2017年07月21日
PEB / TEB の覚書
TEB(Thread Environment Block)
TEB アドレスの取得
テーブルの内容
BYTE* / Undocumented 32-bit PEB and TEB Structures
PEB(Process Environment Block)
PEB アドレスの取得
または
テーブルの内容
利用可能な TEBのサイズ
Win2000 SP4
XP SP3
Win7SP1
TEB アドレスの取得
| mov eax,fs:[00000018h] |
テーブルの内容
//
// Thread Environment Block (TEB)
//
typedef struct _TEB
{
NT_TIB Tib; /* 00h */
PVOID EnvironmentPointer; /* 1Ch */
CLIENT_ID Cid; /* 20h */
PVOID ActiveRpcHandle; /* 28h */
PVOID ThreadLocalStoragePointer; /* 2Ch */
struct _PEB *ProcessEnvironmentBlock; /* 30h */
ULONG LastErrorValue; /* 34h */
ULONG CountOfOwnedCriticalSections; /* 38h */
PVOID CsrClientThread; /* 3Ch */
PVOID Win32ThreadInfo; /* 40h */
ULONG User32Reserved[0x1A]; /* 44h */
ULONG UserReserved[5]; /* ACh */
PVOID WOW32Reserved; /* C0h */
LCID CurrentLocale; /* C4h */
ULONG FpSoftwareStatusRegister; /* C8h */
PVOID SystemReserved1[0x36]; /* CCh */
LONG ExceptionCode; /* 1A4h */
struct _ACTIVATION_CONTEXT_STACK *ActivationContextStackPointer; /* 1A8h */
UCHAR SpareBytes1[0x28]; /* 1ACh */
GDI_TEB_BATCH GdiTebBatch; /* 1D4h */
CLIENT_ID RealClientId; /* 6B4h */
PVOID GdiCachedProcessHandle; /* 6BCh */
ULONG GdiClientPID; /* 6C0h */
ULONG GdiClientTID; /* 6C4h */
PVOID GdiThreadLocalInfo; /* 6C8h */
ULONG Win32ClientInfo[62]; /* 6CCh */
PVOID glDispatchTable[0xE9]; /* 7C4h */
ULONG glReserved1[0x1D]; /* B68h */
PVOID glReserved2; /* BDCh */
PVOID glSectionInfo; /* BE0h */
PVOID glSection; /* BE4h */
PVOID glTable; /* BE8h */
PVOID glCurrentRC; /* BECh */
PVOID glContext; /* BF0h */
NTSTATUS LastStatusValue; /* BF4h */
UNICODE_STRING StaticUnicodeString; /* BF8h */
WCHAR StaticUnicodeBuffer[0x105]; /* C00h */
PVOID DeallocationStack; /* E0Ch */
PVOID TlsSlots[0x40]; /* E10h */
LIST_ENTRY TlsLinks; /* F10h */
PVOID Vdm; /* F18h */
PVOID ReservedForNtRpc; /* F1Ch */
PVOID DbgSsReserved[0x2]; /* F20h */
ULONG HardErrorDisabled; /* F28h */
PVOID Instrumentation[14]; /* F2Ch */
PVOID SubProcessTag; /* F64h */
PVOID EtwTraceData; /* F68h */
PVOID WinSockData; /* F6Ch */
ULONG GdiBatchCount; /* F70h */
BOOLEAN InDbgPrint; /* F74h */
BOOLEAN FreeStackOnTermination; /* F75h */
BOOLEAN HasFiberData; /* F76h */
UCHAR IdealProcessor; /* F77h */
ULONG GuaranteedStackBytes; /* F78h */
PVOID ReservedForPerf; /* F7Ch */
PVOID ReservedForOle; /* F80h */
ULONG WaitingOnLoaderLock; /* F84h */ |
PEB(Process Environment Block)
PEB アドレスの取得
| mov eax,fs:[00000018h] // TEB取得 mov eax,[eax+30] |
| mov eax,fs:[00000030h] |
テーブルの内容
typedef struct _PEB
{
UCHAR InheritedAddressSpace; /* 00h */
UCHAR ReadImageFileExecOptions; /* 01h */
UCHAR BeingDebugged; /* 02h */
BOOLEAN SpareBool; /* 03h */
HANDLE Mutant; /* 04h */
PVOID ImageBaseAddress; /* 08h */
PPEB_LDR_DATA Ldr; /* 0Ch */
struct _RTL_USER_PROCESS_PARAMETERS *ProcessParameters; /* 10h */
PVOID SubSystemData; /* 14h */
PVOID ProcessHeap; /* 18h */
PVOID FastPebLock; /* 1Ch */
PPEBLOCKROUTINE FastPebLockRoutine; /* 20h */
PPEBLOCKROUTINE FastPebUnlockRoutine; /* 24h */
ULONG EnvironmentUpdateCount; /* 28h */
PVOID* KernelCallbackTable; /* 2Ch */
PVOID EventLogSection; /* 30h */
PVOID EventLog; /* 34h */
PPEB_FREE_BLOCK FreeList; /* 38h */
ULONG TlsExpansionCounter; /* 3Ch */
PVOID TlsBitmap; /* 40h */
ULONG TlsBitmapBits[0x2]; /* 44h */
PVOID ReadOnlySharedMemoryBase; /* 4Ch */
PVOID ReadOnlySharedMemoryHeap; /* 50h */
PVOID* ReadOnlyStaticServerData; /* 54h */
PVOID AnsiCodePageData; /* 58h */
PVOID OemCodePageData; /* 5Ch */
PVOID UnicodeCaseTableData; /* 60h */
ULONG NumberOfProcessors; /* 64h */
ULONG NtGlobalFlag; /* 68h */
LARGE_INTEGER CriticalSectionTimeout; /* 70h */
ULONG HeapSegmentReserve; /* 78h */
ULONG HeapSegmentCommit; /* 7Ch */
ULONG HeapDeCommitTotalFreeThreshold; /* 80h */
ULONG HeapDeCommitFreeBlockThreshold; /* 84h */
ULONG NumberOfHeaps; /* 88h */
ULONG MaximumNumberOfHeaps; /* 8Ch */
PVOID* ProcessHeaps; /* 90h */
PVOID GdiSharedHandleTable; /* 94h */
PVOID ProcessStarterHelper; /* 98h */
PVOID GdiDCAttributeList; /* 9Ch */
PVOID LoaderLock; /* A0h */
ULONG OSMajorVersion; /* A4h */
ULONG OSMinorVersion; /* A8h */
USHORT OSBuildNumber; /* ACh */
USHORT OSCSDVersion; /* AEh */
ULONG OSPlatformId; /* B0h */
ULONG ImageSubSystem; /* B4h */
ULONG ImageSubSystemMajorVersion; /* B8h */
ULONG ImageSubSystemMinorVersion; /* BCh */
ULONG ImageProcessAffinityMask; /* C0h */
ULONG GdiHandleBuffer[0x22]; /* C4h */
PVOID PostProcessInitRoutine; /* 14Ch */
struct _RTL_BITMAP *TlsExpansionBitmap; /* 150h */
ULONG TlsExpansionBitmapBits[0x20]; /* 154h */
ULONG SessionId; /* 1D4h */
PVOID AppCompatInfo; /* 1D8h */
UNICODE_STRING CSDVersion; /* 1DCh */
} PEB, *PPEB; |
利用可能な TEBのサイズ
| SUB_L004D7F4C: push esi push edi mov edi,[esp+0Ch] push edi call KeAttachProcess push 00000FA4h push edi call SUB_L004D7D9A mov esi,eax xor edx,edx or dword ptr [esi],FFFFFFFFh mov [esi+0Ch],edx mov dword ptr [esi+10h],00001E00h |
| SUB_L004AE0F5: push 00000014h push L00423B50 call SUB_L0040BDF3 mov esi,[ebp+08h] push esi call KeAttachProcess lea eax,[ebp-1Ch] push eax push 00000FB8h push esi call SUB_L004AE20F mov edi,eax test edi,edi jl L005256DA and dword ptr [ebp-04h],00000000h mov eax,[ebp-1Ch] or dword ptr [eax],FFFFFFFFh mov eax,[ebp-1Ch] mov dword ptr [eax+10h],00001E00h |
| SUB_L006600D7: push 0000002Ch push L0044D160 call SUB_L00454C60 mov edi,ecx mov ebx,[ebp+0Ch] lea eax,[ebp-3Ch] push eax push [ebp+08h] call KeStackAttachProcess lea eax,[ebp-20h] push eax push 00000FE4h push 00000000h push [ebp+08h] call SUB_L00618BDF mov [ebp+0Ch],eax test eax,eax jge L0066011F lea eax,[ebp-3Ch] push eax call KeUnstackDetachProcess mov eax,[ebp+0Ch] jmp L006601ED L0066011F: and dword ptr [ebp-04h],00000000h mov esi,[ebp-20h] or dword ptr [esi],FFFFFFFFh mov dword ptr [esi+10h],00001E00h |
【悲報】遂に恐れていた、Intel Chipset Driver の魔の手が Microsoft Update Catalog に及ぶ
【超悲報】Intel Chipset ドライバ 10.1.1.44 の作成日時、更に不可解な状態に…。
Intel Chipset Driver 10.1.1.44 の日付がおかしい件、秘密が明らかに!
Download IntelR Server Chipset Driver for Windows*
先日 Intel Chipset Driver 10.1.2.86 もリリースされましたが、日付が 10.1.1.44 と同じ、 07/18/1968 に変更されただけで、大きな修正はありません。
・・・が、恐れていたことがついに現実に ・ω・ !
Microsoft Update カタログ
ああ、もう!めちゃくちゃだよ! ・ω・
どうするんだよこれ!
インテル技術者からのコメント
Chipset Device Software Wrong driver date? |Intel Communities
こんなトリッキーなことをするの美しくないよ ・ω・
そもそも、なんで一般向けに説明がないのか!
Intel Chipset Driver 10.1.1.44 の日付がおかしい件、秘密が明らかに!
Download IntelR Server Chipset Driver for Windows*
先日 Intel Chipset Driver 10.1.2.86 もリリースされましたが、日付が 10.1.1.44 と同じ、 07/18/1968 に変更されただけで、大きな修正はありません。
・・・が、恐れていたことがついに現実に ・ω・ !
Microsoft Update カタログ
ああ、もう!めちゃくちゃだよ! ・ω・
どうするんだよこれ!
インテル技術者からのコメント
Chipset Device Software Wrong driver date? |Intel Communities
| インテル(R)チップセット・デバイス・ソフトウェアは、ターゲットとするデバイスに珍しい日付を使用します。 1968年7月18日は象徴的な日付で Intelはその日に創設されました。 この日付が使用された理由は、Intel(R)Chipset Device Softwareのランクを下げることです。 これは、他のドライバを上書きしてはならないサポートユーティリティであるため、必要です。 インテル(R)チップセットデバイスソフトウェアをアップデートする必要はありません。 |
そもそも、なんで一般向けに説明がないのか!
2017年07月20日
MSPAINT.EXE を改造してJPEGの品質を設定できるようにしてみたよ!
「ペイント」が終了へ?--「Windows 10」秋の大型アップデートで廃止・非推奨となる機能が公開 - CNET Japan
ペイントが終了するということで、XPのMSPAINTを Windows 2000で使う上で、JPEG品質をしていできないか改造してみることにしました
Windows の MSPAINT の画像の保存の仕組み
XP のやつは以前解析した結果Quality設定してないことが分かってる
MSPAINT.EXEのJPEGの保存は
こんな感じ
何やってるかというと
これを…
こうじゃ!
これを
こうやって…0%で保存してみると…?
おけ、うまくいった
0%にすると画像をモザイク変換できて面白いかも ・ω・
(MSPAINTに新しい利用方法が!)
ついでなんでレジストリで設定できるように改造してみよう
これを流し込んでみた・ω・
// GUIや設定ファイルで実装するのは改造する上でちょっとめんどくさいので割愛
// バイナリ直接いじるので、レジストリで実装すると簡単なんじゃよ
結果
Windows 7のJPEG 品質高いね ・ω・(なんだこりゃ)
ダウンロード
mspaint.cab
使い方は
English version
mspainten.cab
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Settings
の JpegQuality に REG_DWORD 型で16進数で品質指定すること
同梱の setting.reg は 0x50 なので 80%
言わなくてもわかると思うけど、 Win2000の人はGDIPLUS.DLL が必要 ・ω・
ペイントが終了するということで、XPのMSPAINTを Windows 2000で使う上で、JPEG品質をしていできないか改造してみることにしました
Windows の MSPAINT の画像の保存の仕組み
XP のやつは以前解析した結果Quality設定してないことが分かってる
MSPAINT.EXEのJPEGの保存は
| SUB_L01030B3B: mov edi,edi push ebp mov ebp,esp push esi push [ebp+10h] mov esi,ecx push [ebp+0Ch] push [ebp+08h] push [esi+04h] call jmp_gdiplus_dll_DelayImport_GdipSaveImageToFile push eax mov ecx,esi call SUB_L010303AE pop esi pop ebp retn 000Ch |
何やってるかというと
| GdiSaveImageToFile(img, char * filename, CLDID[{557cf401-1a04-11d3-9a73-0000f81ef32e} ], NULL); |
これを…
| EncoderParameters enc; enc.Count = 1; enc.Parameter[0].GUID = pvToCLSID(QUALITY_PARAMS); enc.Parameter[0].TypeAPI = 4; enc.Parameter[0].NumberOfValues = 1; enc.Parameter[0].Value = Quarity; GdiSaveImageToFile(img, char * filename, CLDID[{557cf401-1a04-11d3-9a73-0000f81ef32e} ], &enc); |
| db CCh; '・ db CCh; '・ db CCh; '・ db CCh; '・ db CCh; '・ SUB_L01030B3B: mov edi,edi push ebp mov ebp,esp push esi push [ebp+10h] mov esi,ecx push [ebp+0Ch] push [ebp+08h] push [esi+04h] call jmp_gdiplus_dll_DelayImport_GdipSaveImageToFile push eax mov ecx,esi call SUB_L010303AE pop esi pop ebp retn 000Ch |
| db CCh; '・ db CCh; '・ SUB_L01030B36: push ebp mov ebp,esp push esi call PRECHECK_JPG push [ebp+10h] mov esi,ecx push [ebp+0Ch] push [ebp+08h] push [esi+04h] call jmp_gdiplus_dll_DelayImport_GdipSaveImageToFile push eax mov ecx,esi call SUB_L010303AE pop esi pop ebp retn 000Ch 01 00 00 00 b5 e4 5b 1d 4a fa 2d 45 9c dd 5d b3 51 05 e7 eb 01 00 00 00 04 00 00 00 24 fe 12 00 // 0103CC74 DWORD Count = 01h ['{1D5BE4B5-FA4A-452D-9CDD-5DB35105E7EB}'] DWORD NumberOfValues = 01h; DWORD Type = 04h; DWORD Data = &Quality; //4B0A0D10 Quality DD 64 PRECHECK_JPG: mov eax,[ebp+0Ch] cmp eax,DWORD PTR [4B0A0CF4] jz NOT_JPG mov [ebp+10h],offset 0103CC74 NOT_JPG: retn |
おけ、うまくいった
0%にすると画像をモザイク変換できて面白いかも ・ω・
(MSPAINTに新しい利用方法が!)
ついでなんでレジストリで設定できるように改造してみよう
| HKEY hKey; int tq=4,q=75; if(RegOpenKeyExA(HKEY_CURRENT_USER, "Software\\Microsoft\\Windows\\CurrentVersion\\Applets\\Paint\\Settings" ,0,KEY_READ,&hKey)==ERROR_SUCCESS){ if(RegQueryValueExA(hKey,"JpegQuality",0,0,(LPBYTE)&q,(LPDWORD)&tq)!=ERROR_SUCCESS){ tq=0; } if(tq!=4) q=75; RegCloseKey(hKey); } |
// GUIや設定ファイルで実装するのは改造する上でちょっとめんどくさいので割愛
// バイナリ直接いじるので、レジストリで実装すると簡単なんじゃよ
結果
| JPEG Quality | ファイルサイズ |
| 0% | 20K |
| 16% | 35K |
| 32% | 49K |
| 64% | 73K |
| 75% | 88K |
| XP標準 | 88K |
| 80% | 98K |
| 85% | 113K |
| 90% | 141K |
| Win10 - Paint 3D | 149K |
| 91% | 152K |
| 92% | 160K |
| 94% | 185K |
| 95% | 204K |
| Win7/10標準 | 209K |
| 96% | 223K |
| 97% | 249K |
| 98% | 289K |
| 99% | 339K |
| 100% | 509K |
| オリジナル | 607K |
ダウンロード
mspaint.cab
使い方は
English version
mspainten.cab
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Settings
の JpegQuality に REG_DWORD 型で16進数で品質指定すること
同梱の setting.reg は 0x50 なので 80%
言わなくてもわかると思うけど、 Win2000の人はGDIPLUS.DLL が必要 ・ω・
更新後の再起動を何とかしてなかった事にしたい! ・ω・
更新プログラムを導入途中でエラーが出てしまったものの、このまま再起動されるとPCが起動しなくなる
なんとか、この上から更新プログラムを入れなおしたいのにできない!
ってことありますよね ・ω・
以前のファイル更新操作を完了するため、 %1 をインストール前にシステムを再起動する必要があります。(この操作は前回、別のインストールまたはアンインストール中にスケジュールされたものです。)
The system must be restarted before installing the %1 to allow some prior file update operations to complete. (These operations were previously scheduled by some other install or uninstall operation.)
を強制的に出さない方法
以前のインストールの再起動が保留されている
なんとか、この上から更新プログラムを入れなおしたいのにできない!
ってことありますよね ・ω・
以前のファイル更新操作を完了するため、 %1 をインストール前にシステムを再起動する必要があります。(この操作は前回、別のインストールまたはアンインストール中にスケジュールされたものです。)
The system must be restarted before installing the %1 to allow some prior file update operations to complete. (These operations were previously scheduled by some other install or uninstall operation.)
を強制的に出さない方法
以前のインストールの再起動が保留されている
Exchange Server アナライザは、次のレジストリ キーを読み取り、セキュリティ更新プログラム、重要な更新プログラム、修正プログラムなどのソフトウェア更新プログラムをインストール後または削除後にシステムの再起動が必要かどうかを判断します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\UpdateExeVolatile
また、Exchange アナライザは、次のレジストリ キーを確認し、以前のソフトウェア更新プログラムのインストールが完了していないためにシステムを再起動する必要がないかどうかを判断します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
以下の条件のいずれかに当てはまる場合は、エラー メッセージが表示されます。
- UpdateExeVolatile レジストリ キーの値が 0 以外である。
- PendingFileRenameOperations レジストリ キーに値が指定されている。
なるほど・ω・
 |
|
Translate
