X64 Разборщики IDA и WINDBG. IDA не показывает x64 opcodes

Question

Так что я только начал изучать WINDBG, обновляясь от ollydbg до 64 бит. и во время изучения чего-то странного: на WINDBG я вижу все регистры RXX и коды операций, а на IDA я все еще вижу коды операций EXX при отладке одного и того же EXE (например, notepad.exe). Кто-нибудь может понять, почему это так? Пример:

Windbg:

0:000> u notepad!_security_init_cookie L5 

notepad!_security_init_cookie:  
00000000`ffaf3380 48895c2418  mov qword ptr [rsp+18h],rbx  
00000000`ffaf3385 57    push rdi  
00000000`ffaf3386 4883ec20  sub rsp,20h  
00000000`ffaf338a 488b05e7cc0000 mov rax,qword ptr [notepad!_security_cookie (00000000ffb00078)]  
00000000`ffaf3391 488364243000 and qword ptr [rsp+30h],0 

МАР:

___security_init_cookie proc near ; CODE XREF: _WinMainCRTStartupp  
.text:01003053 8B FF   mov edi, edi  
.text:01003055 55    push ebp  
.text:01003056 8B EC   mov ebp, esp  
.text:01003058 83 EC 10   sub esp, 10h  
.text:0100305B A1 10 C0 00 01 mov eax, ___security_cookie 

или картинка: слева находится Windbg на правой справа его IDA

Answer 1

Вы разобрали 32-битный блокнот в IDA.

Вы открыли notepad.exe из системы32? В этом случае IDA получил 32-битную версию (так как это 32-разрядный исполняемый файл и поэтому подлежит WoW64 filesystem redirection).

Самый простой способ «исправить» это скопировать файл из каталога system32 в другое место и открыть его оттуда.

Answer 2

Есть две версии IDA, включенного в вашу установку. убедитесь, что вы используете 64-битную версию IDA (например, idaq64.exe).

Если файл PE, разобранный, является 64-битным, а используемая версия IDA предназначена для 64-разрядной разборки, то вы действительно увидите правильные регистры. Если нет, то, скорее всего, одно из этих условий неверно.