深入研究与TIB(线程信息block)一起工作的Win32API函数的实现，例如:TLS访问函数:TlsAlloc、TlsFree、TlsSetValue、TlsGetValueGetLastError,SetLastError消息子系统:GetMessage、PeekMessage等通过读取fs:[0x18]选择器的内容，我们发现它们都访问了TIB，有时称为TEB(线程环境block)。OTOH这是不必要的，因为fs寄存器直接指向它。根据thisarticle我在实践中看到的是，fs寄存器保存了TIB结构开头的地址，而在偏移量0x18处它有一个指向自身的指针。间接访问TIB的原因可能

我最近一直在研究调用堆栈。然而，我一直在阅读的所有示例和文章都是单线程的。我对调用堆栈在内存中的样子以及我们如何分析它很感兴趣。很抱歉在一个帖子中包含了这么多问题。但是，当每个问题都相关时，为每个问题创建一个帖子似乎很麻烦。我的问题是针对Windowsx86的。所以我遇到困难的问题是:进程中的每个线程是否总是有一个调用堆栈？即线程不共享调用栈？每个调用栈的大小是固定的吗？还是每个线程都可以不同？让我们假装自己做所有事情并用汇编编写我们的程序。调用栈是不是神奇的给了我们？还是必须自己实现？如果我们用汇编编写程序，我们是否会预留一些内存并将调用堆栈内存起始地址设置为ESP以进行设置？-迈克

.386.modelflat,stdcalloptioncasemap:noneincludewindows.incincludekernel32.incincludeuser32.incincludelibuser32.libincludelibkernel32.libMainproto.datahOutputdd0bReadWrittendd0szText1db"What'syourname?",0hInputdd0szInputdb128dup(0).data?.codestart:InvokeMainInvokeExitProcess,0MainprocinvokeGetStd

我正在创建一个Hook，它允许从DirectX9设备HookPresent方法，我这样做如下:#include#include#include#include#pragmacomment(lib,"d3d9.lib")typedefHRESULT(PresentDef)(constRECT*pSourceRect,constRECT*pDestRect,HWNDhDestWindowOverride,constRGNDATA*pDirtyRegion);PresentDef*Real_Present;PresentDefMine_Present;HRESULTMine_Present(

在这个答案中:https://stackoverflow.com/a/8646611/192359，解释了在调试x86代码时，即使使用了FPO(帧指针省略)，符号也允许调试器显示调用堆栈。给出的解释是:Onthex86PDBscontainFPOinformation,whichallowsthedebuggertoreliablyunwindacallstack.我的问题是这些信息是什么？据我了解，仅知道函数是否具有FPO并不能帮助您找到堆栈指针的原始值，因为这取决于运行时信息。我在这里错过了什么？ 最佳答案 从根本上说，总是可以

我需要知道一台Windows机器有多少物理内存，使用Perl。我试过使用Win32::SystemInfo.但是，此模块声明了以下警告:OnIntelx86computerswithmorethan2GBandlessthan4GBofmemory,theMemoryStatusfunctionwillalwaysreturn2GBforTotalPhys.Similarly,ifthetotalavailablememoryisbetween2and4GB,AvailPhyswillberoundeddownto2GB.所以在一台有2-4GB物理内存的机器上，我得到一个错误的答案。有

在Windows(最好是XP)上，当进程在特定地址(在它的虚拟地址空间中)写入时，通常可以挂起进程吗？加载的DLL执行写操作而不是进程本身的(PE)镜像中的代码这一事实使问题变得复杂。 最佳答案 您可以使用VirtualProtect和PAGE_GUARD或其他选项保护包含感兴趣地址的页面，并在地址写入时出现异常。此类异常可以由未处理的异常过滤器处理(视情况而定，应用程序可能会自行处理)，或由进程外调试器应用程序处理，例如众所周知的调试器或通过API自定义应用程序调试进程。调试器应用程序可以在必要时暂停进程，或者使用快照进行小型转储

我正在编写一个Windows应用程序，它在汇编中打印命令行参数。我有所有的处理代码。我需要知道的是程序参数在堆栈中的位置 最佳答案 命令行参数并没有真正在堆栈上传递。获取命令行指针的官方方法是调用KERNEL32函数GetCommandLine。 关于windows-x86程序参数位置，我们在StackOverflow上找到一个类似的问题： https://stackoverflow.com/questions/10401423/

我是汇编的新手，我正在尝试编写一个计数达到10,000并退出的程序。我正在使用fasm`include'include/win32ax.inc'.dataincharDB?numwrittenDD?numreadDD?outhandleDD?inhandleDD?strFormatDB"Number%d",0strBuffRB64.codestart:;setupconsoleinvokeAllocConsoleinvokeGetStdHandle,STD_OUTPUT_HANDLEmov[outhandle],eaxinvokeGetStdHandle,STD_INPUT_HANDL

我正尝试按照以下说明在cygwin中安装openssl:我从这个网站下载了最新的tarballhttp://www.openssl.org/source/，并将其放入C:\cygwin64\home，然后我从cygwin运行这些命令tarzxvfopenssl-1.0.1e.tar.gzcdopenssl-1.0.1e./配置制作做测试安装(此处的说明:http://www.slideshare.net/ganaaturuu/cygwinandopen-sslinstallguide)直到第3步./config我相信它工作正常，至少没有报告错误，并且它给出消息“已为Cygwin配置”。