相同PE檔的不同Imphash

Question

在 64 位元系統上，路徑C:\Windows\System32是虛擬化的 – 64 位元進程可以直接存取它，但 32 位元進程會神奇地重新導向到它C:\Windows\SysWow64。

您的「pestudio」工具是 32 位元的，因此它實際上看到的是 32 位元版本的 xcopy.exe，而不是 64 位元版本。

Python 3.9.4 [MSC v.1928 64 bit (AMD64)]

>>> pefile.PE(r"C:\Windows\System32\xcopy.exe").get_imphash()
'1effe65a4f251e4ae9fa8551f9fcdabb'

>>> pefile.PE(r"C:\Windows\SysWow64\xcopy.exe").get_imphash()
'370e0f2a87317776feb42a7b32dd037b'

Answer 1

在 64 位元系統上，路徑C:\Windows\System32是虛擬化的 – 64 位元進程可以直接存取它，但 32 位元進程會神奇地重新導向到它C:\Windows\SysWow64。

您的「pestudio」工具是 32 位元的，因此它實際上看到的是 32 位元版本的 xcopy.exe，而不是 64 位元版本。

Python 3.9.4 [MSC v.1928 64 bit (AMD64)]

>>> pefile.PE(r"C:\Windows\System32\xcopy.exe").get_imphash()
'1effe65a4f251e4ae9fa8551f9fcdabb'

>>> pefile.PE(r"C:\Windows\SysWow64\xcopy.exe").get_imphash()
'370e0f2a87317776feb42a7b32dd037b'

相同PE檔的不同Imphash

答案1

相關內容