[反汇编] 获取上一个栈帧的ebp
使用代码 lea ecx, [ebp+4+参数长度] 就可以实现。
如下图,理解栈帧的结构,很好理解。
虽然也是 push param的,但这部分在恢复时被调用函数会恢复的,因此这并不算esp的值。
我们在有些函数中,需要_CONTEXT或者_KTRAP_FRAME保存之前的现场,就可以看到这段汇编代码。
使用代码 lea ecx, [ebp+4+参数长度] 就可以实现。
如下图,理解栈帧的结构,很好理解。
虽然也是 push param的,但这部分在恢复时被调用函数会恢复的,因此这并不算esp的值。
我们在有些函数中,需要_CONTEXT或者_KTRAP_FRAME保存之前的现场,就可以看到这段汇编代码。
