用x64dbg写脚本判断当前程序是32位的还是64位的?
我看看,大家的解决方案是否相同,英雄所见是否略同?{:301_971:} only998 发表于 2022-3-5 12:39cmp ntdll:base,FFFFFFFF
ja X64doit
jmp X86doit
@only998 来看看咱的
//$_EZ_FLAG (32位是1,64位是0)
cmp mem.valid(eip) , 1
je 32_Bit
jne 64_Bit
32_Bit:
msg "32位程序"
ret
64_Bit:
msg "64位程序"
ret
可以检测64位系统特有的文件夹C:\Windows\SysWOW64是否存在,存在即为64为系统
两行代码搞定 64位X96Dbg不是只能调试64位的嘛 , 可以通过检索PE头来判断当前程序位数 , ttkx101 发表于 2022-3-4 23:23
可以检测64位系统特有的文件夹C:\Windows\SysWOW64是否存在,存在即为64为系统
两行代码搞定
当前程序,不是系统 先用x32去载入,报错就说明不是32位 取ntdll.dll的地址,判断一下地址的大小 有趣的话题,值得探讨 only998 发表于 2022-3-5 08:42
取ntdll.dll的地址,判断一下地址的大小
@only998
就你老人家的回答与命题沾边。{:301_975:} cmp ntdll:base,FFFFFFFF
ja X64doit
jmp X86doit
ret
X64doit:
log "it's x64"
ret
X86doit:
log "it's x86"
ret
简单测试了一下,能用
页:
[1]
2