主要参考以下两个文章:
1. http://bbs.wuyou.com/forum.php?mod=viewthread&tid=211314
2. http://reboot.pro/files/file/121-lznt1-tools-bootmgrntfs/
简单来说,bootmgr在win7环境下面是压缩了的,采用的算法是LZNT1,可以使用LZNT1 Tools解压缩,其实就是调用的
RtlDecompressBuffer
http://msdn.microsoft.com/en-us/library/ff552191.aspx
win8采用了xpress huffman压缩算法
解压了以后,最好查看一下数字签名是否有效,以确保解压出来的数据是正确的
另外,32位的win7 sp1和64位的win7 sp1的bootmgr是相同的
winload则分别为32位和64位