使用代码 lea ecx, [ebp+4+参数长度] 就可以实现。

如下图,理解栈帧的结构,很好理解。

虽然也是 push param的,但这部分在恢复时被调用函数会恢复的,因此这并不算esp的值。

我们在有些函数中,需要_CONTEXT或者_KTRAP_FRAME保存之前的现场,就可以看到这段汇编代码。

[反汇编] 获取上一个栈帧的ebp-LMLPHP

05-08 15:03