分析ntdll.dll文件时,我偶然发现了一些问题。当从UltraEdit中的c:\ windows \ system32文件夹打开ntdll.dll时,在“ PE签名”之后,我看到的是机器类型0x014c和段数0x07。但是,例如,当将此dll复制到c:\时,在UltraEdit中打开它会完全显示其他信息(计算机类型:0x8664和0x09部分)。此外,hexdump更长,其内容看起来也有所不同!复制文件并相应调整PE标头后,似乎添加了2个部分!但这听起来很疯狂!使用“超越比较”报告两个文件的相等性! 可能是什么问题?在尝试使用HxD十六进制编辑器之前,我遇到了相同的问题。 我认为问题出在十六进制编辑器上。
两个显示差异的十六进制转储图像可以在这里找到:https://imgur.com/a/yuw1PMB