我正在尝试反汇编ntdll.dll以查看一些Native API库。我在OllyDBG上尝试(使用loaddll.exe)和使用带有/ disasm选项的dumpbin。
似乎两个程序的输出都非常不同。首先,内存地址不匹配,行数也不匹配。此外,函数调用不一样。
我在这里做错了吗?在这两种情况下我实际看到了什么。我以为我会在两个部分看到相同的代码。
答案 0 :(得分:1)
您正在比较两个不同的东西,一个是程序存储器的.text部分的实时调试(ollydbg)和静态二进制的解集。
.text部分可以在程序运行时更改,因此,您可能会得到不同的结果。
尝试将dumpbin输出与IDA PRO的输出或其他静态反汇编进行比较,可能会相同。