当我研究一个可执行文件时,我到达了下面的代码段:
MOV EAX,11B9
MOV EDX,7FFE0300
CALL DWORD PTR DS:[EDX]
RETN 10
这用于要求系统调用。到这里为止,没有问题。
我在Windows OS的整个系统调用代码中进行了搜索,但是在第一行“ MOV EAX,11B9”的指令中,它们都不等于11B9。
每个人都可以指导我,这在这里到底意味着什么?
答案 0 :(得分:1)
编号为0x1XXX的系统调用是对win32k.sys的调用。
Here是由j00ru创建和更新的出色表,显示了不同版本Windows的win32k syscall ID: