API执行流程分析-Windows内核与驱动开发-断点社区-专业的老牌游戏安全技术交流社区

大理寺少卿 发表于 2025-3-23 20:27:11

API执行流程分析

我们这节分析一下OpenProcess所用到的dll文件

![](https://raw.githubusercontent.com/Whitebird0/tuchuang/main/QQ%E6%88%AA%E5%9B%BE20211209224522.png)

这里的12是指12/4=3个参数，如果函数存在本模块中是蓝色，存在别的模块中调用是粉色的，所以我们继续分析Kernel32base.dll

![](https://raw.githubusercontent.com/Whitebird0/tuchuang/main/QQ%E6%88%AA%E5%9B%BE20211209230429.png)

这里调用跨模块的NTOpenProcess，参数为4个，返回进程句柄

如果成功就返回进程句柄，不成功就把0环状态码转换成3环状态码返回回去

![](https://raw.githubusercontent.com/Whitebird0/tuchuang/main/QQ%E6%88%AA%E5%9B%BE20211209230622.png)

![](https://raw.githubusercontent.com/Whitebird0/tuchuang/main/QQ%E6%88%AA%E5%9B%BE20211209231554.png)

现在的栈

ret
ret
参数1
参数2
参数3
参数4
我们继续分析一下KiFastSystemCall

![](https://raw.githubusercontent.com/Whitebird0/tuchuang/main/QQ%E6%88%AA%E5%9B%BE20211209231654.png)

页: [1]

断点社区-专业的老牌游戏安全技术交流社区's Archiver

API执行流程分析