[ebp+0] - 保存旧的ebp的值
[ebp+4] - 保存该函数的返回地址
[ebp+8] - 保存第一个参数
在IDA如果涉及到内核函数,可以先查出WRK,然后分别将参数赋值,这样再分析起来就很好看了。