摘要：0x01 用户态 在x86系统中，当线程在用户态执行时，段寄存器fs总是指向当前线程的TEB。 在Ntdll中有一个未公开的函数NtCurrentTeb() ，用来取得当前线程的TEB地址。FS:[0]的内容就是TEB的起始四个字节的内容，又因为TIB位于TEB的起始地址处，所以FS:[0]的内容实 阅读全文