跟踪NtUserGetMessage的疑惑

htron 2005-04-26 03:57:04
系统:Win2k SP4

通过KeServiceDecriptorTableShadow找到了GetMessage的内核函数,也即NtUserGetMessage,这个函数的参数跟用户态的GetMessage是一样的,现在我只关心第一个参数:pMsg.
在函数入口处开始跟,一直到RET,传入的参数都没有变化,但是到最后一条指令:
ret 10h
过去之后,堆栈恢复到调用前的位置,但是传入的参数竟然被改变了!虽然这部分现在已经出了栈,但是一条ret指令,又是怎样修改它的值呢?

唯一能够想象的,就是ret之后,地址空间也变了,但这怎么实现的呢?

请大家指教,谢谢!
...全文
256 回复 打赏 收藏 转发到动态 举报
写回复
用AI写文章
回复
切换为时间正序
请发表友善的回复…
发表回复
reactos操作系统实现(169)
当用USER32.DLL里调用获取消息之后,就调用到WIN32K.SYS里处理的函数NtUserGetMessage,这个函数实现的代码如下: #001 BOOL APIENTRY #002 NtUserGetMessage(PNTUSERGETMESSAGEINFO UnsafeInfo, #003 HWND hWnd, #004...
Win32k(2) 报文驱动的通信机制
一.应用层的api int APIENTRY _tWinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPTSTR lpCmdLine, intnCmdShow) { WNDCLASSEXwcex; wcex.lpfnWndProc
VC学习笔记之——GetMessage函数
BOOL GetMessage( LPMSG lpMsg, // message information HWND hWnd, // handle to window UINT wMsgFilterMin, // first message UINT wMsgFilterMax // last message ); 在GetMessage函...
从内核层说清GetMessage , DispatchMessage
要点回顾: 一个GUI线程有一个消息队列: 普通线程–>GUI线程–>THREAD.W32THREAD -->THREADINFO–>消息队列 一个线程可以有多个窗口,所有窗口共享一个消息队列: _WINDOW_OBJECT ---->PTHREADINFO pti //所属线程 ---->WNDPROC IpfnWndProc //窗口过程(窗口回调函数) 为什么拿到句柄非得要回零环? GetMessage(&msg, NULL, 0, 0) Translate
GetMessage PeekMessage
最近在忙活进程通讯的东西,其中在A进程中有个通讯线程ATHREAD,B进程中有通讯线程Bthread,研究了半天这个THREAD该怎么写,研究结果如下。1、线程中创建一个窗口。这个窗口的消息循环需要在线程中,2、处理线程的消息循环代码如下    while (PeekMessage(message,0,0,0,PM_REMOVE)) do   //这里如果没有消息就继续    begi
云安全

4,450

社区成员

4,381

社区内容

发帖
与我相关
我的任务
社区描述
云计算 云安全相关讨论
社区管理员
  • 云安全社区
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章