Есть ли какое-то кастомное решение функции __readfsdword в MinGW32 ?
-
XSS.stack #1 – первый литературный журнал от юзеров форума
MinGW32 __readfsdword
- Автор темы awaken1337
- Дата начала
KasperWAF
Гость
C:
void* pPEB = NULL;
__asm
{
mov pPEB, fs:[30h]
}
Я помню конкретно, но по-моему там так же интринсики звучат, как и в студии. Intrin.h подключил? Если не так, то попробуй __builtin_readfsdword.
- Автор темы
- Добавить закладку
- #4
Без асм вставок, не могу их использовать
- Автор темы
- Добавить закладку
- #5
use of undeclared identifier
Компилируется без каких-то проблем:
C:
// main.c
#include <intrin.h>
int main(int argc, char** argv) {
unsigned long res = __readfsdword(0);
return 0;
}
Код:
[CTest]$ i686-w64-mingw32-gcc -o main.exe main.c
[CTest]$- Автор темы
- Добавить закладку
- #7
Это же под x86, верно?
Естественно.
KasperWAF
Гость
Под х64 __readfsdword не доступен. Я так понимаю, ты хочешь работать с какой-то структурой, пользуйся __readgsqword.
- Автор темы
- Добавить закладку
- #10
Мне как раз таки под x86 и надо, асм вставки не могу из-за OLLVM
Я почти уверен, что интринсика у тебя в ассемблерную вставку скомпилируется в LLVM IR. По-моему в LLVM IR не было опкодов для доступа к FS/GS, хотя может и будет какой-то вызов builtin функции вставлен, надо тестить.
- Автор темы
- Добавить закладку
- #12
Как тогда по другому PEB получить?
KasperWAF
Гость
NtQueryInformationProcess() -> ProcessBasicInformation.
ФÑнкÑÐ¸Ñ NtQueryInformationProcess (winternl.h) - Win32 apps
ÐÐ·Ð²Ð»ÐµÐºÐ°ÐµÑ ÑÐ²ÐµÐ´ÐµÐ½Ð¸Ñ Ð¾Ð± Ñказанном пÑоÑеÑÑе. (NtQueryInformationProcess)
docs.microsoft.com
Через TEB, я только не помню экспортируемая ли это функция или макрос (если макрос, то не получишь так): https://docs.microsoft.com/en-us/windows/win32/api/winnt/nf-winnt-ntcurrentteb
- Автор темы
- Добавить закладку
- #15
fs:[0x18]
не то
- Автор темы
- Добавить закладку
- #16
можешь расписать сниппет получения пеба? буду весьма благодаренNtQueryInformationProcess() -> ProcessBasicInformation.
ФÑнкÑÐ¸Ñ NtQueryInformationProcess (winternl.h) - Win32 apps
ÐÐ·Ð²Ð»ÐµÐºÐ°ÐµÑ ÑÐ²ÐµÐ´ÐµÐ½Ð¸Ñ Ð¾Ð± Ñказанном пÑоÑеÑÑе. (NtQueryInformationProcess)docs.microsoft.com
У меня нет венды под рукой, но тут написано, что она экспортируется из ntdll.dll: https://www.geoffchappell.com/studies/windows/win32/ntdll/api/index.htm
KasperWAF
Гость
C:
#include <Windows.h>
#include <winternl.h>
#define NT_SUCCESS(Status) (((NTSTATUS)(Status)) >= 0)
void Main()
{
PROCESS_BASIC_INFORMATION PBI = { 0 };
ULONG uSize = sizeof(PROCESS_BASIC_INFORMATION);
if (NT_SUCCESS(NtQueryInformationProcess(GetCurrentProcess(), ProcessBasicInformation, &PBI, uSize, &uSize)))
{
wchar_t wszPEBInfo[MAX_PATH] = { 0 };
wsprintfW(wszPEBInfo, L"PEB Address: 0x%x", PBI.PebBaseAddress);
MessageBoxW(0, wszPEBInfo, 0, 0);
}
}- Автор темы
- Добавить закладку
- #19
Огромное спасибо!
Там кстати есть и RtlGetCurrentPeb()
Wine экспортирует:
$ grep Current.eb wine/dlls/ntdll/ntdll.spec
@ stdcall -arch=i386,arm64 NtCurrentTeb()
@ stdcall RtlGetCurrentPeb()
В Wine есть и ассемблерные варианты для GCC
C:
#if defined(__i386__) && defined(__GNUC__) && ((__GNUC__ > 3) || ((__GNUC__ == 3) && (__GNUC_MINOR__ >= 2)))
static FORCEINLINE struct _TEB * WINAPI NtCurrentTeb(void)
{
struct _TEB *teb;
__asm__(".byte 0x64\n\tmovl (0x18),%0" : "=r" (teb));
return teb;
}
#elif defined(__x86_64__) && defined(__GNUC__)
static FORCEINLINE struct _TEB * WINAPI NtCurrentTeb(void)
{
struct _TEB *teb;
__asm__(".byte 0x65\n\tmovq (0x30),%0" : "=r" (teb));
return teb;
}
#elifПримерно так же реализованы интринсики для mingw-w64 https://github.com/Alexpux/mingw-w64/blob/master/mingw-w64-headers/include/psdk_inc/intrin-impl.h
Но это всё про GCC, а LLVM IR это вроде в Clang? Там есть такой интересный нюанс
lib/clang/13.0.0/include/intrin.h is missing __readfsdword
https://github.com/llvm/llvm-project/issues/50532Что показывает компилятор, если запустить его с ключём
--vers?