- UID
- 2
- 精华
- 76
- 积分
- 7333
- 威望
- 291 点
- 宅币
- 5583 个
- 贡献
- 253 次
- 宅之契约
- 0 份
- 最后登录
- 2024-4-16
- 在线时间
- 947 小时
- QQ
用户组: 真·技术宅
- UID
- 2
- 精华
- 76
- 威望
- 291 点
- 宅币
- 5583 个
- 贡献
- 253 次
- 宅之契约
- 0 份
- 在线时间
- 947 小时
- 注册时间
- 2014-1-25
|
只是一部分,因此不分析了
ULONG
RtlpWalkFrameChain (
OUT PVOID *Callers,
IN ULONG Count,
IN ULONG Flags,
)
ULONG LowLimit;[ebp-20h]
ULONG HightLimit;[ebp-24h]
ULONG* ebp;[ebp-28h]
int i;[ebp-2Ch]
PETHREAD thread;[ebp-30h][ebp-3Ch]
PKTRAP_FRAME frame;[ebp-34h]
PTEB teb;[ebp-38h]
if(!Flags)
{
ebp=EBP
if(!RtlpCaptureStackLimits(&LowLimit,&HighLimit))
return 0;
}
if(Flags == 1)
{
thread=PsGetCurrentThread();
frame=thread->TrapFrame
teb=thread->Teb;
if(!teb || frame < MmSystemRangeStart || frame <= thread.StackLimit || thread->ApcStateIndex == 1)
return 0;
if(KeGetCurrentIrql()?=2)
return 0;
LowLimit = teb->NtTib.StackLimit;
HightLimit = teb->NtTib.StackBase;
ebp=teb->ebp;
if(LowLimit>=HightLimit)
return 0;
if(HightLimit<=MmUserProbeAddress (805599d4))
....
}
for(i=0;i<Count;i++)
{
if(ebp>=HightLimit)
break;
............
ULONG nextebp=[ebp];
Callers[i]=[ebp+4];
ebp=nextebp;
}
|
|
|Archiver|小黑屋|技术宅的结界
( 滇ICP备16008837号 )|网站地图
发表于 2015-7-31 15:22:18
