-
-
[旧帖]
[原创]x64位操作系统 诡异的system32
0.00雪花
-
发表于:
2014-1-25 05:30
2025
-
[旧帖] [原创]x64位操作系统 诡异的system32
0.00雪花
事情是这样的,我在Windows 7 system32目录下找到某个文件
查了下他的pe信息,结果是正常的,于是乎我就把这个文件复制出来
然后再查信息,卧槽居然变成了不是PE文件,载入c32asm之后发现这确实是PE文件
而且区段有6个,但是先前检查的时候是4个。很诡异是吧,其实写过x64软件的人很容易就搞明白了,
根本原因是因为在x64位操作系统中 system32文件夹下的 才是真正的x64位系统文件
而sysWOw64文件夹下的 才是32位的系统文件,peid并不支持64位文件查壳
涉及到pe结构大小的问题,略过不说坛子上很多资料,
因为你复制出来 peid不支持x64文件所以提示不是有效的PE文件
但是如果这个x64文件在system32目录下 然后使用peid查壳 他就自动转向到了
sysWow64这个文件夹下的PE文件,而system32目录下的那个文件 正好就是4个区段
自己又做测试查看了PE文件的信息 才确定是这样。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
