(Windows XP 환경)
FS:[0x00] 현재 Structured Exception Handling (SEH) 프레임
FS:[0x04] 스택 베이스 / 스택의 바닥 (높은 주소)
FS:[0x08] 스택 한계 / 스택의 천장 (낮은 주소)
FS:[0x0C] SubSystemTib
FS:[0x10] Fiber data
FS:[0x14] 임의 데이터 슬롯
FS:[0x18] TIB의 선형 주소
---- NT subsystem 독립적인 부분 끝 ----
FS:[0x1C] Environment Pointer
FS:[0x20] 프로세스 ID (몇몇 윈도우 버전에서 이 필드는 'DebugContext'로 쓰인다.)
FS:[0x24] 현재 스레드 ID
FS:[0x28] 활동중인 RPC 핸들
FS:[0x2C] thread-local storage 배열의 선형 주소
FS:[0x30] Process Environment Block (PEB)의 선형 주소
FS:[0x34] 마지막 오류 번호
FS:[0x38] Count of owned critical sections
FS:[0x3C] CSR 클라이언트 스레드의 주소
FS:[0x40] Win32 스레드 정보
FS:[0x44] Win32 클라이언트 정보 (NT), user32 private data (Wine),
0x60 = LastError (Win95), 0x74 = LastError (WinME)
FS:[0xC0] Reserved for Wow64. Wow64에서 FastSysCall에 대한 포인터를 포함한다.
FS:[0xC4] Current Locale
FS:[0xC8] FP Software Status Register
FS:[0xCC] Reserved for OS (NT), kernel32 private data (Wine)
herein: FS:[0x124] Pointer to KTHREAD (ETHREAD) structure
FS:[0x1A4] 예외 코드
FS:[0x1A8] Activation context stack
FS:[0x1BC] Spare bytes (NT), ntdll private data (Wine)
FS:[0x1D4] Reserved for OS (NT), ntdll private data (Wine)
FS:[0x1FC] GDI TEB Batch (OS), vm86 private data (Wine)
FS:[0x6DC] GDI Region
FS:[0x6E0] GDI 펜
FS:[0x6E4] GDI 브러시
FS:[0x6E8] Real Process ID
FS:[0x6EC] Real Thread ID
FS:[0x6F0] GDI cached process handle
FS:[0x6F4] GDI 클라이언트 프로세스 ID (PID)
FS:[0x6F8] GDI 클라이언트 스레드 ID (TID)
FS:[0x6FC] GDI thread locale information
FS:[0x700] Reserved for user application
FS:[0x714] Reserved for GL
FS:[0xBF4] 마지막 상태 값
FS:[0xBF8] Static UNICODE_STRING buffer
FS:[0xE0C] deallocation stack에 대한 포인터
FS:[0xE10] TLS 슬롯, 슬롯 당 4 byte
FS:[0xF10] TLS 링크 (LIST_ENTRY structure)
FS:[0xF18] VDM
FS:[0xF1C] Reserved for RPC
FS:[0xF28] 스레드 에러 모드(RtlSetThreadErrorMode)
참고 : 리버싱 핵심원리(책), Windows 구조와 원리(책), MSDN
'Reversing' 카테고리의 다른 글
| Static Anti-Debugging 0x02. LDR (0) | 2016.07.06 |
|---|---|
| Static Anti-Debugging 0x01. IsDebuggerPresent() (0) | 2016.07.06 |
| Anti-Debugging (0) | 2016.07.06 |
| PEB 구조 (2) | 2016.07.05 |
| Heap, FS, TEB, PEB (0) | 2016.07.05 |