利用反汇编引擎Disasm，想把PE文件代码段的代码反汇编出来，对汇编指令做一些处理。
以notepad.exe为例，通过PE头找到虚拟地址0x001000和代码段虚拟大小0x7800，从内存中读出代码反汇编得到：
out dx,eax 实际操作码为：EF
outsd         实际操作码为：6F
。。。。。。。
而用OD看：
EF6FDA77      dd      ADVAPI32.RegQueryValueExW
好像代码段开始并不是指令。这是怎么回事呢？

另：我用的OD的反汇编引擎Disasm好像功能太简单了，忘记是从哪位大牛的博客上下的，编译成的lib文件，添加进工程就可以用。看雪上下的代码级复用用于版本问题太多。
下面是lib文件的Disasm.h的内容：
typedef struct{
       
        // Define Decoded instruction struct

    char Assembly[256]; // Menemonics
    char Remarks[256];  // Menemonic addons
    char Opcode[30];    // Opcode Byte forms
    DWORD Address;      // Current address of decoded instruction
    BYTE  OpcodeSize;   // Opcode Size
        BYTE  PrefixSize;   // Size of all prefixes used

} DISASSEMBLY;

void Decode(DISASSEMBLY *Disasm,char *Opcode,DWORD *Index);

只有一个函数，而且DISASSEMBLY结构过于简单了，下一步对指令进行处理好像很麻烦。请各位提点意见，谢谢啦！

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！