9) kernel32!GetCurrentProcess()
u kernel32!GetCurrentProcess kernel32!GetCurrentProcess: 77e7e6b9 83c8ff or eax,0xffffffff 77e7e6bc c3 ret
HANDLE WINAPI GetCurrentProcess ( VOID ) { return( ( HANDLE )-1 ); } / end of GetCurrentProcess /
现在明白什么叫伪句柄了吧,-1被内部解释成当前进程句柄。这个伪句柄只在当前进 程空间中有效,-1出了A进程到了B进程,就被内部解释成B进程句柄了。如果看到这 样的宏定义,不要太奇怪: