摘要:
按 k 键 [ebp+var+arg_0] - > [ebp+value] 阅读全文
摘要:
[ebp+0] - 保存旧的ebp的值 [ebp+4] - 保存该函数的返回地址 [ebp+8] - 保存第一个参数 在IDA如果涉及到内核函数,可以先查出WRK,然后分别将参数赋值,这样再分析起来就很好看了。 阅读全文
摘要:
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html 用户模拟异常的记录 这部分代码量太大,就先记录了一个基本的处理流程,如果有需要,之后会进行补充。 以 throw 1 之后的处理为例。 阅读全文