Ohne jetzt groß darüber nachgedacht zu haben: evtl. genügt es bereits, bei beiden Dateien den
PE-Header "einfach" zu überspringen?
Ein
fc /b
liefert
Code:
00000108: 2F 6F
00000109: 7E 68
00016604: 6E D4
00016605: 80 73
00016624: 6E D4
00016625: 80 73
0001666C: 6E D4
0001666D: 80 73
0001668C: 6E D4
0001668D: 80 73
000166A4: 6E D4
000166A5: 80 73
000166BC: 6E D4
000166BD: 80 73
000166D4: 6E D4
000166D5: 80 73
000166EC: 6E D4
000166ED: 80 73
00016704: 6E D4
00016705: 80 73
0001671C: 6E D4
0001671D: 80 73
00016734: 6E D4
00016735: 80 73
0001674C: 6E D4
0001674D: 80 73
bei einem Exe der Größe $17C00, also scheinbar ein Unterschied am Anfang und einer eher am Ende? Meine Experimente mit tdump haben auch immer Unterschiede bei zwei Time Stamps ergeben.