为了好玩，我从“驱动程序下载”网站下载了一个安装程序。我不打算安装它，但我有兴趣检查它只是为了看看它的样子。我把它扔进 Ollydbg（没有推进指针），只是浏览了程序集。

有多种不同的调用/跳转/远跳转到各种ntdll.addr.

我知道这ntdll是一个非常低级的库，但我在 windows x86 反汇编方面没有足够的经验来知道什么是“正常”。从表面上看，这也是一个驱动程序安装程序，因此调用ntdll. 这样的跳跃是否被视为正常行为？通常我习惯于看到明确命名函数的调用......而不是ntdll.

额外的细节/背景

该文件没有打包，但有几个地方在[A-Za-z]十六进制视图中出现了完整的可打印 ASCII ，我记得这可能是 base64 编码/解码在某处进行的迹象。也许移位密码。

作为参考，我正在查看的精确二进制文件是here。视窗 7 64 位。（安装程序本身似乎是 32 位的...... Ollydbg 加载得很好，而且 IDA 也是免费的。）

PEBrowse64 还向我展示了Resources->STRING->4085.

在本节中，似乎为Pageup/ Down/ Backspace/ Esc/Enter键预留了字符串，我知道这可能是键盘记录器的迹象……但同样，我是新手，所以我不确定。