Question

Когда я проводил исследование в исполняемом файле, я обнаружил следующий фрагмент кода:

MOV EAX,11B9  
MOV EDX,7FFE0300  
CALL DWORD PTR DS:[EDX]  
RETN 10

Это используется для запроса системного вызова.До этого момента проблем не было.

Я искал во всем коде системного вызова ОС Windows, но ни один из них не равен 11B9 в инструкции в первой строке «MOV EAX, 11B9».

Может ли кто-нибудь наставить меня, что именно здесь означает?

qwm · Answer 1 · 28 марта 2019

Системные вызовы с номерами 0x1XXX являются вызовами win32k.sys.

Здесь - отличная таблица, созданная и обновленная j00ru, показывающая идентификаторы системных вызовов win32k для различных версий Windows:

Значение отправляется функции системного вызова, не совпадает с действительным кодом системного вызова

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.