OllyDBG 和 Dumpbin 不提供相同的反汇编

Posted 2023-04-13

【中文标题】OllyDBG 和 Dumpbin 不提供相同的反汇编

【英文标题】：OllyDBG and Dumpbin do not give same disassembly

【发布时间】：2015-02-27 22:08:53

【问题描述】：

我正在尝试反汇编 ntdll.dll 以查看一些 Native API 库。我在 OllyDBG（通过使用 loaddll.exe）和使用带有 /disasm 选项的 dumpbin 上都进行了尝试。

这两个程序的输出似乎非常不同。首先，内存地址不匹配，行数也不匹配。此外，函数调用也不相同。

我在这里做错了吗？在这两种情况下，我实际上看到了什么。我以为我会看到两个部分都显示相同的代码。

【参考方案1】：

您正在比较两个不同的东西，一个是程序内存的 .text 部分的实时调试 (ollydbg) 和静态二进制文件的反汇编。

.text 部分可以在程序运行时更改，因此您可能会得到不同的结果。

尝试将 dumpbin 输出与 IDA PRO 或其他静态反汇编的输出进行比较，结果可能相同。