Хочу знать куда указывет регистр FS:[X] при разных X, если указывает на известный объект.
Отрывками я накопал информацию на пару X,
но может кто подскажет больше, а лучше всё и сразу. Для WindowsXP и >.

| Сообщение посчитали полезным:

FS указывает на Thread Environment Block
который делится на TIB и PEB инфо по ним полно

| Сообщение посчитали полезным:

Я прошу прощения, я не увидел что тема появилась и запустил второй раз.
Понял, спасибо.
Тогда для примера я разберу такой код:

mov eax, fs:[30h]
mov eax,dword ptr [eax+0xC]
mov esi,dword ptr [eax+0x1C]
lods dword ptr [esi]
mov edx,0xCAFEDEAD
mov dword ptr [eax+8],edx

Что он делает я знаю, но как это будет выглядеть по документации? Ищу.

| Сообщение посчитали полезным:

www.wasm.ru/article.php?article=packers2
В статье есть материал по сабжу + полезные линки.
но как это будет выглядеть по документации?
То есть тебе нужно описание структур и их полей?

| Сообщение посчитали полезным:

Нет, это у меня есть. Вобщем разберусь сам. Теперь я знаю куда FS смотрит, большое спасибо, буду дообучаться.

| Сообщение посчитали полезным:

В ринг0 если чо он смотрит в KPCR

| Сообщение посчитали полезным:

mov eax, fs:[30h] ;Teb.Peb
mov eax,dword ptr [eax+0xC] ;Peb.Ldr - PEB_LDR_DATA
mov esi,dword ptr [eax+0x1C] ;PEB_LDR_DATA.InInitializationOrderModuleList
lods dword ptr [esi] ; load to eax InInitializationOrderModuleList.Flink->LDR_DATA_TABLE_ENTRY
mov edx,0xCAFEDEAD ; trash
mov dword ptr [eax+8],edx ; replace LDR_DATA_TABLE_ENTRY.InMemoryOrderLinks.Flink with trash

Вроде так

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным: