Dinisoid Jul 20 2013 at 15:56

Работа с PEB и TEB

6 min

38K

C++*Assembler*

+16

Comments 4

Jeditobe Jul 21 2013 at 00:38

Всем привет от разработчиков ReactOS +)

Meta2 Jul 22 2013 at 10:54

Есть прекрасная книга Свена Шрайбера "Недокументированные возможности windows 2000". Возможно, она немного устарела, но может быть полезна начинающим исследователям.

ogamespec Jul 16 2014 at 18:42

Ещё можно поизучать Windows Research Kernel (WRK).

Он содержит исходники executive (ntoskrnl.exe). По временной шкале это ядро примерно соответствует Win XP / Windows Server 2003.

Найти его можно в пиринговых сетях.

Ещё можно найти утёкшие исходники Windows 2000, кроме собственно ядра там есть почти весь User-space, включая калькулятор, regedit и даже CPL-ки для настроек системы.

gekt0r Feb 15 2018 at 11:05

Получение

TEB

через

NTQueryInformationThread

не будет работать на x64 системе. Потому что структура

THREAD_BASIC_INFORMATION

содержит поля типа

KPRIORITY

, которые на моей Win7 x64 имеют размер 4 байта, тогда как их

typedef PVOID KPRIORITY;

выше, приравнивает их к указателям (то есть 8 байт на моей системе).
Не могу ручаться за то, что на других системах размер

KPRIORITY

не изменился, но он точно не может быть равен размеру

PVOID

на Windows 7.

Show the best of all time