21,458
社区成员
发帖
与我相关
我的任务
分享关于api函数参数返回的问题。
1000D818 |. 50 push eax ; /pVersionInformation
1000D819 |. C745 FC 01000>mov dword ptr [ebp-4], 1 ; |
1000D820 |. C785 C0FEFFFF>mov dword ptr [ebp-140], 114 ; |
1000D82A |. FF15 98F10110 call dword ptr [<&KERNEL32.GetVersion>; \GetVersionExW
1000D830 |. 83BD D0FEFFFF>cmp dword ptr [ebp-130], 2
1000D837 |. 75 37 jnz short 1000D870
1000D839 |. BE 00040000 mov esi, 400
1000D83E |. 56 push esi
1000D83F |. 8D85 BCEEFFFF lea eax, dword ptr [ebp-1144]
1000D845 |. 50 push eax
1000D846 |. 8D85 C0EEFFFF lea eax, dword ptr [ebp-1140]
1000D84C |. 50 push eax
GetVersionExW后的结果放到哪了呢?
请各位前辈指点。。。谢谢!预祝各位前辈中秋节快乐!
...全文
请发表友善的回复…
发表回复
ioriliao9 2010-09-21
- 打赏
- 举报
[Quote=引用 6 楼 pandazhong 的回复:]
1000D818 |. 50 push eax ; /pVersionInformation
看第一行,地址应该是在eax中,这个要动态跟踪看eax中放的是什么值。
另外,这哦API就一个参数,所以寻找和它最近的push,是push eax,所以结构的地址应该是放在eax中的。
[/Quote]
谢谢前辈!非常之感谢。祝中秋节快乐!
1000D818 |. 50 push eax ; /pVersionInformation
看第一行,地址应该是在eax中,这个要动态跟踪看eax中放的是什么值。
另外,这哦API就一个参数,所以寻找和它最近的push,是push eax,所以结构的地址应该是放在eax中的。
[/Quote]
谢谢前辈!非常之感谢。祝中秋节快乐!
ioriliao9 2010-09-21
- 打赏
- 举报
我更不解的是如何判断出是放在bep-140中的?再前辈再指教,谢谢!
pandazhong 2010-09-21
- 打赏
- 举报
应该是放在bep-140为开始地址的一个名字叫OSVERSIONINFOEX的结构里面。以下信息是从网上搜到的。希望有所帮助。
Windows API 中有两个函数可以得到系统版本信息:GetVersion和GetVersionEx。
GetVersion这个函数曾经困扰了很多程序员,其本来设计的是在DWORD返回值中用低位的那个字表示MS-DOS的版本号,高位的那个字表示Windows版本号。对于每个字来说,高位字节代表主要版本号,低位字节代表次要版本号。可是因为编写此函数的程序员犯了一个错误,使得此函数返回的Windows版本号颠倒了(即把主要版本号放到了低位字节,而次要版本号放到了高位字节)。当发现此错误的时候已经有很多程序员在使用这个函数了,Microsoft只好将错就错,直接把原来的API文档给改了过来。
为了解决GetVersion带来的问题,Microsoft后来开发了一个新的函数GetVersionEx,用它能够得到更详细的Windows系统的版本信息,下面我就写写GetVersionEx的使用方法。
函数原型:
BOOL GetVersionEx(POSVERSIONINFO pVersionInformation);
我们先来看看OSVERSIONINFOEX这个结构:
typedef struct {
DWORD dwOSVersionInfoSize; //在使用GetVersionEx之前要将此初始化为结构的大小
DWORD dwMajorVersion; //系统主版本号
DWORD dwMinorVersion; //系统次版本号
DWORD dwBuildNumber; //系统构建号
DWORD dwPlatformId; //系统支持的平台(详见附1)
TCHAR szCSDVersion[128]; //系统补丁包的名称
WORD wServicePackMajor; //系统补丁包的主版本
WORD wServicePackMinor; //系统补丁包的次版本
WORD wSuiteMask; //标识系统上的程序组(详见附2)
BYTE wProductType; //标识系统类型(详见附3)
BYTE wReserved; //保留,未使用
} OSVERSIONINFOEX, *POSVERSIONINFOEX;
这个结构在Windows 2000后出现,老版本的OSVERSIONINFO结构没有wServicePackMajor、wServicePackMinor、wSuiteMask、wProductType和wReserved这几个成员。
接着在调用函数之前先初始化结构的大小:
OSVERSIONINFOEX os;
os.dwOSVersionInfoSize=sizeof(os);
函数返回值为TRUE表示成功:
if(!GetVersionEx((OSVERSIONINFO *)&os))
{
return FALSE;
}
Windows API 中有两个函数可以得到系统版本信息:GetVersion和GetVersionEx。
GetVersion这个函数曾经困扰了很多程序员,其本来设计的是在DWORD返回值中用低位的那个字表示MS-DOS的版本号,高位的那个字表示Windows版本号。对于每个字来说,高位字节代表主要版本号,低位字节代表次要版本号。可是因为编写此函数的程序员犯了一个错误,使得此函数返回的Windows版本号颠倒了(即把主要版本号放到了低位字节,而次要版本号放到了高位字节)。当发现此错误的时候已经有很多程序员在使用这个函数了,Microsoft只好将错就错,直接把原来的API文档给改了过来。
为了解决GetVersion带来的问题,Microsoft后来开发了一个新的函数GetVersionEx,用它能够得到更详细的Windows系统的版本信息,下面我就写写GetVersionEx的使用方法。
函数原型:
BOOL GetVersionEx(POSVERSIONINFO pVersionInformation);
我们先来看看OSVERSIONINFOEX这个结构:
typedef struct {
DWORD dwOSVersionInfoSize; //在使用GetVersionEx之前要将此初始化为结构的大小
DWORD dwMajorVersion; //系统主版本号
DWORD dwMinorVersion; //系统次版本号
DWORD dwBuildNumber; //系统构建号
DWORD dwPlatformId; //系统支持的平台(详见附1)
TCHAR szCSDVersion[128]; //系统补丁包的名称
WORD wServicePackMajor; //系统补丁包的主版本
WORD wServicePackMinor; //系统补丁包的次版本
WORD wSuiteMask; //标识系统上的程序组(详见附2)
BYTE wProductType; //标识系统类型(详见附3)
BYTE wReserved; //保留,未使用
} OSVERSIONINFOEX, *POSVERSIONINFOEX;
这个结构在Windows 2000后出现,老版本的OSVERSIONINFO结构没有wServicePackMajor、wServicePackMinor、wSuiteMask、wProductType和wReserved这几个成员。
接着在调用函数之前先初始化结构的大小:
OSVERSIONINFOEX os;
os.dwOSVersionInfoSize=sizeof(os);
函数返回值为TRUE表示成功:
if(!GetVersionEx((OSVERSIONINFO *)&os))
{
return FALSE;
}
ioriliao9 2010-09-21
- 打赏
- 举报
[Quote=引用 1 楼 cnzdgs 的回复:]
放在执行这段代码之前eax指向的内存中(从代码来推断,应该就是ebp-140)。
[/Quote]
膜拜!!
能说说原理不?谢谢!
放在执行这段代码之前eax指向的内存中(从代码来推断,应该就是ebp-140)。
[/Quote]
膜拜!!
能说说原理不?谢谢!
jhlong 2010-09-20
- 打赏
- 举报
进来膜拜2楼的
cnzdgs 2010-09-20
- 打赏
- 举报
放在执行这段代码之前eax指向的内存中(从代码来推断,应该就是ebp-140)。
