PEB, TEB

Почему, если известно что
PEB находится в fs:[30] в user mode
ее адрес находится через TEB, в том же IsDebuggerPresent ?

 

эти заявления равнозначны.
fs - указывает на TEB

 

n0name
не понял, если честно

TEB лежит в fs:18h ?

 

Да все понятно на самом деле. TEB включает TIB и указатель на PEB, также TEB включает указатель на саму себя как раз в FS:18h. Т.е. FS:0 указывает и на TIB и на TEB, TEB содержит в себе TIB.

 

Хм. А почему в винде для доступа к TEB/TIB используется fs:18h (NT_TIB.Self), а не fs:0?

 

почти понял

Код (Text):

1. .text:77E81828 IsDebuggerPresent proc near             ; CODE XREF: .text:77EC80FEp
2. .text:77E81828                 mov     eax, large fs:18h
3. .text:77E8182E                 mov     eax, [eax+30h]
4. .text:77E81831                 movzx   eax, byte ptr [eax+2]
5. .text:77E81835                 retn
6. .text:77E81835 IsDebuggerPresent endp

почему бы не сократить до

Код (Text):

1. mov     eax, large fs:30h
2. movzx   eax, byte ptr [eax+2]
3. retn

 

у мелкомягких все через задницу :/

 

Думаю чтобы не юзать в командах регистр FS =), и терять по байту на команду из-за префикса. А если по другому как получить базу FS из r3?

 

Наверное у них компилер тупит =)))

 

А вообще структуры то недокументированные, и может как раз на FS:0x18 они как бы могут полагаться (может у них она документированна наполовину), а вот на FS:0x30 не могут, т.к. в последствии они могут ее изменить.

 

он у них юзается, если посмотреть в сорцы
#define PcTeb 0x18
_inline struct _TEB * NtCurrentTeb( void ) { __asm mov eax, fs:[PcTeb] }

 

потому что
mov eax,[fs:18h]
есть инструкция, а
mov eax,fs:0
нет...

ну почему, не все... NT_TIB есть в winnt.h вроде

 

Asterix

наверное чтобы писать нормально читаемый код на C/C++

 

PEB никогда не меняется в середине, начале. Изменения здесь всегда происходят "добавлением" элементов в конец. У мс будет много головной боли, если они захотят поменять что-то в начале этой структуры.

 

FreeManCPM
Понял. fs:0 можно получить только через селектор fs, а это уже лишние вызовы в ядро.

 

+1.

тк обычно юзают макрос NtGetCurrentPeb(). Компилятор пока не настолько крут, чтобы соптимизировать до такого кода.

 

Ну я и сказал об этом в после #8. Внимательнее коллеги.

 

Ошибся.

 

IceStudent,вроде как ниправельный код

lfs reg,[mem]

читает (32 бита, протектед моде) 48 бит по указаному адресу, при чем память по адресу должна выглядеть след образом:
ofs dd ?
segm dw ?

слово segm поподает в сегментный регистр, двойное слово ofs - в указанный регистр

насколько йа знаю, по адресу fs:[0] находится структура NT_TIB, в которой по 0 смещению долеко не база ФС

 

Freeman
Угу.