ntdll!_TEB fs:[0x18]
+0x000 NtTib : _NT_TIB 线程信息块结构
+0x01c EnvironmentPointer : Ptr32 Void 环境指针
+0x020 ClientId : _CLIENT_ID 相关ID结构
+0x028 ActiveRpcHandle : Ptr32 Void ??句柄
+0x02c ThreadLocalStoragePointer : Ptr32 Void 线程本地存储指针
+0x030 ProcessEnvironmentBlock : Ptr32 _PEB 进程环境快
+0x034 LastErrorValue : Uint4B 上个错误值
+0x038 CountOfOwnedCriticalSections : Uint4B ??数量
+0x03c CsrClientThread : Ptr32 Void Csr本地线程指针
+0x040 Win32ThreadInfo : Ptr32 Void 线程信息指针
+0x044 User32Reserved : [26] Uint4B 保留
+0x0ac UserReserved : [5] Uint4B 保留
+0x0c0 WOW32Reserved : Ptr32 Void 保留
+0x0c4 CurrentLocale : Uint4B 当前语言环境
+0x0c8 FpSoftwareStatusRegister : Uint4B Fp软件状态寄存器
+0x0cc SystemReserved1 : [54] Ptr32 Void 系统保留
+0x1a4 ExceptionCode : Int4B 异常代码
+0x1a8 ActivationContextStackPointer : Ptr32 _ACTIVATION_CONTEXT_STACK 激活上下文堆栈指针
+0x1ac SpareBytes : [36] UChar 备用字节
+0x1d0 TxFsContext : Uint4B TxFs上下文
+0x1d4 GdiTebBatch : _GDI_TEB_BATCH GDI线程环境快作业结构?
+0x6b4 RealClientId : _CLIENT_ID RealClientId ID结构
+0x6bc GdiCachedProcessHandle : Ptr32 Void GDI缓存进程句柄
+0x6c0 GdiClientPID : Uint4B
+0x6c4 GdiClientTID : Uint4B
+0x6c8 GdiThreadLocalInfo : Ptr32 Void
+0x6cc Win32ClientInfo : [62] Uint4B 客户信息
+0x7c4 glDispatchTable : [233] Ptr32 Void 调度表
+0xb68 glReserved1 : [29] Uint4B 保留
+0xbdc glReserved2 : Ptr32 Void 保留
+0xbe0 glSectionInfo : Ptr32 Void 部分信息
+0xbe4 glSection : Ptr32 Void 部分
+0xbe8 glTable : Ptr32 Void 表
+0xbec glCurrentRC : Ptr32 Void
+0xbf0 glContext : Ptr32 Void 上下文
+0xbf4 LastStatusValue : Uint4B 最后状态值
+0xbf8 StaticUnicodeString : _UNICODE_STRING静态Unicode字符串
+0xc00 StaticUnicodeBuffer : [261] Wchar 静态Unicode缓冲区
+0xe0c DeallocationStack : Ptr32 Void 存储单元分配堆栈
+0xe10 TlsSlots : [64] Ptr32 Void TLS插槽
+0xf10 TlsLinks : _LIST_ENTRY TLS链接
+0xf18 Vdm : Ptr32 Void 虚拟光驱?
+0xf1c ReservedForNtRpc : Ptr32 Void 保留ntrpc
+0xf20 DbgSsReserved : [2] Ptr32 Void DbgSs保留
+0xf28 HardErrorMode : Uint4B 硬错误模式
+0xf2c Instrumentation : [9] Ptr32 Void 使用仪器?
+0xf50 ActivityId : _GUID 活动ID
+0xf60 SubProcessTag : Ptr32 Void 子进程的标签
+0xf64 EtwLocalData : Ptr32 Void ETW本地数据
+0xf68 EtwTraceData : Ptr32 Void ETW跟踪数据
+0xf6c WinSockData : Ptr32 Void 短数据
+0xf70 GdiBatchCount : Uint4B Gdi批次数
+0xf74 CurrentIdealProcessor : _PROCESSOR_NUMBER 目前使用的处理器
+0xf74 IdealProcessorValue : Uint4B 使用的处理器版本?
+0xf74 ReservedPad0 : UChar
+0xf75 ReservedPad1 : UChar
+0xf76 ReservedPad2 : UChar
+0xf77 IdealProcessor : UChar 理想处理器
+0xf78 GuaranteedStackBytes : Uint4B 保证堆栈字节
+0xf7c ReservedForPerf : Ptr32 Void 保留性能
+0xf80 ReservedForOle : Ptr32 Void 保留的OLE
+0xf84 WaitingOnLoaderLock : Uint4B 等待装载机锁
+0xf88 SavedPriorityState : Ptr32 Void 保存的优先级状态
+0xf8c SoftPatchPtr1 : Uint4B 软补丁Ptr1
+0xf90 ThreadPoolData : Ptr32 Void 线程池数据
+0xf94 TlsExpansionSlots : Ptr32 Ptr32 Void Tls扩展槽
+0xf98 MuiGeneration : Uint4B
+0xf9c IsImpersonating : Uint4B 是冒充的
+0xfa0 NlsCache : Ptr32 Void Nls缓存指针
+0xfa4 pShimData : Ptr32 Void
+0xfa8 HeapVirtualAffinity : Uint4B 近似虚拟堆
+0xfac CurrentTransactionHandle : Ptr32 Void当前事务处理指针
+0xfb0 ActiveFrame : Ptr32 _TEB_ACTIVE_FRAME 活动框架
+0xfb4 FlsData : Ptr32 Void
+0xfb8 PreferredLanguages : Ptr32 Void 优先语言
+0xfbc UserPrefLanguages : Ptr32 Void 用户首选语言
+0xfc0 MergedPrefLanguages : Ptr32 Void 合并后的语言
+0xfc4 MuiImpersonation : Uint4B
+0xfc8 CrossTebFlags : Uint2B 交叉线程环境快标识
+0xfc8 SpareCrossTebBits : Pos 0, 16 Bits
+0xfca SameTebFlags : Uint2B
+0xfca SafeThunkCall : Pos 0, 1 Bit 安全的thunk回调
+0xfca InDebugPrint : Pos 1, 1 Bit 在调试打印
+0xfca HasFiberData : Pos 2, 1 Bit 有光纤数据
+0xfca SkipThreadAttach : Pos 3, 1 Bit 跳过线程附加
+0xfca WerInShipAssertCode : Pos 4, 1 Bit 更好的传输 代码
+0xfca RanProcessInit : Pos 5, 1 Bit 过程初始化
+0xfca ClonedThread : Pos 6, 1 Bit 克隆线程
+0xfca SuppressDebugMsg : Pos 7, 1 Bit 抑制调试消息
+0xfca DisableUserStackWalk : Pos 8, 1 Bit 禁用用户堆栈单步
+0xfca RtlExceptionAttached : Pos 9, 1 Bit Rtl异常附加
+0xfca InitialThread : Pos 10, 1 Bit 初始线程
+0xfca SpareSameTebBits : Pos 11, 5 Bits
+0xfcc TxnScopeEnterCallback : Ptr32 Void Txn范围输入回调
+0xfd0 TxnScopeExitCallback : Ptr32 Void Txn范围退出回调
+0xfd4 TxnScopeContext : Ptr32 Void Txn范围上下文
+0xfd8 LockCount : Uint4B 锁计数
+0xfdc SpareUlong0 : Uint4B 备用
+0xfe0 ResourceRetValue : Ptr32 Void 备用Ret
ntdll!_NT_TIB
+0x000 ExceptionList : Ptr32 _EXCEPTION_REGISTRATION_RECORD SEH异常列表结构
+0x004 StackBase : Ptr32 Void 堆栈基址
+0x008 StackLimit : Ptr32 Void 堆栈大小
+0x00c SubSystemTib : Ptr32 Void
+0x010 FiberData : Ptr32 Void 构造数据?
+0x010 Version : Uint4B 版本
+0x014 ArbitraryUserPointer : Ptr32 Void
+0x018 Self : Ptr32 _NT_TIB TEB地址
ntdll!_PEB
+0x000 InheritedAddressSpace : UChar 在你的地址空间
+0x001 ReadImageFileExecOptions : UChar 读取图像文件执行程序选项
+0x002 BeingDebugged : UChar 被调试
+0x003 BitField : UChar 位阈 如下8字节
+0x003 ImageUsesLargePages : Pos 0, 1 Bit 图像使用大页面
+0x003 IsProtectedProcess : Pos 1, 1 Bit 是受保护的过程
+0x003 IsLegacyProcess : Pos 2, 1 Bit 是传统工艺
+0x003 IsImageDynamicallyRelocated : Pos 3, 1 Bit 图像动态重新定位
+0x003 SkipPatchingUser32Forwarders : Pos 4, 1 Bit 跳过补丁用户32的守卫 跳过修补USER32代理
+0x003 SpareBits : Pos 5, 3 Bits 备用位
+0x004 Mutant : Ptr32 Void 变异
+0x008 ImageBaseAddress : Ptr32 Void 图像基地址
+0x00c Ldr : Ptr32 _PEB_LDR_DATA
+0x010 ProcessParameters : Ptr32 _RTL_USER_PROCESS_PARAMETERS 过程参数
+0x014 SubSystemData : Ptr32 Void 子系统的数据
+0x018 ProcessHeap : Ptr32 Void 进程堆
+0x01c FastPebLock : Ptr32 _RTL_CRITICAL_SECTION 快速Peb锁
+0x020 AtlThunkSListPtr : Ptr32 Void
+0x024 IFEOKey : Ptr32 Void Image File Execution Options 图像文件执行选项 key
+0x028 CrossProcessFlags : Uint4B 跨进程的标志
+0x028 ProcessInJob : Pos 0, 1 Bit 工作中的过程
+0x028 ProcessInitializing : Pos 1, 1 Bit 进程初始化
+0x028 ProcessUsingVEH : Pos 2, 1 Bit 过程使用VEH
+0x028 ProcessUsingVCH : Pos 3, 1 Bit 过程使用VCH
+0x028 ProcessUsingFTH : Pos 4, 1 Bit 过程使用FTH
+0x028 ReservedBits0 : Pos 5, 27 Bits
+0x02c KernelCallbackTable : Ptr32 Void 内核回调表
+0x02c UserSharedInfoPtr : Ptr32 Void 用户共享信息
+0x030 SystemReserved : [1] Uint4B 系统保留
+0x034 AtlThunkSListPtr32 : Uint4B
+0x038 ApiSetMap : Ptr32 Void Api设置地图
+0x03c TlsExpansionCounter : Uint4B TLS扩展计数器
+0x040 TlsBitmap : Ptr32 Void TLS的位图
+0x044 TlsBitmapBits : [2] Uint4B TLS位图的位
+0x04c ReadOnlySharedMemoryBase : Ptr32 Void 只读共享内存基址
+0x050 HotpatchInformation : Ptr32 Void 热补丁信息
+0x054 ReadOnlyStaticServerData : Ptr32 Ptr32 Void 只读静态服务器数据
+0x058 AnsiCodePageData : Ptr32 Void Ansi代码页数据
+0x05c OemCodePageData : Ptr32 Void Oem代码页数据
+0x060 UnicodeCaseTableData : Ptr32 Void Unicode案例表数据
+0x064 NumberOfProcessors : Uint4B 处理器数量
+0x068 NtGlobalFlag : Uint4B NT全局标志
+0x070 CriticalSectionTimeout : _LARGE_INTEGER 关键节超时
+0x078 HeapSegmentReserve : Uint4B 堆栈段保留
+0x07c HeapSegmentCommit : Uint4B 提交的堆段
+0x080 HeapDeCommitTotalFreeThreshold : Uint4B 总空闲堆栈
+0x084 HeapDeCommitFreeBlockThreshold : Uint4B 堆取消自由阻止阈值
+0x088 NumberOfHeaps : Uint4B 堆栈数
+0x08c MaximumNumberOfHeaps : Uint4B 堆的最大数量
+0x090 ProcessHeaps : Ptr32 Ptr32 Void 进程堆
+0x094 GdiSharedHandleTable : Ptr32 Void 共享句柄表
+0x098 ProcessStarterHelper : Ptr32 Void 起动辅助过程
+0x09c GdiDCAttributeList : Uint4B IDC属性列表
+0x0a0 LoaderLock : Ptr32 _RTL_CRITICAL_SECTION加载程序锁
+0x0a4 OSMajorVersion : Uint4B 操作系统的主要版本
+0x0a8 OSMinorVersion : Uint4B 操作系统版本
+0x0ac OSBuildNumber : Uint2B 操作系统版本号
+0x0ae OSCSDVersion : Uint2B 操作系统CSD版本
+0x0b0 OSPlatformId : Uint4B 中期操作系统
+0x0b4 ImageSubsystem : Uint4B 图像子系统
+0x0b8 ImageSubsystemMajorVersion : Uint4B 图像子系统主要版本
+0x0bc ImageSubsystemMinorVersion : Uint4B 图像子系统小版本
+0x0c0 ActiveProcessAffinityMask : Uint4B 活动过程相似性掩码
+0x0c4 GdiHandleBuffer : [34] Uint4B GDI句柄缓冲
+0x14c PostProcessInitRoutine : Ptr32 void 后处理初始化例程
+0x150 TlsExpansionBitmap : Ptr32 Void Tls扩展位图
+0x154 TlsExpansionBitmapBits : [32] Uint4B Tls扩展位图位
+0x1d4 SessionId : Uint4B 会话ID
+0x1d8 AppCompatFlags : _ULARGE_INTEGER 应用程序兼容标志
+0x1e0 AppCompatFlagsUser : _ULARGE_INTEGER 使用应用程序兼容标志
+0x1e8 pShimData : Ptr32 Void 垫片数据
+0x1ec AppCompatInfo : Ptr32 Void 应用程序兼容性信息
+0x1f0 CSDVersion : _UNICODE_STRING CSD版本
+0x1f8 ActivationContextData : Ptr32 _ACTIVATION_CONTEXT_DATA 未知,可能是内核结构? 激活上下文数据
+0x1fc ProcessAssemblyStorageMap : Ptr32 _ASSEMBLY_STORAGE_MAP 未知,可能是内核结构? 存储过程的存储映像表
+0x200 SystemDefaultActivationContextData : Ptr32 _ACTIVATION_CONTEXT_DATA 系统默认激活上下文数据
+0x204 SystemAssemblyStorageMap : Ptr32 _ASSEMBLY_STORAGE_MAP 系统装配存储映像表
+0x208 MinimumStackCommit : Uint4B 最小堆栈提交
+0x20c FlsCallback : Ptr32 _FLS_CALLBACK_INFO 未知,可能是内核结构? FLS回调
+0x210 FlsListHead : _LIST_ENTRY FLS列表头
+0x218 FlsBitmap : Ptr32 Void FLS位图
+0x21c FlsBitmapBits : [4] Uint4B FLS位图的位
+0x22c FlsHighIndex : Uint4B Fls高指数
+0x230 WerRegistrationData : Ptr32 Void Wer注册数据
+0x234 WerShipAssertPtr : Ptr32 Void
+0x238 pContextData : Ptr32 Void 上下文数据
+0x23c pImageHeaderHash : Ptr32 Void 图像标题哈希
+0x240 TracingFlags : Uint4B 跟踪标志
+0x240 HeapTracingEnabled : Pos 0, 1 Bit 堆跟踪功能
+0x240 CritSecTracingEnabled : Pos 1, 1 Bit 启用启动阶段跟踪
+0x240 SpareTracingBits : Pos 2, 30 Bits 备用追踪位