍,发现了一个以前忽略的结构。 众所周知,在Windows下CPU运行在应用层,FS寄存器就会指向PEB结构,在内核层FS寄存器还是指向PEB吗?不是的,他指向一个KPCR结构。 在ring0中 fs:[0]指向KPCR,等于地址ffdff000,KPCR 叫CPU控制区(Processor Control Region),在线程调试时需要用到 在ring3中 fs:[0]指向TEB
