Сборка: Что такое ntdll.7C910208?

Question

Я всегда нахожу, что регистр ebp заканчивается значением ntdll.7C910208. Я посмотрел, что именно в этом месте и обнаружил, что это был устав:

дБ фф

Это просто объявление байта с шестнадцатеричным значением ff. Каково значение этого? Почему это конкретное утверждение всегда связано с регистром EBP?

Answer 1

Предоставление адресов в ntdll бесполезно, если он был виртуализирован, ASLR позаботится об этом.Во-вторых, вы действительно не дали много другой информации, такой как 32-битная ntdll, WOW64 ntdll и какая сборка windows?

Когда устанавливается это значение, когда вы делаете какой-либо вызов в ntdll, илина конкретный звонок?Вот почему вы должны предоставить контрольный пример.

Если использовать ограниченную информацию, я бы предположил, что это либо конец, либо начало глобала в ntdll.

Answer 2

Это может быть один из многих API, которые находятся в kernel32.dll.Многие вызовы API в Windows являются просто оболочками для функций в ntdll.

1. Я пометил пост "сборкой x86", поэтому должно быть ясно, что это 32-битная Windows NT

x86 Охватывает Windows, Linux, MAC и все, что имеет чип INTEL 8086 или выше.

Answer 3

Не могу сказать наверняка, но думаю, что это возвращаемое значение, полученное из функции, вызываемой в ntdll.Это имело бы смысл, поскольку 0xff равно -1 и является общим возвращаемым значением.