-
-
[求助]问个问题,怎么查找函数原型?高手不要鄙视
-
发表于:
2010-2-9 03:45
4526
-
我想知道NtOpenProcess的原型,XP上和VISTA,windows7 是不是一样的。
网上google到这个原型都是一样的,但是我WINDBG看了下WINDOWS 7的和XP的有很大不同,是不是原型已经变了。因为只知道GOOGLE,所以没辙了,MSDN没用过几次 搜出来的也是和网上一样的。麻烦大大们帮忙
下面是WINDOWS 7的原型,还有这个就这么几行,XP至少几十行啊,那个nt!PsOpenProcess是什么啊?我要SSDT这个NtOpenProcess函数还是和XP一样吗?
nt!NtOpenProcess:
842c4531 8bff mov edi,edi
842c4533 55 push ebp
842c4534 8bec mov ebp,esp
842c4536 51 push ecx
842c4537 51 push ecx
842c4538 64a124010000 mov eax,dword ptr fs:[00000124h]
842c453e 8a803a010000 mov al,byte ptr [eax+13Ah]
842c4544 8b4d14 mov ecx,dword ptr [ebp+14h]
842c4547 8b5510 mov edx,dword ptr [ebp+10h]
842c454a 8845fc mov byte ptr [ebp-4],al
842c454d ff75fc push dword ptr [ebp-4]
842c4550 ff75fc push dword ptr [ebp-4]
842c4553 ff750c push dword ptr [ebp+0Ch]
842c4556 ff7508 push dword ptr [ebp+8]
842c4559 e87276ffff call nt!PsOpenProcess (842bbbd0)
842c455e c9 leave
842c455f c21000 ret 10h
842c4562 90 nop
842c4563 90 nop
842c4564 90 nop
842c4565 90 nop
842c4566 90 nop
nt!NtOpenEvent:
842c4567 6a14 push 14h
[课程]FART 脱壳王!加量不加价!FART作者讲授!