1

ntdll.dll を逆アセンブルして、いくつかのネイティブ API ライブラリを調べようとしています。OllyDBG (loaddll.exe を使用) と dumpbin を /disasm オプション付きで使用してみました。

両方のプログラムの出力が大きく異なるようです。まず、メモリアドレスが一致せず、行数も一致しません。さらに、関数呼び出しは同じではありません。

ここで何か間違ったことをしていますか?どちらの場合も、実際に何を見ているのでしょうか。両方の部分で同一のコードが表示されると思いました。

4

1 に答える 1

1

2 つの異なるものを比較しています。1 つは、プログラム メモリの .text セクションのライブ デバッグ (ollydbg) と、静的バイナリの分解です。

.text セクションはプログラムの実行中に変更される可能性があるため、異なる結果が得られる場合があります。

dumpbin の出力を IDA PRO または他の静的逆アセンブリからの出力と比較してみてください。おそらく同じでしょう。

于 2015-08-27T18:01:12.227 に答える