跟踪NtUserGetMessage的疑惑-软件逆向-看雪-安全社区|安全招聘|kanxue.com

跟踪NtUserGetMessage的疑惑

发表于: 2005-4-27 10:48 6792

跟踪NtUserGetMessage的疑惑

xxyifan

2005-4-27 10:48

6792

系统:Win2k SP4

通过KeServiceDecriptorTableShadow找到了GetMessage的内核函数,也即NtUserGetMessage,这个函数的参数跟用户态的GetMessage是一样的.
在函数入口处开始跟,一直到leave,传入的参数都没有变化,但是到最后一条指令:
ret 10h
过去之后,堆栈恢复到调用前的位置,但是传入的参数竟然被改变了!虽然这部分现在已经出了栈,但是一条ret指令,又是怎样修改它的值呢?

请大家指教,谢谢!

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

收藏・0

免费・0

支持

最新回复 (1)
xxyifan 雪币： 184 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 26 粉丝 0 关注私信	xxyifan 2 楼补充一下,在Win2k SP4环境,NtUserGetMessage的服务号是119ah,其入口地址是存放在第二个ServiceTable的19a*4的位置,值为0a00034d5. 2005-4-27 11:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

xxyifan

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (1)
xxyifan 雪币： 184 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 26 粉丝 0 关注私信	xxyifan 2 楼补充一下,在Win2k SP4环境,NtUserGetMessage的服务号是119ah,其入口地址是存放在第二个ServiceTable的19a*4的位置,值为0a00034d5. 2005-4-27 11:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复