[求助]ntdll.KiFastSystemCallRet有什么作用？-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]ntdll.KiFastSystemCallRet有什么作用？

发表于: 2007-2-1 11:01 13810

[求助]ntdll.KiFastSystemCallRet有什么作用？

流动的情感

2007-2-1 11:01

13810

有这样一段代码
004010BA 60             pushad
004010BB 8D05 D7104000 lea    eax, dword ptr [4010D7]                ; 指向popfd
004010C1 B9 2C000000    mov    ecx, 2C
004010C6 8B15 06114000 mov    edx, dword ptr [401106] ;这里是什么意思　ntdll.KiFastSystemCallRet
004010CC 3110          xor    dword ptr [eax], edx                   ; 好像是解密
004010CE 83C0 04       add    eax, 4
004010D1 83E9 04       sub    ecx, 4
004010D4  ^ 75 F6          jnz    short 004010CC
004010D6 61             popad
004010D7 9D             popfd

好像是动态解密的　每执行一次　xor    dword ptr [eax], edx 就会在popfd地址住动态生成一段汇编代码。
不知道　ntdll.KiFastSystemCallRet有什么作用　希望高手能讲解一下　谢谢

[课程]Linux pwn 探索篇！

收藏・0

免费・0

支持

最新回复 (1)
daylight 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	daylight 2 楼在.code段的内存是只读的，不能写．这程序段的作用可能是故意出错． 2007-2-28 08:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

流动的情感

发帖

回帖

170

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (1)
daylight 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	daylight 2 楼在.code段的内存是只读的，不能写．这程序段的作用可能是故意出错． 2007-2-28 08:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复