首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[求助]如何直接call未文档化的NtOpenProcess
发表于: 2010-2-6 18:53 4753

[求助]如何直接call未文档化的NtOpenProcess

pcie 活跃值
2010-2-6 18:53
4753
哪位朋友帮我看看ntdll中的 NtOpenProcess 函数 有几个参数啊?
C++中如何直接call

__asm
{
push ...
push ... //请问有几个参数啊?
mov edx,NtOpenProcess的地址
call edx

}

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 0
支持
分享
最新回复 (6)
pcie
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
我看到的push参数的顺序是这样的
先 push pid的值
   push pid变量的地址
   push 一个地址 不知道是做什么的
   push 权限值
   push pid变量的地址

//怎么怎么多重复的值啊 搞晕了  到底那些push的参数是NtOpenProcess用的上的 ??? 请教。。。
2010-2-6 18:57
0
MiSHE
雪    币: 708
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
NtOpenProcess是ntdll直接导出的,GetProcAddress得到地址调用即可

NTSYSAPI
NTSTATUS
NTAPI
NtOpenProcess(

  OUT PHANDLE             ProcessHandle,
  IN ACCESS_MASK          AccessMask,
  IN POBJECT_ATTRIBUTES   ObjectAttributes,
  IN PCLIENT_ID           ClientId );
2010-2-6 18:58
0
xzchina
雪    币: 615
活跃值: (1202)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
4
只可意会,不可言传。
2010-2-6 19:04
0
PEBOSS
雪    币: 33
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
NtOpenProcess
2010-2-6 21:08
0
ForSence
雪    币: 6
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
下去了还是被搞死
2010-2-8 04:28
0
pcie
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
怎么他压栈的参数和
NTSYSAPI
NTSTATUS
NTAPI
NtOpenProcess(

  OUT PHANDLE             ProcessHandle,
  IN ACCESS_MASK          AccessMask,
  IN POBJECT_ATTRIBUTES   ObjectAttributes,
  IN PCLIENT_ID           ClientId );
//不太一样
2010-2-8 11:26
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//