32位Windows上的TEB位于fs:[0x0018]。在fs:0和fs:0x18之间的24个字节中到底发现了什么? (是的,我知道这个没有记载,可能会有变化,但知道......会很有趣)。
答案 0 :(得分:3)
这是FS的Thread Information Block的开头:[0]。该结构的第一个字段是当前结构化异常处理(SEH)框架。
因此,在FS:[0]是指向ExceptionList的指针
它是指向异常回调函数链表头的指针。
BTW它非常documented,从FS:[0]到FS:[0x1C](不包括)的所有内容都不是变化的一部分,它是非常基本的结构,MS在NT操作系统中不会改变它。