TEBTIBPEB

ntdll!_TEB fs:[0x18]

+0x000 NtTib : _NT_TIB 线程信息块结构

+0x01c EnvironmentPointer : Ptr32 Void 环境指针

+0x020 ClientId : _CLIENT_ID 相关ID结构

+0x028 ActiveRpcHandle : Ptr32 Void ??句柄

+0x02c ThreadLocalStoragePointer : Ptr32 Void 线程本地存储指针

+0x030 ProcessEnvironmentBlock : Ptr32 _PEB 进程环境快

+0x034 LastErrorValue : Uint4B 上个错误值

+0x038 CountOfOwnedCriticalSections : Uint4B ??数量

+0x03c CsrClientThread : Ptr32 Void Csr本地线程指针

+0x040 Win32ThreadInfo : Ptr32 Void 线程信息指针

+0x044 User32Reserved : [26] Uint4B 保留

+0x0ac UserReserved : [5] Uint4B 保留

+0x0c0 WOW32Reserved : Ptr32 Void 保留

+0x0c4 CurrentLocale : Uint4B 当前语言环境

+0x0c8 FpSoftwareStatusRegister : Uint4B Fp软件状态寄存器

+0x0cc SystemReserved1 : [54] Ptr32 Void 系统保留

+0x1a4 ExceptionCode : Int4B 异常代码

+0x1a8 ActivationContextStackPointer : Ptr32 _ACTIVATION_CONTEXT_STACK 激活上下文堆栈指针

+0x1ac SpareBytes : [36] UChar 备用字节

+0x1d0 TxFsContext : Uint4B TxFs上下文

+0x1d4 GdiTebBatch : _GDI_TEB_BATCH GDI线程环境快作业结构?

+0x6b4 RealClientId : _CLIENT_ID RealClientId ID结构

+0x6bc GdiCachedProcessHandle : Ptr32 Void GDI缓存进程句柄

+0x6c0 GdiClientPID : Uint4B

+0x6c4 GdiClientTID : Uint4B

+0x6c8 GdiThreadLocalInfo : Ptr32 Void

+0x6cc Win32ClientInfo : [62] Uint4B 客户信息

+0x7c4 glDispatchTable : [233] Ptr32 Void 调度表

+0xb68 glReserved1 : [29] Uint4B 保留

+0xbdc glReserved2 : Ptr32 Void 保留

+0xbe0 glSectionInfo : Ptr32 Void 部分信息

+0xbe4 glSection : Ptr32 Void 部分

+0xbe8 glTable : Ptr32 Void 表

+0xbec glCurrentRC : Ptr32 Void

+0xbf0 glContext : Ptr32 Void 上下文

+0xbf4 LastStatusValue : Uint4B 最后状态值

+0xbf8 StaticUnicodeString : _UNICODE_STRING静态Unicode字符串

+0xc00 StaticUnicodeBuffer : [261] Wchar 静态Unicode缓冲区

+0xe0c DeallocationStack : Ptr32 Void 存储单元分配堆栈

+0xe10 TlsSlots : [64] Ptr32 Void TLS插槽

+0xf10 TlsLinks : _LIST_ENTRY TLS链接

+0xf18 Vdm : Ptr32 Void 虚拟光驱?

+0xf1c ReservedForNtRpc : Ptr32 Void 保留ntrpc

+0xf20 DbgSsReserved : [2] Ptr32 Void DbgSs保留

+0xf28 HardErrorMode : Uint4B 硬错误模式

+0xf2c Instrumentation : [9] Ptr32 Void 使用仪器?

+0xf50 ActivityId : _GUID 活动ID

+0xf60 SubProcessTag : Ptr32 Void 子进程的标签

+0xf64 EtwLocalData : Ptr32 Void ETW本地数据

+0xf68 EtwTraceData : Ptr32 Void ETW跟踪数据

+0xf6c WinSockData : Ptr32 Void 短数据

+0xf70 GdiBatchCount : Uint4B Gdi批次数

+0xf74 CurrentIdealProcessor : _PROCESSOR_NUMBER 目前使用的处理器

+0xf74 IdealProcessorValue : Uint4B 使用的处理器版本?

+0xf74 ReservedPad0 : UChar

+0xf75 ReservedPad1 : UChar

+0xf76 ReservedPad2 : UChar

+0xf77 IdealProcessor : UChar 理想处理器

+0xf78 GuaranteedStackBytes : Uint4B 保证堆栈字节

+0xf7c ReservedForPerf : Ptr32 Void 保留性能

+0xf80 ReservedForOle : Ptr32 Void 保留的OLE

+0xf84 WaitingOnLoaderLock : Uint4B 等待装载机锁

+0xf88 SavedPriorityState : Ptr32 Void 保存的优先级状态

+0xf8c SoftPatchPtr1 : Uint4B 软补丁Ptr1

+0xf90 ThreadPoolData : Ptr32 Void 线程池数据

+0xf94 TlsExpansionSlots : Ptr32 Ptr32 Void Tls扩展槽

+0xf98 MuiGeneration : Uint4B

+0xf9c IsImpersonating : Uint4B 是冒充的

+0xfa0 NlsCache : Ptr32 Void Nls缓存指针

+0xfa4 pShimData : Ptr32 Void

+0xfa8 HeapVirtualAffinity : Uint4B 近似虚拟堆

+0xfac CurrentTransactionHandle : Ptr32 Void当前事务处理指针

+0xfb0 ActiveFrame : Ptr32 _TEB_ACTIVE_FRAME 活动框架

+0xfb4 FlsData : Ptr32 Void

+0xfb8 PreferredLanguages : Ptr32 Void 优先语言

+0xfbc UserPrefLanguages : Ptr32 Void 用户首选语言

+0xfc0 MergedPrefLanguages : Ptr32 Void 合并后的语言

+0xfc4 MuiImpersonation : Uint4B

+0xfc8 CrossTebFlags : Uint2B 交叉线程环境快标识

+0xfc8 SpareCrossTebBits : Pos 0, 16 Bits

+0xfca SameTebFlags : Uint2B

+0xfca SafeThunkCall : Pos 0, 1 Bit 安全的thunk回调

+0xfca InDebugPrint : Pos 1, 1 Bit 在调试打印

+0xfca HasFiberData : Pos 2, 1 Bit 有光纤数据

+0xfca SkipThreadAttach : Pos 3, 1 Bit 跳过线程附加

+0xfca WerInShipAssertCode : Pos 4, 1 Bit 更好的传输 代码

+0xfca RanProcessInit : Pos 5, 1 Bit 过程初始化

+0xfca ClonedThread : Pos 6, 1 Bit 克隆线程

+0xfca SuppressDebugMsg : Pos 7, 1 Bit 抑制调试消息

+0xfca DisableUserStackWalk : Pos 8, 1 Bit 禁用用户堆栈单步

+0xfca RtlExceptionAttached : Pos 9, 1 Bit Rtl异常附加

+0xfca InitialThread : Pos 10, 1 Bit 初始线程

+0xfca SpareSameTebBits : Pos 11, 5 Bits

+0xfcc TxnScopeEnterCallback : Ptr32 Void Txn范围输入回调

+0xfd0 TxnScopeExitCallback : Ptr32 Void Txn范围退出回调

+0xfd4 TxnScopeContext : Ptr32 Void Txn范围上下文

+0xfd8 LockCount : Uint4B 锁计数

+0xfdc SpareUlong0 : Uint4B 备用

+0xfe0 ResourceRetValue : Ptr32 Void 备用Ret

ntdll!_NT_TIB

+0x000 ExceptionList : Ptr32 _EXCEPTION_REGISTRATION_RECORD SEH异常列表结构

+0x004 StackBase : Ptr32 Void 堆栈基址

+0x008 StackLimit : Ptr32 Void 堆栈大小

+0x00c SubSystemTib : Ptr32 Void

+0x010 FiberData : Ptr32 Void 构造数据?

+0x010 Version : Uint4B 版本

+0x014 ArbitraryUserPointer : Ptr32 Void

+0x018 Self : Ptr32 _NT_TIB TEB地址

ntdll!_PEB

+0x000 InheritedAddressSpace : UChar 在你的地址空间

+0x001 ReadImageFileExecOptions : UChar 读取图像文件执行程序选项

+0x002 BeingDebugged : UChar 被调试

+0x003 BitField : UChar 位阈 如下8字节

+0x003 ImageUsesLargePages : Pos 0, 1 Bit 图像使用大页面

+0x003 IsProtectedProcess : Pos 1, 1 Bit 是受保护的过程

+0x003 IsLegacyProcess : Pos 2, 1 Bit 是传统工艺

+0x003 IsImageDynamicallyRelocated : Pos 3, 1 Bit 图像动态重新定位

+0x003 SkipPatchingUser32Forwarders : Pos 4, 1 Bit 跳过补丁用户32的守卫 跳过修补USER32代理

+0x003 SpareBits : Pos 5, 3 Bits 备用位

+0x004 Mutant : Ptr32 Void 变异

+0x008 ImageBaseAddress : Ptr32 Void 图像基地址

+0x00c Ldr : Ptr32 _PEB_LDR_DATA

+0x010 ProcessParameters : Ptr32 _RTL_USER_PROCESS_PARAMETERS 过程参数

+0x014 SubSystemData : Ptr32 Void 子系统的数据

+0x018 ProcessHeap : Ptr32 Void 进程堆

+0x01c FastPebLock : Ptr32 _RTL_CRITICAL_SECTION 快速Peb锁

+0x020 AtlThunkSListPtr : Ptr32 Void

+0x024 IFEOKey : Ptr32 Void Image File Execution Options 图像文件执行选项 key

+0x028 CrossProcessFlags : Uint4B 跨进程的标志

+0x028 ProcessInJob : Pos 0, 1 Bit 工作中的过程

+0x028 ProcessInitializing : Pos 1, 1 Bit 进程初始化

+0x028 ProcessUsingVEH : Pos 2, 1 Bit 过程使用VEH

+0x028 ProcessUsingVCH : Pos 3, 1 Bit 过程使用VCH

+0x028 ProcessUsingFTH : Pos 4, 1 Bit 过程使用FTH

+0x028 ReservedBits0 : Pos 5, 27 Bits

+0x02c KernelCallbackTable : Ptr32 Void 内核回调表

+0x02c UserSharedInfoPtr : Ptr32 Void 用户共享信息

+0x030 SystemReserved : [1] Uint4B 系统保留

+0x034 AtlThunkSListPtr32 : Uint4B

+0x038 ApiSetMap : Ptr32 Void Api设置地图

+0x03c TlsExpansionCounter : Uint4B TLS扩展计数器

+0x040 TlsBitmap : Ptr32 Void TLS的位图

+0x044 TlsBitmapBits : [2] Uint4B TLS位图的位

+0x04c ReadOnlySharedMemoryBase : Ptr32 Void 只读共享内存基址

+0x050 HotpatchInformation : Ptr32 Void 热补丁信息

+0x054 ReadOnlyStaticServerData : Ptr32 Ptr32 Void 只读静态服务器数据

+0x058 AnsiCodePageData : Ptr32 Void Ansi代码页数据

+0x05c OemCodePageData : Ptr32 Void Oem代码页数据

+0x060 UnicodeCaseTableData : Ptr32 Void Unicode案例表数据

+0x064 NumberOfProcessors : Uint4B 处理器数量

+0x068 NtGlobalFlag : Uint4B NT全局标志

+0x070 CriticalSectionTimeout : _LARGE_INTEGER 关键节超时

+0x078 HeapSegmentReserve : Uint4B 堆栈段保留

+0x07c HeapSegmentCommit : Uint4B 提交的堆段

+0x080 HeapDeCommitTotalFreeThreshold : Uint4B 总空闲堆栈

+0x084 HeapDeCommitFreeBlockThreshold : Uint4B 堆取消自由阻止阈值

+0x088 NumberOfHeaps : Uint4B 堆栈数

+0x08c MaximumNumberOfHeaps : Uint4B 堆的最大数量

+0x090 ProcessHeaps : Ptr32 Ptr32 Void 进程堆

+0x094 GdiSharedHandleTable : Ptr32 Void 共享句柄表

+0x098 ProcessStarterHelper : Ptr32 Void 起动辅助过程

+0x09c GdiDCAttributeList : Uint4B IDC属性列表

+0x0a0 LoaderLock : Ptr32 _RTL_CRITICAL_SECTION加载程序锁

+0x0a4 OSMajorVersion : Uint4B 操作系统的主要版本

+0x0a8 OSMinorVersion : Uint4B 操作系统版本

+0x0ac OSBuildNumber : Uint2B 操作系统版本号

+0x0ae OSCSDVersion : Uint2B 操作系统CSD版本

+0x0b0 OSPlatformId : Uint4B 中期操作系统

+0x0b4 ImageSubsystem : Uint4B 图像子系统

+0x0b8 ImageSubsystemMajorVersion : Uint4B 图像子系统主要版本

+0x0bc ImageSubsystemMinorVersion : Uint4B 图像子系统小版本

+0x0c0 ActiveProcessAffinityMask : Uint4B 活动过程相似性掩码

+0x0c4 GdiHandleBuffer : [34] Uint4B GDI句柄缓冲

+0x14c PostProcessInitRoutine : Ptr32 void 后处理初始化例程

+0x150 TlsExpansionBitmap : Ptr32 Void Tls扩展位图

+0x154 TlsExpansionBitmapBits : [32] Uint4B Tls扩展位图位

+0x1d4 SessionId : Uint4B 会话ID

+0x1d8 AppCompatFlags : _ULARGE_INTEGER 应用程序兼容标志

+0x1e0 AppCompatFlagsUser : _ULARGE_INTEGER 使用应用程序兼容标志

+0x1e8 pShimData : Ptr32 Void 垫片数据

+0x1ec AppCompatInfo : Ptr32 Void 应用程序兼容性信息

+0x1f0 CSDVersion : _UNICODE_STRING CSD版本

+0x1f8 ActivationContextData : Ptr32 _ACTIVATION_CONTEXT_DATA 未知,可能是内核结构? 激活上下文数据

+0x1fc ProcessAssemblyStorageMap : Ptr32 _ASSEMBLY_STORAGE_MAP 未知,可能是内核结构? 存储过程的存储映像表

+0x200 SystemDefaultActivationContextData : Ptr32 _ACTIVATION_CONTEXT_DATA 系统默认激活上下文数据

+0x204 SystemAssemblyStorageMap : Ptr32 _ASSEMBLY_STORAGE_MAP 系统装配存储映像表

+0x208 MinimumStackCommit : Uint4B 最小堆栈提交

+0x20c FlsCallback : Ptr32 _FLS_CALLBACK_INFO 未知,可能是内核结构? FLS回调

+0x210 FlsListHead : _LIST_ENTRY FLS列表头

+0x218 FlsBitmap : Ptr32 Void FLS位图

+0x21c FlsBitmapBits : [4] Uint4B FLS位图的位

+0x22c FlsHighIndex : Uint4B Fls高指数

+0x230 WerRegistrationData : Ptr32 Void Wer注册数据

+0x234 WerShipAssertPtr : Ptr32 Void

+0x238 pContextData : Ptr32 Void 上下文数据

+0x23c pImageHeaderHash : Ptr32 Void 图像标题哈希

+0x240 TracingFlags : Uint4B 跟踪标志

+0x240 HeapTracingEnabled : Pos 0, 1 Bit 堆跟踪功能

+0x240 CritSecTracingEnabled : Pos 1, 1 Bit 启用启动阶段跟踪

+0x240 SpareTracingBits : Pos 2, 30 Bits 备用追踪位

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,657评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,662评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 158,143评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,732评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,837评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,036评论 1 291
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,126评论 3 410
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,868评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,315评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,641评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,773评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,470评论 4 333
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,126评论 3 317
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,859评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,095评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,584评论 2 362
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,676评论 2 351

推荐阅读更多精彩内容