我正在尝试使用IDA反汇编64位ntdll.dll。据我所知,此DLL位于Windows 64位操作系统上的C:WindowsSystem32中。当我反汇编这个DLL时,它会显示32位地址和32位指令集。但是,在调试器中,当我将此库从同一目录加载到进程中时,它在运行时会有一个64位指令集。
如何拆卸64位ntdll?
请检查IDA是否是任务管理器中的32位应用程序(在Processes页面上,32位进程应具有后缀(32 bit)。如果在"任务管理器"中切换到Details页面,请右键单击列标题并从上下文菜单中选择Select columns。选择Platform以显示进程的位数并关闭对话框。32位进程在Platform列中列为32 bit。
如果IDA是32位应用程序,请使用路径c:windowssysnativentdll.dll打开DLL。如果指定sysnative而不是System32,Windows将使用SYSTEM32目录而不是32位应用程序的SysWOW64。