有这么一段反汇编代码:
根据参数识别信息,这里是进程句柄。
但是其使用 lea传入参数,ObReferenceObjectByHandle 是根据句柄来获取内核对象。
因此,当执行完成之后,该地址已经不再是进程句柄,而是转换成内核对象了。
在之后的代码分析过程中一定要注意这一点。
相关文章:
相似解决方案
热门标签
有这么一段反汇编代码:
根据参数识别信息,这里是进程句柄。
但是其使用 lea传入参数,ObReferenceObjectByHandle 是根据句柄来获取内核对象。
因此,当执行完成之后,该地址已经不再是进程句柄,而是转换成内核对象了。
在之后的代码分析过程中一定要注意这一点。
相关文章: