FS:[0] или как узнать адрес?

zoool · 6 апр 2008

Нужно узнать, в какой ячейке памяти содержится значение FS:[0]
Как назло, lea eax, fs:[0] не работает

FS - это сегментный регистр. В нем номер. Под этим номером я так понимаю где-то записано смещение.
Подскажите, как можно в регистр еах загнать указатель на fs:[0] чтобы к данной ячейке можно было бы обратиться через еах

заранее благодарен

ЗЫ: если сморозил фигню - не пинайте.

wasm_test · 6 апр 2008

GetThreadSelectorEntry

Как назло, lea eax, fs:[0] не работает
Нажмите, чтобы раскрыть...

законно запишет ноль: виртуальный адрес равен нулю..

zoool · 6 апр 2008

ясно
спс
а в ядре как?
через sgdt и пропарсить табличку?

Clerk · 6 апр 2008

assume fs:nothing

zoool · 6 апр 2008

Clerk
лыжи смазывал?

Clerk · 6 апр 2008

Какие лыжи ?

zoool · 6 апр 2008

ладно, забей

2FED · 6 апр 2008

zoool · 6 апр 2008

все
разобрался с селекторами в ядре
респект Great за помощь!
респект Broken Sword за статьи!

wasm_test · 6 апр 2008

Clerk достойно выступил=) надо иногда спать)

Clerk · 6 апр 2008

Зачем так жестоко ?
Я имел ввиду:
assume fs:nothing
mov eax,fs:[TEB.Tib.Self]
Great, насчёт спать - ты прав, попробую.

n0name · 6 апр 2008

в ядре? нуну

Clerk · 6 апр 2008

Да я не про ядро.
В ядре достаточно NtQueryInformationThread(ThreadBasicInformation).
А вообще ну вас..

Войти или зарегистрироваться

FS:[0] или как узнать адрес?

zoool New Member

wasm_test wasm test user

zoool New Member

Clerk Забанен

zoool New Member

Clerk Забанен

zoool New Member

2FED New Member

zoool New Member

wasm_test wasm test user

Clerk Забанен

n0name New Member

Clerk Забанен

Войти или зарегистрироваться

FS:[0] или как узнать адрес?

zoool New Member

wasm_test wasm test user

zoool New Member

Clerk Забанен

zoool New Member

Clerk Забанен

zoool New Member

2FED New Member

zoool New Member

wasm_test wasm test user

Clerk Забанен

n0name New Member

Clerk Забанен

Быстрый поиск