Системщики... Раньше я считал, что TEB и TIB - разные вещи. Дядя Питрек в своей статье написал иначе (1996 год), дядя Руссинович и дядя Шрайбер полностью расходясь между собой в объяснениях, тем не менее, КАЖЕТСЯ, сходятся, что вещи это разные... Словом настучите меня по голове, дабы знал на будущее, т.к. на самостоятельные раскопки у меня времени нет :(

В общем вещи это разные. TIB используется под Win9x, а TEB под WinNT. Суть у них одна и та же, даже совпадают некоторые начальные поля. Но в целом это разные структуры.

[ volodya: ...дядя Руссинович и дядя Шрайбер полностью расходясь между собой в объяснениях... ]

Я что-то не заметил. В чем конкретно?

PEB'ы для трех осей я постил тут: fs:[30h] aka PEB

Мапится всегда по адресу 7FFDF000h или fs:[30] на него кажет.
Айс по команде query обзывает его "SubSystem Process".


По линку выше еще есть ссылка на более-менее похожее на правду определение структуры TEB. А TIB документирован даже в SDK - структура NT_TIB. Путаница наверное из-за того, что NT_TIB является первым полем TEB.

TEB первого потока мапится всегда по адресу 7FFDE000h остальные вниз через страницу или fs:[18] на него кажет. А айс по той же команде query обзывает его "TIB" и в скобочках приписывает урезаный до двух младших цифр ID потока.

ЗЫ: Все вышесказанное для NT.

Four-F

Спасибо.