0x01 用户态
在x86系统中,当线程在用户态执行时,段寄存器fs总是指向当前线程的TEB。
在Ntdll中有一个未公开的函数NtCurrentTeb() ,用来取得当前线程的TEB地址。FS:[0]的内容就是TEB的起始四个字节的内容,又因为TIB位于TEB的起始地址处,所以FS:[0]的内容实际上就是TIB的其实四个字节的内容。而NtCurrentTeb()取出的是fs;{00000018h}的内容,也就是NT_TIB的Self字段,也就是TEB和TIB结构在进程空间中的虚拟地址。
typedef struct _NT_TIB //sizeof 1ch
{
00h struct _EXCEPTION_REGISTRATION_RECORD *ExceptionList;
04h PVOID StackBase;
08h PVOID StackLimit;
0ch PVOID SubSystemTib;
union {
PVOID FiberData;
10h DWORD Version;
};
14h PVOID ArbitraryUserPointer;
18h struct _NT_TIB *Self;
}NT_TIB;
使用windbg命令dd fs:[0]得到TEB/TIB结构的虚拟地址:
可以看到其中98d3b1bc就是ExceptionList字段,以此类推,7ffdf000就是Self字段,
拿到这个地址,使用命令dt _nt_tib 7ffdf000来结构化显示TIB的字段:
win7 x86中teb结构:
tib结构:
0x02 内核态
在内核模式中,内核态的代码依然可以通过fs:[0]来引用到TIB结构,这个结构位于KPCR结构的开始处。KPCR是与处理器相关的,系统会在启动期间为每个CPU创建一个KPCR结构和KPRCB结构。
KPCR与KPRCB结构,都是用来描述处理器的,前者叫处理器描述符,后者叫处理器控制块。
Struct KPCR
{
KPCR_TIB Tib;//类似于TEB.TIB,内部第一个字段都是ExceptionList
KPCR* self;//自身结构体的地址,方便直接寻址
KPRCB* kprcb;//处理器控制块的地址、
KIRQL irql;//当前cpu的irql
USHORT* IDT;//本cpu的IDT地址,一有中断/异常就去这个表找isr、epr
USHORT* GDT;//全局描述符表地址
KTSS* TSS;//记录了本cpu上当前运行线程的状态信息,重要字段有内核栈地址,IO权限位图
……
}
Struct KPRCB
{
KTHREAD* CurrentThread;//本cpu上当前运行的线程
KTHREAD* NextThread;//本cpu上将抢占当前线程的下个线程(抢占式调度核心)
BYTE CpuID;
ULONG KernelTime,UserTime;//本cpu的累计运行时间统计信息
……
}
windbg中查看KPC:
!pcr命令:
找到KPCR的地址为0x83f32c00
输入命令:dt _KPCR 83f32c00
