textbox

IT博客 联系 聚合 管理
  103 Posts :: 7 Stories :: 22 Comments :: 0 Trackbacks

汇编

posted @ 2010-10-29 11:38 零度 阅读(861) | 评论 (0)  编辑

posted @ 2010-10-09 11:40 零度 阅读(763) | 评论 (0)  编辑

     摘要: 经常在r3 下调试经常会看到

mov eax,fs:[18h] ;获取TEP 其实就只指向自己fs:[0]
mov eax,[eax+30h] ;获取PEB
这样的语句。

fs段在用户模式(R3)和系统模式(R0)分别指向两个最重要的系统结构:
Ring3:
fs --> TEB (Thread Environment Block)结构表 --> 7FFDE000即“线程环境块”。

Ring0:
fs --> KPCR (Kernel Processor Control Region) 结构表 --> FFFDF000 即“内核处理器控制域”。

  阅读全文
posted @ 2010-05-10 12:00 零度 阅读(907) | 评论 (0)  编辑

     摘要: 系统引导过程主要由以下几个步骤组成(以硬盘启动为例)
1、 开机;
2、 BIOS加电自检(POST---Power On Self Test),内存地址为0fff:0000;
3、 将硬盘第一个扇区(0头0道1扇区,也就是Boot Sector)读入内存地址0000:7c00处;
4、 检查(WORD)0000:7dfe是否等于0xaa55.若不等于则转去尝试其他介质;如果没有其他启动介质,则显示 ”No ROM BASIC” ,然后死机;
5、 跳转到0000:7c00处执行MBR中的程序;
6、 MBR先将自己复制到0000:0600处,然后继续执行;
7、 在主分区表中搜索标志为活动的分区.如果发现没有活动分区或者不止一个活动分区,则停止;
8、 将活动分区的第一个扇区读入内存地址0000:7c00处;
9、 检查(WORD)0000:7dfe是否等于0xaa55,若不等于则显示 “Missing Operating System”,然后停止,或尝试软盘启动;
10、 跳转到0000:7c00处继续  阅读全文
posted @ 2009-11-14 16:47 零度 阅读(1321) | 评论 (0)  编辑