那些遇到过的问题

mov eax,大fs:30h

dae*_*hee 12 debugging x86 assembly ida mov

我正在分析一些x86二进制文件,并找到了我无法理解的以下指令.有人可以按照说明解释我吗?

mov     eax, large fs:30h

我用Google搜索了,结果发现它是一些反调试的东西......但这就是我所知道的.

什么large意思?? 什么fs:30意思??

我知道有关分段但我不知道何时使用fs寄存器.例如cs:,ds:当指令引用代码或数据时,会隐式跳过.但究竟是fs什么,是gs什么?

Jas*_*onD 12

看起来像是Windows代码,通过线程信息块加载进程环境块(PEB)的地址,可以通过FS段访问.

PEB包含最长的其他东西,一个标志,指示进程是否正在被调试.

MSDN 在这里有一个关于它的页面

归档时间:

查看次数:

7831 次

最近记录:

7 年,3 月 前
相关归档
在调试模式下找不到此可执行文件的有效配置文件 238
你如何调试MySQL存储过程? 116
通过Visual Studio中的不同解决方案进行调试 44
确定AccessViolationException DragDrop.DoDragDrop的原因 11
如何从Swift调用汇编函数 8
代码块 - wx/setup: 没有这样的文件或目录 6
如何为我的独立可启动代码启用SSE? 6
不支持 JRE Oracle Corporation/13,在 Eclipse 06-2019 和 Java 13 上禁用高级源查找 4
在其他架构上等同于Z80 DJNZ指令? 3
x86 ENTER指令有什么问题? 2
难疑归档
正则表达式匹配不包含单词的行? 4121
使用Java创建内存泄漏 3076
在Git存储库中查找并恢复已删除的文件 2716
数据库索引如何工作? 2335
如何在JavaScript中获取当前日期? 2152
配置错误:此配置部分不能在此路径中使用 1694
如何在Javascript中的数组开头添加新的数组元素? 1476
在Bash中循环遍历一串字符串? 1371
从Docker容器内部,如何连接到本机的本地主机? 1176
使用Twitter Bootstrap 3将列居中 1109