проблема с NtOpenFile

После установки хук-процедуры на NtOpenFile при открытии любого файла вылазиет MessageBox в котором написанно что параметр задан неверно... как решить эту проблему?

Собсна хук процедура в которой просто происходит вызов оригинальной функции:

Код (Text):

1. NtOpenFileHook:
2.       PUSHFD
3.       PUSHA
4.      
5.       LEA     EDI, [ESP+SIZEOF PUSHA_STRUCT+4+4] ; EDI -> argument list
6.      
7.       PUSH    [EDI + 014h]
8.       PUSH    [EDI + 010h]        
9.       PUSH    [EDI + 00Ch]
10.       PUSH    [EDI + 008h]
11.       PUSH    [EDI + 004h]
12.       PUSH    [EDI + 000h]
13.        
14.       PUSH  @F
15.       JMP [pOld_NtOpenFile]
16. @@:
17.            
18.       POPA
19.       POPFD
20.    
21.       RET     4 * 6

 

Зачем же так всё замудрено со стэком? Передаваемые в функцию параметры теряются...

 

В отладчике прогони.

 

почему замудрено? наоборот удобно... edi сразу указывает на параметры, че хошь с ними и делай... и никуда они не теряются... я думаю eax не стоит затирать popa'ом...

 

n0name, придётся ))

 

наверно не стоит.
сохраняй edi и все. флаги и остальные регистры не обязательно.

 

Andrew_Kuz
Лучше использовать фрейм стека в своем коде! Вот его суть:

Код (Text):

1. ;начало процедуры:
2. PUSH    EBP         ;стандартный пролог
3. MOV     EBP,ESP
4.  
5. ;теперь делай что хочешь, кроме изменения EBP!!!
6. ;а первый параметр - [EBP+8], второй - [EBP+12] и т.д.
7. ....
8. ....
9.  
10. MOV     ESP,EBP
11. POP      EBP
12. RET      XX       ;(или JMP OldHandler)

 

Всех программистов с Днем Защитника Отечества!
Удачи, успеха и благополучия!!!