摘要： SEH是应用最为广泛，却没有被微软公开技术之一，所有不同windows版本，SEH可能有所不同。SEH链表位置：fs:[0]->线程信息块TIB，TIB.ExceptionList->SEH链表一)有关SEH链表结构：1)线程信息块TIB结构kd> dt _NT_TIBnt!_NT_TIB +0x000 ExceptionList : Ptr32 _EXCEPTION_REGISTRATION_RECORD ;SEH链表头 +0x004 StackBase : Ptr32 Void +0x008 StackLimit : Ptr32 Void +0x00c SubSystem 阅读全文

摘要： FS寄存器指向当前活动线程的TEB结构（线程结构）,缺省情况下fs:error表示fs未使用，若要引用fs寄存器，需fs:nothing后，才可使用。XP下teb结构如下kd> dt _tebnt!_TEB +0x000 NtTib : _NT_TIB ;SEH链表指针 +0x01c EnvironmentPointer : Ptr32 Void +0x020 ClientId : _CLIENT_ID;cid +0x028 ActiveRpcHandle : Ptr32 Void +0x02c ThreadLocalStoragePointer : Ptr32 Void +0x030 阅读全文