FS:[0] 链条
摘要:
0x01 用户态 在x86系统中,当线程在用户态执行时,段寄存器fs总是指向当前线程的TEB。 在Ntdll中有一个未公开的函数NtCurrentTeb() ,用来取得当前线程的TEB地址。FS:[0]的内容就是TEB的起始四个字节的内容,又因为TIB位于TEB的起始地址处,所以FS:[0]的内容实 阅读全文
posted @ 2018-01-17 16:42 沉疴 阅读(822) 评论(0) 推荐(0) 编辑
2018年1月17日 #