windows - 该值被发送到系统调用函数,与有效的系统调用代码不匹配
问题描述
当我在一个可执行文件中进行调查时,我找到了下面的代码:
MOV EAX,11B9
MOV EDX,7FFE0300
CALL DWORD PTR DS:[EDX]
RETN 10
这用于要求系统调用。到这里为止,没有问题。
我在Windows OS的整个系统调用代码中进行了搜索,但在第一行“MOV EAX,11B9”的指令中,它们都不等于11B9。
大家可以指导我,这到底是什么意思?
解决方案
Syscalls numbered 0x1XXX are calls to win32k.sys.
Here is a great table created and updated by j00ru showing the win32k syscall IDs for different versions of Windows:
推荐阅读
- vb6 - 如何修复 VB6 中损坏的引用
- javascript - Javascript toFixed() 方法中的舍入
- r - 在 R 中改组数据帧,不重复
- optimization - 如何告诉 LLVM 它可以优化离店?
- c++11 - 指向堆栈内存的指针
- python - 从 db 获取文件并使用 python 将其保存到本地文件夹中
- python - Django:本地主机:8000 和 127.0.0.1:8000 之间的区别?
- java - 意外的 HashSet 等于行为
- java - HeidelTime: 语言参数被指定为 NULL
- c# - 来自逻辑应用程序的长时间运行任务 api 调用,以避免在 .Net Core 3.0 中多次重试后超时错误请求响应