14

x86 バイナリを分析していたところ、理解できない次の命令が見つかりました。誰かが指示に従って私に説明してもらえますか?

mov eax, large fs:30h

私はこれをグーグルで検索しましたが、それはアンチデバッグのものであることがわかりました...しかし、それが私が知っているすべてです。

とはどういうlarge意味ですか?? とはどういうfs:30意味ですか??

fsセグメンテーションについては知っていますが、レジスタがいつ使用されるかわかりません。たとえば、命令がコードまたはデータを参照している場合cs:、は暗黙的にスキップされます。ds:しかしfs、 とは何gsですか?

4

1 に答える 1

13

Windowsコードのように見え、スレッド情報ブロックを介してプロセス環境ブロック(PEB)のアドレスをロードします。これは、FSセグメントを介してアクセスできます。

PEBには、特に、プロセスがデバッグされているかどうかを示すフラグが含まれています。

MSDNにはそれに関するページがあります

于 2013-01-24T10:14:27.933 に答える