У меня есть эта простая команда ассемблера:
mov eax, fs:[30h];
Моя проблема в том, что мне нужно знать, какой конкретный адрес действительно читается этой командой. Я нашел много документации о режимах адресации ассемблера, но ничего о нотации register:.
Может ли кто-нибудь объяснить мне математику расчета адреса?
FS — это индекс в таблице дескрипторов сегментов, которые, в свою очередь, содержат базовый адрес, который добавлено в адрес. В win32 FS используется для доступа к блоку информации о потоке (или, точнее, дескриптор сегмента, индексируемый FS, имеет базовый адрес, так что FS:[0] является началом TIB), а FS:[30h] — это расположение указателя на блок среды процесса. . В win64 для доступа к TIB используется GS.
Чтобы получить базовый адрес сегмента FS в Win32, вы можете использовать функцию GetThreadSelectorEntry (только для x86).
Если вы пишете отладчик, вы можете использовать значение lpThreadLocalBase из структур CREATE_THREAD_DEBUG_INFO/CREATE_PROCESS_DEBUG_INFO, которые отправляются отладчику для каждого нового потока или процесса. Это указывает на TEB потоков и работает для процессы как x86, так и x64 (на x64 регистр GS используется для TEB).
Лучшее объяснение (и даже с картинками) размещено здесь:
http://flint.cs.yale.edu/cs422/doc/art-of-asm/pdf/
Глава 4 - это то, что вам следует прочитать.
