-
-
[旧帖]
请教ZwDuplicateObject问题
0.00雪花
-
发表于:
2011-3-6 10:46
3621
-
[旧帖] 请教ZwDuplicateObject问题
0.00雪花
invoke GetCurrentProcess
mov ebx,eax
mov dx,[edi].HandleValue
invoke ZwDuplicateObject,@hcsrss,dx,ebx,addr @h_dup,0,0,DUPLICATE_SAME_ACCESS(7个参数)
用od调试:
004011D4 |. 6A 02 |push 2
004011D6 |. 6A 00 |push 0
004011D8 |. 6A 00 |push 0
004011DA |. 8D45 F6 |lea eax, dword ptr [ebp-A]
004011DD |. 50 |push eax
004011DE |. 53 |push ebx
004011DF |. 6A 00 |push 0
004011E1 |. 66:52 |push dx
004011E3 |. FF75 F8 |push dword ptr [ebp-8]
004011E6 |. E8 97020000 |call <jmp.&ntdll.ZwDuplicateObject>
红色显示的一行push 0 是多压入了一个参数,而原型是7个参数啊
最后调用返回c0000005(访问违例)
向各位请教这是为什么呢?
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
