Вопрос по TIB

Сейчас на форуме: _MBK_, Adler (+6 невидимых)

Посл.ответ	Сообщение
hexusR Ранг: 0.6 (гость) Активность: 0=0 Статус: Участник	Создано: 10 августа 2011 21:05 · Личное сообщение · #1 Встретилось такое обнуление: Code: AND BYTE PTR FS:[0FCA], FE что в FS:[FCA] хранится?

reversecode Ранг: 1053.6 (!!!!), 1078thx Активность: 1.06↘0.81 Статус: Участник	Создано: 10 августа 2011 21:48 · Личное сообщение · #2 а гуглите сами а? http://board.b-at-s.info/showtopic=7345&st=0&p=13686&#entry13686 This is what I know about the TEB trick. If you debug a process in WinDbg you can dump the TEB using the !teb command. At the lower part of the dump you will find this: Code: +0xfca SameTebFlags : Uint2B +0xfca DbgSafeThunkCall : Pos 0, 1 Bit +0xfca DbgInDebugPrint : Pos 1, 1 Bit +0xfca DbgHasFiberData : Pos 2, 1 Bit +0xfca DbgSkipThreadAttach : Pos 3, 1 Bit +0xfca DbgWerInShipAssertCode : Pos 4, 1 Bit +0xfca DbgRanProcessInit : Pos 5, 1 Bit +0xfca DbgClonedThread : Pos 6, 1 Bit +0xfca DbgSuppressDebugMsg : Pos 7, 1 Bit +0xfca SpareSameTebBits : Pos 8, 8 Bits
DenCoder Ранг: 324.3 (мудрец), 221thx Активность: 0.48↘0.37 Статус: Участник	Создано: 10 августа 2011 22:28 · Личное сообщение · #3 hexusR пишет: что в FS:[FCA] хранится? не TIB, а TEB. От версии зависит, в WinXP SP3 sizeof(_TEB) = 0xFB8 ----- IZ.RU
hexusR Ранг: 0.6 (гость) Активность: 0=0 Статус: Участник	Создано: 10 августа 2011 23:02 · Личное сообщение · #4 reversecode, гуглил по форуму и интернету "0FCA" DenCoder, WinXP неактуально осталось узнать что такое Thunk?
DenCoder Ранг: 324.3 (мудрец), 221thx Активность: 0.48↘0.37 Статус: Участник	Создано: 10 августа 2011 23:29 · Поправил: DenCoder · Личное сообщение · #5 фу, троль ----- IZ.RU

Для печати