Windows 64位Ntdll是否有x86指令集？

我正在尝试使用IDA反汇编64位

ntdll.dll

。据我所知，此DLL位于Windows 64位操作系统的

C:\Windows\System32

中。当我反汇编这个DLL时，它显示32位地址和32位指令集。但是，在调试器中，当我从同一目录将此库加载到进程中时，它在运行时设置了64位指令

---

如何反汇编64位

ntdll

？

请检查IDA是否是任务管理器中的32位应用程序（在

进程

页上，32位进程应具有后缀

（32位）

。如果切换到任务管理器中的

详细信息

页面，请右键单击列标题并从关联菜单中选择

选择列

。选择

平台

以显示进程的位并关闭对话框。32位进程在

平台

colu中列为

32位

嗯

---

如果IDA是32位应用程序，请使用路径

c:\windows\sysnative\ntdll.dll

打开dll。如果指定

sysnative

而不是

System32

，windows将使用

System32

目录而不是

SysWOW64

来打开32位应用程序。

可能会显示更多详细信息；您正在谈论的是哪个32位值大约？@tenfour反汇编程序中的指令集是32位的，因此寄存器类似于eax而不是rax。您可以使用：

dumpbin/headers“c:\windows\system32\ntdll.dll”

检查

ntdll

是否为

64位

或

32位

。例如，它将为您提供

8664机器（x64）

在Windows 64位操作系统上。@rit：这并不能帮助您理解在使用其他工具（如IDA Pro）时使用的是哪个二进制文件。