有高手能从下面这段反汇编看出是调用的哪个ntdll中的api函数吗-经典问答-看雪-安全社区|安全招聘|kanxue.com

有高手能从下面这段反汇编看出是调用的哪个ntdll中的api函数吗

发表于: 2011-6-19 20:36 3498

有高手能从下面这段反汇编看出是调用的哪个ntdll中的api函数吗

cuidaniu

2011-6-19 20:36

3498

有高手能从下面这段反汇编看出是调用的哪个ntdll中的api函数吗
0040365F .  0F31       RDTSC                      ;
00403661 .  25 0000FF7F AND EAX,7FFF0000
00403666 .  8945 F4    MOV DWORD PTR SS:[EBP-C],EAX
00403669 .  6A 04       PUSH 4
0040366B .  68 00300000 PUSH 3000
00403670 .  8D45 FC    LEA EAX,DWORD PTR SS:[EBP-4]
00403673 .  50          PUSH EAX
00403674 .  6A 00       PUSH 0
00403676 .  8D45 F4    LEA EAX,DWORD PTR SS:[EBP-C]
00403679 .  50          PUSH EAX
0040367A .  6A FF       PUSH -1
0040367C .  FF55 F0    CALL DWORD PTR SS:[EBP-10]
0040367F .  85C0       TEST EAX,EAX
00403681 .  74 1A       JE SHORT Defender.0040369D
好像是一个内存分配函数，究竟是什么api，已知是从ntdll中按hash值搜索到得相应的函数地址保存在[EBP-10]

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・0

免费・0

支持

最新回复 (3)
疯子雪币： 2242 活跃值： (488) 能力值： ( LV9，RANK：200 ) 在线值：发帖 9 回帖 461 粉丝 8 关注私信	疯子 4 2 楼 ZwAllocateVirtualMemory 2011-6-19 21:26 0
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 3 楼楼上能说说是怎么确定是这个API的? 2011-6-19 22:11 0
疯子雪币： 2242 活跃值： (488) 能力值： ( LV9，RANK：200 ) 在线值：发帖 9 回帖 461 粉丝 8 关注私信	疯子 4 4 楼参数阿 123456 2011-6-19 22:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cuidaniu

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
疯子雪币： 2242 活跃值： (488) 能力值： ( LV9，RANK：200 ) 在线值：发帖 9 回帖 461 粉丝 8 关注私信	疯子 4 2 楼 ZwAllocateVirtualMemory 2011-6-19 21:26 0
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 3 楼楼上能说说是怎么确定是这个API的? 2011-6-19 22:11 0
疯子雪币： 2242 活跃值： (488) 能力值： ( LV9，RANK：200 ) 在线值：发帖 9 回帖 461 粉丝 8 关注私信	疯子 4 4 楼参数阿 123456 2011-6-19 22:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复