39.windbg-CPU基础(dg)

1. 标志寄存器

      DF(Direction flag) 方向标志,为1时使用字符串指令每次操作后递减变址寄存器(ESI和EDI),为0时递增.

CF位可以由STC和CLC指令来设置和清除,DF位可由STD和CLD指令来设置和清除(ST:set,CL: clear)

随意写段代码测试:

	__asm
	{
		pushad
		int 3
	    CLC
		STC
		CLC
		popad
	}

39.windbg-CPU基础(dg)_第1张图片

39.windbg-CPU基础(dg)_第2张图片


2.控制寄存器

    CR0和CR4包含了很多与CPU工作模式关系密切的重要标志位


3.其他寄存器

  EIP指向的是CPU要执行的下一条指令,其值为该指令在当前代码段中的偏移地址,如果一条指令有多个字节,那么EIP指向的是该指令的第一个字节.


4. 描绘符表

在一个多任务系统中通常会同时存在很多的任务,每个任务会涉及多个段,每个段需要一个段描绘符,系统通过线性表来存放段描述符

一个系统中通常只有一个GDT表,在32位下,长度为48位,高32位是基地址,低16位是边界,在64位下,长度为80位,高64位为基地址,低16位是边界

可以用windbg查看,注意的是必须在内核模式下:

39.windbg-CPU基础(dg)_第3张图片

以上显示GDT的边界是3ff=1023,总长度为1024个字节

cs,ds,ss,es,fs和gs是6个16位的段寄存器,在保护模式下,段寄存器内存放的是段选择子

5.观察段寄存器(段选择子)

0:001> r cs
cs=0000001b
0:001> dg 1b
                                  P Si Gr Pr Lo
Sel    Base     Limit     Type    l ze an es ng Flags
---- -------- -------- ---------- - -- -- -- -- --------
001B 00000000 ffffffff Code RE Ac 3 Bg Pg P  Nl 00000cfb

其中Sel表示选择子,base和limit分别是基地址和边界,type是段的类型,RE代表只读和可执行,Ac表示被访问过,PI为3是ring3特权级,Bg(big)表示为32位代码,

Gran表示粒度,Pg意味着粒度的单位是内存而(4KB) , Pres代表Present即这个段是否在内存中,Long下的N1表示Not Long,意味着这不是64位代码.


注意的是FS存放的是当前线程的TEB结构:

0:000> r fs
fs=0000003b
0:000> dg 3b
                                  P Si Gr Pr Lo
Sel    Base     Limit     Type    l ze an es ng Flags
---- -------- -------- ---------- - -- -- -- -- --------
003B 7ffde000 00000fff Data RW Ac 3 Bg By P  Nl 000004f3
0:000> ~
.  0  Id: be8.524 Suspend: 1 Teb: 7ffde000 Unfrozen
#  1  Id: be8.2044 Suspend: 1 Teb: 7ffdd000 Unfrozen
0:000> r fs
fs=0000003b
0:000> dg 3b
                                  P Si Gr Pr Lo
Sel    Base     Limit     Type    l ze an es ng Flags
---- -------- -------- ---------- - -- -- -- -- --------
003B 7ffde000 00000fff Data RW Ac 3 Bg By P  Nl 000004f3
0:000> ~1s
eax=7ffdd000 ebx=00000000 ecx=00000000 edx=77a0f17d esi=00000000 edi=00000000
eip=779a410c esp=0181f958 ebp=0181f984 iopl=0         nv up ei pl zr na pe nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00000246
ntdll!DbgBreakPoint:
779a410c cc              int     3
0:001> r fs
fs=0000003b
0:001> dg 3b
                                  P Si Gr Pr Lo
Sel    Base     Limit     Type    l ze an es ng Flags
---- -------- -------- ---------- - -- -- -- -- --------
003B 7ffdd000 00000fff Data RW Ac 3 Bg By P  Nl 000004f3

仔细观察,我们会发现在不同的线程中 dg fs的Base总是指向当前线程的teb结构首地址





你可能感兴趣的:(windbg)