RtlRaiseException(ntdll.dll)函数逆向
书中内容:
代码逆向:
1. CONTEXT是保存之前的函数(RaiseException)状态
2. 在逆向上一个函数时产生一个疑问:EXCEPTION_RECORD.ExceptionAddress 为什么仅填写了一个偏移?
答案:在该函数中,填写成 [ebp+4],上一个函数的返回地址。
书中内容:
代码逆向:
1. CONTEXT是保存之前的函数(RaiseException)状态
2. 在逆向上一个函数时产生一个疑问:EXCEPTION_RECORD.ExceptionAddress 为什么仅填写了一个偏移?
答案:在该函数中,填写成 [ebp+4],上一个函数的返回地址。
