-
-
[旧帖]
[求助]奇怪 KiAttachProcess反汇编的代码不一样 有人知道怎么回事吗
0.00雪花
-
发表于:
2012-9-13 09:12
1455
-
[旧帖] [求助]奇怪 KiAttachProcess反汇编的代码不一样 有人知道怎么回事吗
0.00雪花
这是虚拟机里 用windbg查看的
nt!KiAttachProcess:
804f87d8 8bff mov edi,edi
804f87da 55 push ebp
804f87db 8bec mov ebp,esp
804f87dd 53 push ebx
804f87de 8b5d0c mov ebx,dword ptr [ebp+0Ch]
804f87e1 66ff4360 inc word ptr [ebx+60h]
804f87e5 56 push esi
804f87e6 8b7508 mov esi,dword ptr [ebp+8]
804f87e9 57 push edi
804f87ea ff7514 push dword ptr [ebp+14h]
804f87ed 8d7e34 lea edi,[esi+34h]
804f87f0 57 push edi
804f87f1 e81efdffff call nt!KiMoveApcState (804f8514)
这是KD查看的
mov edi, edi
push ebp
mov ebp, esp
push ebx
push esi
mov esi, dword ptr [ebp+8]
push edi
push dword ptr [ebp+14]
mov edi, dword ptr [ebp+C]
inc word ptr [edi+60]
lea ebx, dword ptr [esi+34]
push ebx
call 804F959C
两个系统是一样的XP
是不是 我系统被HOOK了
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!