言之有理有据即可,何来"乱讲"之说?
有一分光发一分热,好过冷冷清清没人搭理哦.

[[it] 本帖最后由 ONEPROBLEM 于 2008-7-17 14:39 编辑 [/it]]

  楼主觉得俺讲的不靠谱,用了"难道"一词.  俺也确实不太了解内嵌汇编,甚至连WIN32汇编也是刚学,再一看楼主所发过的帖子,只好自认乱说了.
虽说有理有据,但是毕竟心里没底,乱说就乱说了.等以后成大牛了,再来给自己平反

"等以后成大牛了,再来给自己平反"!
呵呵~~~~指日可待了

高人给你指点，(*^__^*) 嘻嘻……，开个玩笑，别骂我啊！

这个东西其实很简单，自己画一下内存图就知道了，首先，ret指令会使EIP转向UnmapViewOfFile，这时UnmapViewOfFile需要一个参数，就是module，至于为什么不是DeleteFile，那是因为栈顶元素是返回地址，而栈顶+4才是第一个参数，这样，UnmapViewOfFile执行完后，直接“返回”到DeleteFile处执行删除自身的操作，而DeleteFile的参数就是buf，以此类推！

又搜索了一下,发现这段代码很有来头的.

利用了堆栈执行的方法.
ret以后,要从堆栈里弹出返回地址,于是UnmapViewOfFile就弹出来了,这个API需要参数,于是就从堆栈里去取,它根据汇编语法,认为栈顶元素是返回地址,参数要+4,所以取到了push module.  执行完以后,又返回到它认为的返回地址,即DeleteFile,这个也需要参数,刚才module已弹出,所以它又认为push ExitProcess 是返回地址,参数要+4,所以取到了push eax,执行完以后,又返回到他认为的返回地址,即ExitProcess,...  所以为什么要PUSH进两个0的原因也清楚了,是为了堆栈平衡.

这段代码很神奇的用堆栈执行了3个操作,很有技巧和水平. 现在才明白.

感谢楼上高手指点.

"当然,UnmapViewOfFile 的参数不一定是Address Of DeleteFile ,而是这样:
"当前栈顶"+08,"当前栈顶"+0C之类的."


UnmapViewOfFile原型如下：
BOOL UnmapViewOfFile(LPCVOID lpBaseAddress);

那Address of DeleteFile() 就应该是UnmapViewOfFile的参数呀？？ 你为什么说"当前栈顶"+08,"当前栈顶"+0C之类的.

LPCVOID Pointer to a constant of any type.

不好意思 用词不当之处还望海涵

咱们共同提高！！

谢谢了 刚才看到你们的回复

谢谢大家的参与！！

“UnmapViewOfFile原型如下：
BOOL UnmapViewOfFile(LPCVOID lpBaseAddress); ”
====================================================
对这个函数我真的一点也不懂的。包括英文，对我而言是天书啊。 全丢给老师啦。
我之所以说，"当前栈顶"+08,"当前栈顶"+0C之类的.你可以参照14#、15#的说法。
其实我是经常反汇编才知道有这回事的。[“当前栈顶”+04]，往往是CALL本函数时压入的返回地址，本函数就从[“当前栈顶”+08]开始获取参数了。
当然，我所说的“当前栈顶”是不准确的！在汇编里，调用函数或子程序时：
push  ebp
mov   ebp,esp
... ...
执行这两条指令后，EBP中的值，我把它当作“当前栈顶”（可能不正确 ）
在运行过程中，程序会保持EBP不变，从而通过[EBP+XX]，或[EBP-XX]之类来得到栈中的数据。
返回的时候：
leave    ;相当于mov esp,ebp   pop ebp
ret
就一切OK了。