0
以下是在64位Windows 8上Kernel32.dll的前幾個字節的轉儲.PE簽名的偏移量是f8存儲在位置3c。在f8(50 45 00 00)處的值似乎表示適當的PE簽名,其應該被機器類型所遵循,在這種情況下對於IMAGE_FILE_MACHINE_I386而言預計爲014C,但我們發現的是64 86.對此的任何想法明顯差異?我知道我可能會錯過許多有關dll出現在磁盤上的方式以及它們在加載到內存中之後的方式的知識。我正在尋找的是我可以依靠的地方。任何信息將不勝感激。Kernel32.dll頭信息
在此先感謝!
0x8664 == IMAGE_FILE_MACHINE_AMD64 ==該文件的64位版本。請看看c:\ windows \ syswow64 \ kernel32.dll。 –