В статье http://www.wasm.ru/article.php?article=drvw2k03 есть код Код (Text): invoke ZwQueryValueKey, hKey, $CCOUNTED_UNICODE_STRING("ProcessId", 4), \ KeyValuePartialInformation, addr kvpi, sizeof kvpi, [b]esp[/b] Почему последний параметр esp? Не понятно, куда esp указывает.
Код (Text): push eax invoke ZwQueryValueKey, hKey, $CCOUNTED_UNICODE_STRING("ProcessId", 4), \ KeyValuePartialInformation, addr kvpi, sizeof kvpi, esp pop ecx Esp указывает на вершину стека, инструкция push eax выделяет там слово, а он на него указывает. Последний параметр: Код (Text): OUT PULONG ResultLength Возвратит в эту переменную полученый размер, далее инструкция pop ecx извлекает его в регистр.
