用x64dbg写脚本判断当前程序是32位的还是64位的？

冥界3大法王 · 发表于 2022-3-4 22:37

我看看，大家的解决方案是否相同，英雄所见是否略同？

冥界3大法王 · 发表于 2022-3-5 14:26

only998 发表于 2022-3-5 12:39
cmp ntdll:base,FFFFFFFF
ja X64doit
jmp X86doit

@only998 来看看咱的

[Asm] 纯文本查看 复制代码

//$_EZ_FLAG （32位是1，64位是0)
cmp mem.valid(eip) , 1
je 32_Bit
jne 64_Bit

32_Bit:
msg "32位程序"
ret

64_Bit:
msg "64位程序"
ret

ttkx101 · 发表于 2022-3-4 23:23

可以检测64位系统特有的文件夹C:\Windows\SysWOW64是否存在，存在即为64为系统
两行代码搞定

成熟的美羊羊 · 发表于 2022-3-4 23:46

64位X96Dbg不是只能调试64位的嘛，可以通过检索PE头来判断当前程序位数，

落红护花 · 发表于 2022-3-5 00:15

ttkx101 发表于 2022-3-4 23:23
可以检测64位系统特有的文件夹C:\Windows\SysWOW64是否存在，存在即为64为系统
两行代码搞定

当前程序，不是系统

liyitong · 发表于 2022-3-5 08:22

先用x32去载入，报错就说明不是32位

only998 · 发表于 2022-3-5 08:42

取ntdll.dll的地址，判断一下地址的大小

ytdzjun · 发表于 2022-3-5 08:57

有趣的话题，值得探讨

冥界3大法王 · 发表于 2022-3-5 09:39

only998 发表于 2022-3-5 08:42
取ntdll.dll的地址，判断一下地址的大小

@only998
就你老人家的回答与命题沾边。

xtkj4382 · 发表于 2022-3-5 09:56

提示: 作者被禁止或删除内容自动屏蔽

only998 · 发表于 2022-3-5 12:39

cmp ntdll:base,FFFFFFFF
ja X64doit
jmp X86doit
ret

X64doit:
log "it's x64"
ret

X86doit:
log "it's x86"
ret

简单测试了一下，能用

帐号		自动登录	找回密码
密码			注册[Register]

[讨论] 用x64dbg写脚本判断当前程序是32位的还是64位的？

xtkj4382 xtkj4382 当前离线好友阅读权限 0 听众最后登录 1970-1-1 头像被屏蔽	xtkj4382 发表于 2022-3-5 09:56 提示: 作者被禁止或删除内容自动屏蔽

	回复支持举报