大理寺少卿 发表于 2025-3-23 20:27:11

API执行流程分析

我们这节分析一下OpenProcess所用到的dll文件

![](https://raw.githubusercontent.com/Whitebird0/tuchuang/main/QQ%E6%88%AA%E5%9B%BE20211209224522.png)

这里的12是指12/4=3个参数,如果函数存在本模块中是蓝色,存在别的模块中调用是粉色的,所以我们继续分析Kernel32base.dll

![](https://raw.githubusercontent.com/Whitebird0/tuchuang/main/QQ%E6%88%AA%E5%9B%BE20211209230429.png)

这里调用跨模块的NTOpenProcess,参数为4个,返回进程句柄

如果成功就返回进程句柄,不成功就把0环状态码转换成3环状态码返回回去

![](https://raw.githubusercontent.com/Whitebird0/tuchuang/main/QQ%E6%88%AA%E5%9B%BE20211209230622.png)

![](https://raw.githubusercontent.com/Whitebird0/tuchuang/main/QQ%E6%88%AA%E5%9B%BE20211209231554.png)

现在的栈

ret
ret
参数1
参数2
参数3
参数4
我们继续分析一下KiFastSystemCall

![](https://raw.githubusercontent.com/Whitebird0/tuchuang/main/QQ%E6%88%AA%E5%9B%BE20211209231654.png)
页: [1]
查看完整版本: API执行流程分析