我正在尝试使用IDA拆卸64位ntdll.dll。据我了解,此DLL位于Windows 64位OS上的C:\Windows\System32中。当我反汇编此DLL时,它显示32位地址和32位指令集。但是,在调试器中,当我将该库从同一目录加载到进程中时,它在运行时设置了64位指令集。
如何拆卸64位ntdll?
答案 0 :(得分:1)
请检查IDA是否是任务管理器中的32位应用程序(在Processes页上,32位进程应带有后缀(32 bit)。如果您切换到Task中的Details页管理器在列标题上单击鼠标右键,然后从上下文菜单中选择Select columns。选择Platform以显示进程的位并关闭对话框。32位进程列为{{1 }}在32 bit列中。
如果IDA是32位应用程序,请使用路径Platform打开DLL。如果您指定c:\windows\sysnative\ntdll.dll而不是sysnative,则对于32位应用程序,Windows使用System32目录而不是SYSTEM32。