Es un relleno para hacer hotpatching. Los compiladores modernos de Microsoft, de acuerdo a la configuracio, emiten un mov edi, edi al principio de cada funcion ademas de 5 nops (o int 3s en algun caso) al final de cada funcion, entonces lo que se hace es reemplazar los dos bytes del mov edi, edi por un salto corto al primero de los 5 nops y ahi se pone un salto al hook. Se usa una instruccion de dos bytes para poder hacer la escritura en la funcion atomicamente y en una sola instruccion.

De nada