我似乎总是发现ebp寄存器最终被设置为值ntdll.7C910208。我查看了这个位置到底是什么,发现它是这个声明:
db ff
它只是一个十六进制值为ff的字节的声明。这有什么意义?为什么这个特定的语句总是与EBP寄存器相关联?
答案 0 :(得分:2)
如果虚拟化,在ntdll中给地址是无用的,ASLR会确保这一点。 其次你没有真正给出太多其他信息,例如,这是32位ntdll,WOW64 ntdll以及Windows的构建版本?
何时设置为此值,当您对ntdll或特定呼叫进行任何呼叫时?这就是你应该提供测试用例的原因。
继续提供的有限信息,我假设它是ntdll中全局的结束或开始。
答案 1 :(得分:1)
它可能是kernel32.dll中的许多API之一。 Windows中的许多API调用只是ntdll中函数的包装。
- 我用“x86程序集”标记了帖子,所以应该清楚这是32位Windows NT
x86涵盖Windows,Linux,MAC以及任何具有8086或更高版INTEL芯片的内容。
答案 2 :(得分:0)
我不能肯定地说,但我的猜测是来自ntdll中调用的函数的返回值。这是有道理的,因为0xff是-1并且是一个公共返回值。