-
-
[求助]ntdll.KiFastSystemCallRet有什么作用?
-
发表于:
2007-2-1 11:01
13809
-
[求助]ntdll.KiFastSystemCallRet有什么作用?
有这样一段代码
004010BA 60 pushad
004010BB 8D05 D7104000 lea eax, dword ptr [4010D7] ; 指向popfd
004010C1 B9 2C000000 mov ecx, 2C
004010C6 8B15 06114000 mov edx, dword ptr [401106] ;这里是什么意思 ntdll.KiFastSystemCallRet
004010CC 3110 xor dword ptr [eax], edx ; 好像是解密
004010CE 83C0 04 add eax, 4
004010D1 83E9 04 sub ecx, 4
004010D4 ^ 75 F6 jnz short 004010CC
004010D6 61 popad
004010D7 9D popfd
好像是动态解密的 每执行一次 xor dword ptr [eax], edx 就会在popfd地址住动态生成一段汇编代码。
不知道 ntdll.KiFastSystemCallRet有什么作用 希望高手能讲解一下 谢谢
[课程]Android-CTF解题方法汇总!