[反汇编]栈帧中函数的参数传入位置

[ebp+0] - 保存旧的ebp的值

[ebp+4] -  保存该函数的返回地址

[ebp+8] - 保存第一个参数

在IDA如果涉及到内核函数，可以先查出WRK，然后分别将参数赋值，这样再分析起来就很好看了。