-
-
[求助]ShellCode中执行WinExec()的一个小问题
-
发表于:
2010-7-30 11:22
5263
-
[求助]ShellCode中执行WinExec()的一个小问题
在执行shellcode的过程,执行了WinExec()函数。部分代码如下:
CPU Disasm
Address Hex dump Command Comments
……
CPU Disasm
Address Hex dump Command Comments
05FE0200 6A 00 PUSH 0
05FE0202 52 PUSH EDX ;指向exe的路径
05FE0203 FF57 EC CALL DWORD PTR DS:[EDI-14] ;WinExec()函数
05FE0206 83F8 1F CMP EAX,1F
05FE0209 0F86 83000000 JBE 05FE0292
……
函数执行完成以后,exe正确运行。但是我发现edx的值居然改了。
注意: edx——原来指向需要运行的exe的路径
——现在指向ntdll.KiFastSystemCallRe
edx只是作为一个输入的压栈参数啊,为什么执行WinExec后会发生改变呢?
ntdll.KiFastSystemCallRe是什么东西?不大懂呃
希望高手指点。谢谢。
[课程]Android-CTF解题方法汇总!