-
-
[旧帖]
请教ZwDuplicateObject问题
0.00雪花
-
-
[旧帖] 请教ZwDuplicateObject问题
0.00雪花
invoke GetCurrentProcess
mov ebx,eax
mov dx,[edi].HandleValue
invoke ZwDuplicateObject,@hcsrss,dx,ebx,addr @h_dup,0,0,DUPLICATE_SAME_ACCESS(7个参数)
用od调试:
004011D4 |. 6A 02 |push 2
004011D6 |. 6A 00 |push 0
004011D8 |. 6A 00 |push 0
004011DA |. 8D45 F6 |lea eax, dword ptr [ebp-A]
004011DD |. 50 |push eax
004011DE |. 53 |push ebx
004011DF |. 6A 00 |push 0
004011E1 |. 66:52 |push dx
004011E3 |. FF75 F8 |push dword ptr [ebp-8]
004011E6 |. E8 97020000 |call <jmp.&ntdll.ZwDuplicateObject>
红色显示的一行push 0 是多压入了一个参数,而原型是7个参数啊
最后调用返回c0000005(访问违例)
向各位请教这是为什么呢?
[注意]APP应用上架合规检测服务,协助应用顺利上架!
