各位老师好。

我最近在分析一个windows系统挂起的问题。 出现率极低，在出现时键盘没有响应，系统的网络动作，文件记录完全停止。不能通过键盘抓取到操作系统dump。

通过反汇编，找到了ntfs.sys。 在HviFillMemory函数内部，有一段指令： cli

……

and     [rsp+38h+arg18], 0 xor     r8d, r8d mov     al, cs:byte1C00ACEA0 mov     dword ptr [rsp+38h+arg_18], 6

看上去，访问arg_18，有可能会引起系统崩溃，或是系统挂起。问题代码在cli指令之后，看上去结果应该是挂起操作系统。 这段代码在windows 1809版本出现。在21h2版本也有类似的代码。

如果老师们有几分钟时间，可以看下这段代码是否存在问题。 还是我对指令理解有误。