<div dir="ltr"><br><div>Hi All:</div><div><br></div><div>I am doing some research on how VBox handling system calls for WindowsXP.</div><div><br></div><div>I found a function "PATMPatchSysenterXP" in PATMGuest.cpp. It transformed the 'sysenter' into old "int 0x2e".</div>


<div><br></div><div>And I intercepted all 'int 0x2e' in TRPM. But I found that the system call number, regarded to be stored in EAX was not correct. The numbers were usually greater that 0xFF. I also disassembled the opcode around the 'int 0x2e'. They are not the way how ‘int 0x2e’ system calls were invoked, which made me confused.</div>


<div><br></div><div>lea esp, [esp+0]</div><div>lea edx, [esp+8]</div><div>int 0x2e</div><div>ret</div><div><br></div><div>Could someone give me some clues to move on ?</div><div><br></div><div>Thanks in advance.</div><div>


<br></div><div>Qiang Huang</div></div>