PEBとTEB資料の統合
22185 ワード
一、概念
TEB(Thread Environment Block、スレッド環境ブロック)システムは、頻繁に使用されるスレッドに関するデータをこのTEBに保存する.ユーザアドレス空間に位置し、PEBが存在するアドレスよりも低い場所にある.プロセス中の各スレッドには独自のTEBがある.1プロセスのすべてのTEBは、0 x 7 FFDE 000から始まる線形メモリにスタックされ、4 KBごとに完全なTEBですが、このメモリ領域は下に拡張されています.ユーザモードでは、現在のスレッドのTEBは独立した4 KBセグメントにあり、CPUのFSレジスタでアクセス可能であり、一般的に[FS:0]に格納される.ユーザ状態ではWinDbgでコマンド$threadでTEBアドレスを取得できます.
PEB(Process Environment Block、プロセス環境ブロック)プロセス情報が格納され、各プロセスには独自のPEB情報が格納される.ユーザアドレス空間に位置する.Win 2000では、プロセス環境ブロックのアドレスはプロセス毎に固定されており、0 x 7 FFDF 000であるため、プログラムが直接アクセスできる.正確なPEBアドレスはシステムのEPROCESS構造の0 x 1b 0オフセットで取得するが,EPROCESSはシステムアドレス空間にあるため,この構造にアクセスするにはring 0の権限が必要である.また、PEBの位置は、TEB構造のオフセット0 x 30で取得することができ、FSセグメントレジスタは、現在のTEB構造を指す.
ユーザ状態でWinDbgでは、コマンド$procでPEBアドレスを取得できます.
二、TEBオフセットFS:[00000]SEHチェーンポインタFS:[004]スレッドスタックトップFS:[008]スレッドスタックボトムFS:[00 C]SubSystemTib FS:[00]FiberData FS:[04]ArbitraryUserPointer FS:[08]TEB自身を指すFS:[020]プロセスPID FS:[024]スレッドID FS:[02 C]スレッドローカルストレージポインタFS:[030]PEB構造アドレス(プロセス構造)FS:[034]最後のエラー番号
三、参考
1.PEB構造――ユーザーモジュールのリストを列挙する:http://bbs.pediy.com/showthread.php?t=52398
2.FS TIB TEB PEB :http://bbs.pediy.com/showthread.php?p=704601
3.http://bbs.pediy.com/showthread.php?t=175833
四、構造
転載先:https://www.cnblogs.com/Viwilla/p/5109966.html
TEB(Thread Environment Block、スレッド環境ブロック)システムは、頻繁に使用されるスレッドに関するデータをこのTEBに保存する.ユーザアドレス空間に位置し、PEBが存在するアドレスよりも低い場所にある.プロセス中の各スレッドには独自のTEBがある.1プロセスのすべてのTEBは、0 x 7 FFDE 000から始まる線形メモリにスタックされ、4 KBごとに完全なTEBですが、このメモリ領域は下に拡張されています.ユーザモードでは、現在のスレッドのTEBは独立した4 KBセグメントにあり、CPUのFSレジスタでアクセス可能であり、一般的に[FS:0]に格納される.ユーザ状態ではWinDbgでコマンド$threadでTEBアドレスを取得できます.
PEB(Process Environment Block、プロセス環境ブロック)プロセス情報が格納され、各プロセスには独自のPEB情報が格納される.ユーザアドレス空間に位置する.Win 2000では、プロセス環境ブロックのアドレスはプロセス毎に固定されており、0 x 7 FFDF 000であるため、プログラムが直接アクセスできる.正確なPEBアドレスはシステムのEPROCESS構造の0 x 1b 0オフセットで取得するが,EPROCESSはシステムアドレス空間にあるため,この構造にアクセスするにはring 0の権限が必要である.また、PEBの位置は、TEB構造のオフセット0 x 30で取得することができ、FSセグメントレジスタは、現在のTEB構造を指す.
mov eax,fs:[0x30]
mov PEB,eaxユーザ状態でWinDbgでは、コマンド$procでPEBアドレスを取得できます.
二、TEBオフセットFS:[00000]SEHチェーンポインタFS:[004]スレッドスタックトップFS:[008]スレッドスタックボトムFS:[00 C]SubSystemTib FS:[00]FiberData FS:[04]ArbitraryUserPointer FS:[08]TEB自身を指すFS:[020]プロセスPID FS:[024]スレッドID FS:[02 C]スレッドローカルストレージポインタFS:[030]PEB構造アドレス(プロセス構造)FS:[034]最後のエラー番号
三、参考
1.PEB構造――ユーザーモジュールのリストを列挙する:http://bbs.pediy.com/showthread.php?t=52398
2.FS TIB TEB PEB :http://bbs.pediy.com/showthread.php?p=704601
3.http://bbs.pediy.com/showthread.php?t=175833
四、構造
// Thread Environment Block (TEB)
typedef struct _TEB
{
NT_TIB Tib; /* 00h */
PVOID EnvironmentPointer; /* 1Ch */
CLIENT_ID Cid; /* 20h */
PVOID ActiveRpcHandle; /* 28h */
PVOID ThreadLocalStoragePointer; /* 2Ch */
struct _PEB *ProcessEnvironmentBlock; /* 30h */
ULONG LastErrorValue; /* 34h */
ULONG CountOfOwnedCriticalSections; /* 38h */
PVOID CsrClientThread; /* 3Ch */
struct _W32THREAD* Win32ThreadInfo; /* 40h */
ULONG User32Reserved[0x1A]; /* 44h */
ULONG UserReserved[5]; /* ACh */
PVOID WOW32Reserved; /* C0h */
LCID CurrentLocale; /* C4h */
ULONG FpSoftwareStatusRegister; /* C8h */
PVOID SystemReserved1[0x36]; /* CCh */
LONG ExceptionCode; /* 1A4h */
struct _ACTIVATION_CONTEXT_STACK *ActivationContextStackPointer; /* 1A8h */
UCHAR SpareBytes1[0x28]; /* 1ACh */
GDI_TEB_BATCH GdiTebBatch; /* 1D4h */
CLIENT_ID RealClientId; /* 6B4h */
PVOID GdiCachedProcessHandle; /* 6BCh */
ULONG GdiClientPID; /* 6C0h */
ULONG GdiClientTID; /* 6C4h */
PVOID GdiThreadLocalInfo; /* 6C8h */
ULONG Win32ClientInfo[62]; /* 6CCh */
PVOID glDispatchTable[0xE9]; /* 7C4h */
ULONG glReserved1[0x1D]; /* B68h */
PVOID glReserved2; /* BDCh */
PVOID glSectionInfo; /* BE0h */
PVOID glSection; /* BE4h */
PVOID glTable; /* BE8h */
PVOID glCurrentRC; /* BECh */
PVOID glContext; /* BF0h */
NTSTATUS LastStatusValue; /* BF4h */
UNICODE_STRING StaticUnicodeString; /* BF8h */
WCHAR StaticUnicodeBuffer[0x105]; /* C00h */
PVOID DeallocationStack; /* E0Ch */
PVOID TlsSlots[0x40]; /* E10h */
LIST_ENTRY TlsLinks; /* F10h */
PVOID Vdm; /* F18h */
PVOID ReservedForNtRpc; /* F1Ch */
PVOID DbgSsReserved[0x2]; /* F20h */
ULONG HardErrorDisabled; /* F28h */
PVOID Instrumentation[14]; /* F2Ch */
PVOID SubProcessTag; /* F64h */
PVOID EtwTraceData; /* F68h */
PVOID WinSockData; /* F6Ch */
ULONG GdiBatchCount; /* F70h */
BOOLEAN InDbgPrint; /* F74h */
BOOLEAN FreeStackOnTermination; /* F75h */
BOOLEAN HasFiberData; /* F76h */
UCHAR IdealProcessor; /* F77h */
ULONG GuaranteedStackBytes; /* F78h */
PVOID ReservedForPerf; /* F7Ch */
PVOID ReservedForOle; /* F80h */
ULONG WaitingOnLoaderLock; /* F84h */
ULONG SparePointer1; /* F88h */
ULONG SoftPatchPtr1; /* F8Ch */
ULONG SoftPatchPtr2; /* F90h */
PVOID *TlsExpansionSlots; /* F94h */
ULONG ImpersionationLocale; /* F98h */
ULONG IsImpersonating; /* F9Ch */
PVOID NlsCache; /* FA0h */
PVOID pShimData; /* FA4h */
ULONG HeapVirualAffinity; /* FA8h */
PVOID CurrentTransactionHandle; /* FACh */
PTEB_ACTIVE_FRAME ActiveFrame; /* FB0h */
PVOID FlsData; /* FB4h */
UCHAR SafeThunkCall; /* FB8h */
UCHAR BooleanSpare[3]; /* FB9h */
} TEB, *PTEB; //Process Environment Block
typedef struct _PEB
{
UCHAR InheritedAddressSpace; // 00h
UCHAR ReadImageFileExecOptions; // 01h
UCHAR BeingDebugged; // 02h
UCHAR Spare; // 03h
PVOID Mutant; // 04h
PVOID ImageBaseAddress; // 08h
PPEB_LDR_DATA Ldr; // 0Ch
PRTL_USER_PROCESS_PARAMETERS ProcessParameters; // 10h
PVOID SubSystemData; // 14h
PVOID ProcessHeap; // 18h
PVOID FastPebLock; // 1Ch
PPEBLOCKROUTINE FastPebLockRoutine; // 20h
PPEBLOCKROUTINE FastPebUnlockRoutine; // 24h
ULONG EnvironmentUpdateCount; // 28h
PVOID* KernelCallbackTable; // 2Ch
PVOID EventLogSection; // 30h
PVOID EventLog; // 34h
PPEB_FREE_BLOCK FreeList; // 38h
ULONG TlsExpansionCounter; // 3Ch
PVOID TlsBitmap; // 40h
ULONG TlsBitmapBits[0x2]; // 44h
PVOID ReadOnlySharedMemoryBase; // 4Ch
PVOID ReadOnlySharedMemoryHeap; // 50h
PVOID* ReadOnlyStaticServerData; // 54h
PVOID AnsiCodePageData; // 58h
PVOID OemCodePageData; // 5Ch
PVOID UnicodeCaseTableData; // 60h
ULONG NumberOfProcessors; // 64h
ULONG NtGlobalFlag; // 68h
UCHAR Spare2[0x4]; // 6Ch
LARGE_INTEGER CriticalSectionTimeout; // 70h
ULONG HeapSegmentReserve; // 78h
ULONG HeapSegmentCommit; // 7Ch
ULONG HeapDeCommitTotalFreeThreshold; // 80h
ULONG HeapDeCommitFreeBlockThreshold; // 84h
ULONG NumberOfHeaps; // 88h
ULONG MaximumNumberOfHeaps; // 8Ch
PVOID** ProcessHeaps; // 90h
PVOID GdiSharedHandleTable; // 94h
PVOID ProcessStarterHelper; // 98h
PVOID GdiDCAttributeList; // 9Ch
PVOID LoaderLock; // A0h
ULONG OSMajorVersion; // A4h
ULONG OSMinorVersion; // A8h
ULONG OSBuildNumber; // ACh
ULONG OSPlatformId; // B0h
ULONG ImageSubSystem; // B4h
ULONG ImageSubSystemMajorVersion; // B8h
ULONG ImageSubSystemMinorVersion; // C0h
ULONG GdiHandleBuffer[0x22]; // C4h
PVOID ProcessWindowStation; // ???
} PEB, *PPEB;転載先:https://www.cnblogs.com/Viwilla/p/5109966.html