注册
登录
Windows
在调用ExitProcess时应该如何准备堆栈?
返回
在调用ExitProcess时应该如何准备堆栈?
作者:
电动少女
发布时间:
2024-01-10 10:05:43 (3月前)
转自:
<div class =“excerpt”> 我正在尝试学习如何在程序集中调用操作系统函数,并得到了一个示例,它将创建然后关闭一个文件(在关闭时删除它的文件)。在研究...... </DIV>
收藏
举报
2 条回复
0#
回复此人
红蜻蜓
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 该 <a href="https://docs.microsoft.com/en-us/windows/desktop/api/processthreadsapi/nf-processthreadsapi-exitprocess" rel="nofollow noreferrer"> <code> ExitProcess </code> </A> 通常的函数(windows api),必须使用x64的公共调用约定进行调用。特别是堆栈必须 <a href="https://docs.microsoft.com/en-us/cpp/build/stack-usage?view=vs-2017" rel="nofollow noreferrer"> <EM> 保持16字节对齐 </EM> </A> 所以打电话 <code> ExitProcess </code> 像任何其他api一样。该 <code> add rsp, 48h </code> 以前的指导 <code> call ExitProcess </code> 是错的 </p> <P> 还有一些一般性说明: 导入的api总是称为间接 - 如果你想要通话 <code> SomeApi </code> - 声明变量(x64的代码) </p> <pre> <code> extern __imp_SomeApi : QWORD </code> </pre> <P> 并打电话 </p> <pre> <code> call __imp_SomeApi </code> </pre> <P> 如果我们宣布 </p> <pre> <code> extern SomeApi : proc </code> </pre> <P> 并做 </p> <pre> <code> call SomeApi </code> </pre> <P> 链接器创建存根 </p> <pre> <code> SomeApi: jmp qword ptr __imp_SomeApi </code> </pre> <P> 所以更好的直接使用 <code> __imp_SomeApi </code> 形成。 </p> <P> 也总是好多用 <EM> w ^ </EM> 代替 <EM> 一个 </EM> api形式。所以所有代码都可以看起来像 </p> <pre> <code> FILE_FLAG_DELETE_ON_CLOSE = 04000000h CREATE_ALWAYS = 2 FILE_SHARE_READ = 1 GENERIC_READ = 080000000h INVALID_HANDLE_VALUE = -1 extern __imp_ExitProcess : QWORD extern __imp_CreateFileW : QWORD extern __imp_CloseHandle : QWORD WSTRING macro text FORC arg, text DW '&arg' ENDM DW 0 endm .const ALIGN 2 filePath: WSTRING <C:\Temp\test123.txt> .code Main proc sub rsp, 48h mov qword ptr [rsp + 30h], 0 mov qword ptr [rsp + 28h], FILE_FLAG_DELETE_ON_CLOSE mov qword ptr [rsp + 20h], CREATE_ALWAYS xor r9, r9 mov r8, FILE_SHARE_READ mov rdx, GENERIC_READ lea rcx, filePath call __imp_CreateFileW cmp rax, INVALID_HANDLE_VALUE je @@0 mov rcx, rax call __imp_CloseHandle @@0: xor ecx, ecx call __imp_ExitProcess add rsp, 48h ret Main endp end </code> </pre> </DIV>
编辑
登录
后才能参与评论
