x64系统的判断和x64下文件和注册表访问的重定向(1)

最新推荐文章于 2022-07-19 18:45:08 发布
最新推荐文章于 2022-07-19 18:45:08 发布
阅读量3.4k 收藏 3
点赞数
分类专栏: C++ Win32 文章标签: winapi system api dll
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/magictong/article/details/5838863
版权

      判断一个32位应用程序是否运行在x64系统下,可以使用下面的代码:

      函数返回真则是运行在x64下,其实IsWow64Process是一个API,这里之所以从dll中导出来使用是因为32位系统的kernel32.dll里面是没有这个函数导出函数的,直接使用有问题。另外就是我看了几份网上的代码,写得有点小问题,很多是判断IsWow64Process的返回值来决定是否运行在x64下,这是不对的,说明下,IsWow64Process的返回值只说明函数是否成功了,要看是否运行在x64下要看这个API第二个传出参数的值。

      另外就是获得处理器的架构,数量页面大小时,x64下要调用GetNativeSystemInfo,而32位系统是调用GetSystemInfo,有点点小小的区别,要注意一下,详细可以参见一下MSDN,代码在下面,GetNativeSystemInfo要导出来使用的原因同上(主要是防止意外):

 

      可以看看我的系统o(∩_∩)o :

 

      下次再讲讲x64下重定向的问题。

如何查看exedll等二进制文件的生成时间(时间戳)位数(32位/64位)
dvlinker的技术专栏
07-26 378
本文讲述如何使用一些工具去查看exedll等二进制文件的生成时间(时间戳)位数(32位/64位)。
.NET平台处理32位系统64位系统的一点兼容性问题
乐百川
06-06 4204
现在随着硬件的升级换代,越来越多的电脑开始使用64位的系统,但是仍然有很大一部分无法升级的旧电脑还在使用32位的操作系统。如果在64位系统下开发运行32位程序的话,32位系统运行32位程序会有一些区别。注册表问题32位系统64位系统注册表结构并不相同。64位系统下,使用32位程序访问注册表的话,节点会被自动重定向到Wow6432Node节点下。例如想要保存信息到HKEY_LOCAL_MACH
Win32位程序(64位系统文件对话框的文件重定向问题(源代码)
04-18
最近有客户反馈,使用我们提供的安全软件,在一些特殊场景(譬如信任文件),无法找到C:\Windows\System32下面一个指定的文件文件(客户是想加白这个目录下面的一个文件)。收到反馈后,我们试验了下,发现真的有问题,不过初步判断应该就是x64系统上面的文件重定向问题(无法在文件对话框看到真正的c:\windows\system32下的子文件夹或者文件的原因是,被重定向到了c:\windows\syswow64下面,看到的都是这个目录下的文件文件夹)。然而真正去解决的时候发现,bug比想象中难修复。本资源就是用来解决此问题。文章参考:
Windows X64 技术下的重定向机制
mrx102的专栏
02-27 666
无论是Windows XP Professional X64 Edition还是Windows Server 2003 X64 Edition(以下把均统称为X64系统),都引入了一项“新”的技术:文件注册表重定向。       之所以有这个技术,是为了将32位程序64位程序分离开。这种在64位平台上运行32位程序的模拟器被称为WOW64。以下是MSDN对WOW64的定义
x64系统判断x64文件注册表访问重定向(3)
magictong的专栏
09-19 6543
x64文件重定向依然是WOW64具体执行细节的一部分,跟注册表重定向一样同样是为了将32为程序64位程序分开。所谓文件重定向通俗点讲就是你去访问某些文件夹的文件的时候,会被定位到其他文件夹下面的文件去,而且这一切依然对用户透明。主要有以下一些文件夹会被重定向: %Systemroot%/System32 当一个32位程序在默认情况下去访问%Systemroot%/System32时,会被定位到%Systemroot%/Syswow64文件夹下面。
判断是否是64位操作系统
不得闲.闲忆居
11-25 2216
在看一个外国佬的代码的时候,看到一个API函数,然后随手查了查MSDN,原来是新加的用来判断是否是Win64位系统的,于是写了一个函数用来判断是否是64位操作系统:function IsWin64: Boolean;var Kernel32Handle: THandle; IsWow64Process: function(Handle: Windows.THandle; var
用x32/x64dbg脱DLL(IAT表修复重定位表修复)
qq_41866334的博客
05-06 6456
一直搜到的都是看雪论坛上用的lordPEImportREC进行脱壳修复,感觉有点过时了. 记录一下x32/x64dbg的脱壳IAT修复方法. 首先用esp定律等方法找到程序的入口点, 然后使用Scylla插件并填写其中的OEP地址. 然后用IAT Autosearch去找可能的IAT表,dump并fix pe文件即可. ...
Win32位程序(64位系统文件对话框的文件重定向问题
magictong的专栏
04-18 8318
最近有客户反馈,使用我们提供的安全软件,在一些特殊场景(譬如信任文件),无法找到C:\Windows\System32下面一个指定的文件文件(客户是想加白这个目录下面的一个文件)。收到反馈后,我们试验了下,发现真的有问题,不过初步判断应该就是x64系统上面的文件重定向问题(无法在文件对话框看到真正的c:\windows\system32下的子文件夹或者文件的原因是,被重定向到了c:\windows\syswow64下面,看到的都是这个目录下的文件文件夹)。然而真正去解决的时候发现,bug比想象中难修复。
X-Scan v3.1
10-22
“跳过没有响应的主机” - 如果X-Scan运行于NT4.0系统,只能通过ICMP Ping方式对目标主机进行检测,而在WIN2K以上版本的Windows系统下,若具备管理员权限则通过TCP Ping的方式进行存活性检测。 “跳过没有检测到...
X-Scan介绍使用方法
热门推荐
BRAVE MAN的博客
10-15 2万+
1.X-Scan介绍 X-Scan是国内最著名的综合扫描器之一,它完全免费,是不需要安装的绿色软件、界面支持中文英文两种语言、包括图形界面命令行方式。主要由国内著名的民间黑客组织“安全焦点”完成,从2000年的内部测试版X-Scan V0.2到目前的最新版本X-Scan 3.3-cn都凝聚了国内众多黑客的心血。最值得一提的是,X-Scan把扫描报告安全焦点网站相连接,对扫描到的每个漏洞进...
64位系统文件重定向注册表重定向
xiliang_pan的专栏
09-29 1万+
x64文件重定向默认是开启的,文件重定向,需要了解三个API:         Wow64EnableWow64FsRedirection         Wow64DisableWow64FsRedirection         Wow64RevertWow64FsRedirection     不过MSDN说了Wow64EnableWow64FsRedirection不好
写入注册表脚本没错,但指定位置未写入注册表x64
青少儿编程STEAM
10-17 686
使用INNO打包程序,在打包脚本中添加了 [registry] 写入注册表,脚本没问题,但就是在指定位置没成功写入注册表 后反复研究,经群里询问得知是64位系统重定位问题,实际注册表有写入成功,只不过是写到了wowx86x64node下了,   解决: 只需在脚本的 [Setip] 中添加:ArchitecturesInstallIn64BitMode=x64,即可解决...
Windows重定向技术【文件重定向注册表重定向
07-19 3848
Windows重定向技术【文件重定向注册表重定向
windows64位操作系统重定向问题
xuq09的专栏
09-19 1570
64位操作系统运行32程序时,操作系统会启用重定向功能. 系统会把system32文件重定向到Syswow64等等。 WOW64 (Windows-on-Windows 64-bit)是一个Windows操作系统的子系统, 它为现有的 32 位应用程序提供了 32 位的模拟,可以使大多数 32 位应用程序在无需修改的情况下运行在 Windows 64 位版本上。   这人功能是可以关闭的...
windows64位系统上:文件注册表重定向
technologyleader的专栏
05-12 1165
32位程序如何访问64位的注册表(HKLM/Software) Ø在调用函数RegCreateKeyEx创建注册表项时,对其第六个参数REGSAMsamDesired设置中添加参数KEY_WOW64_64KEY,这样可以实现对64位注册表访问; Ø在调用函数RegOpenKeyEx打开注册表项时,要对其第四个参数REGSAMsamDesired设置中添加参数KEY_WOW64_64KEY,这样可以实现对64位注册表访问; 64位程序如何访问32位的注...
关于cmd命令的重定向输出
编程岁月
09-06 6209
关于cmd命令的重定向输出 2>&1 mycommand >mylog.txt 2>&1 应该是最经典的用法了。 命令的结果可以通过“%>”的形式来定向输出,%表示文件描述符:1为标准输出stdout、2为标准错误stderr。系统默认%值是1,也就是“1>”,而1>可以简写
什么是编译器的重定位
jeason29的专栏
05-15 2261
重定位是连接符号引用与符号定义的过程。例如,程序调用函数时,关联的调用指令必须在执行时将控制权转移到正确的目标地址。可重定位文件必须包含说明如何修改其节内容的信息。通过此信息,可执行文件共享目标文件可包含进程的程序映像的正确信息。重定位项即是这些数据。 重定位项可具有以下结构。请参见 sys/elf.h。 typedef struct { Elf32_Addr
:: 禁用自动离线更新地图 echo 【====================================【1/8】】  set "reg_path_x_1=HKEY_LOCAL_MACHINE\SYSTEM\Maps" set "reg_key_x_1=AutoUpdateEnabled" set "reg_value_x_1=999" for /f "tokens=3" %%A in ('reg query "%reg_path_x_1%" /v "%reg_key_x_1%" ^2^>nul') do (set "reg_value_x_1=%%A") if "%reg_value_x_1%" =="0x0" ( echo 【已禁用】【自动离线更新地图】 ) else ( reg add "%reg_path_x_1%" /v "%reg_key_x_1%" /t REG_DWORD /d 0 /f >nul 2>&1 if %errorlevel% equ 0 ( echo 【成功】【禁用自动离线更新地图】 ) else ( echo 【失败】【禁用自动离线更新地图】【错误代码:%errorlevel%】 ) )请优化一下这个代码
最新发布
03-19
<think>嗯,用户想要优化一个批处理脚本,用来禁用Windows地图的自动离线更新。他们提到了注册表路径HKEY_LOCAL_MACHINE\SYSTEM\Maps键值AutoUpdateEnabled。首先,我需要回忆一下批处理脚本中处理注册表的常用方法,通常是用reg add或reg delete命令。但用户可能需要更健壮可靠的脚本,可能需要考虑管理员权限、错误处理、兼容性等问题。 首先,检查当前脚本是否存在问题。比如,是否以管理员身份运行?如果没有,普通用户可能没有权限修改HKEY_LOCAL_MACHINE下的键值。所以优化点之一应该是添加权限检查,或者在运行时请求提升权限。可以使用批处理中的%~dp0fsutil来检测管理员权限,或者使用VBScript来触发UAC提示。 其次,注册表操作是否具有回滚或错误处理机制?比如,如果修改注册表失败,脚本是否给出提示?可能需要加入错误判断,使用if errorlevel来检测命令执行结果,并在失败时输出错误信息。 另外,用户可能希望脚本兼容不同的Windows版本,比如32位64位系统注册表路径是否有重定向问题?HKEY_LOCAL_MACHINE\SYSTEM\Maps应该是在64位系统下的正确路径,但可能需要确认是否需要访问Wow6432Node节点。不过通常SYSTEM下的路径不会被重定向,所以可能不需要特别处理。 还有,是否需要备份原有的注册表键值,以便在需要时恢复?优化后的脚本可以添加备份步骤,使用reg export命令将原有设置导出到文件,这样用户以后可以方便地恢复。 再者,批处理脚本执行后是否提供反馈?比如,显示操作结果,成功或失败的信息,这样用户能明确知道是否执行成功。可以添加echo语句输出状态。 此外,用户可能希望脚本在运行时更加友好,比如隐藏命令的输出,使用@echo off,或者使用颜色提示。还可以考虑添加日志功能,将操作记录到文件中,方便后续排查问题。 还有一个方面是,是否需要在组策略中修改相关设置?根据引用[1],可以通过组策略配置自动播放的默认行为,但这里的问题是关于地图更新的,可能组策略无关。不过可能需要检查是否有其他相关的策略设置影响地图更新,如果有,可能需要同时调整组策略注册表。 另外,引用[3]提到了错误日志的处理,虽然当前问题不直接相关,但可以借鉴错误处理的思路,比如在脚本中添加错误日志记录,当操作失败时将信息写入日志文件。 综合这些考虑,优化后的脚本应该包括以下改进点: 1. 自动检测管理员权限,并在需要时请求提升。 2. 添加错误处理,检查每个注册表操作是否成功,并给出提示。 3. 备份原有注册表键值。 4. 提供清晰的执行结果反馈。 5. 兼容不同系统环境,如64位系统。 6. 日志记录功能,方便追踪问题。 现在需要将这些点转化为具体的批处理命令。例如,检测管理员权限可以通过检查是否存在管理员文件或特定环境变量,或者尝试在系统目录创建临时文件,如果失败则请求提升。另外,使用reg add命令时,可以添加/f参数强制覆盖,避免提示确认。同时,使用reg query先检查键是否存在,避免错误。 此外,用户提到的注册表路径是HKEY_LOCAL_MACHINE,这需要管理员权限才能修改,所以必须确保脚本以管理员身份运行。可以使用以下代码段来检测并请求提升: ``` @echo off :: 检查管理员权限 NET FILE >NUL 2>&1 IF %ERRORLEVEL% NEQ 0 ( echo 请求管理员权限... powershell -Command "Start-Process cmd -ArgumentList '/c %~s0' -Verb RunAs" exit /b ) ``` 然后进行注册表操作,添加错误检查: ``` reg add "HKEY_LOCAL_MACHINE\SYSTEM\Maps" /v AutoUpdateEnabled /t REG_DWORD /d 0 /f if %errorlevel% neq 0 ( echo 错误:无法修改注册表项 exit /b 1 ) ``` 备份原有设置: ``` reg export "HKEY_LOCAL_MACHINE\SYSTEM\Maps" "%TEMP%\Maps_Backup.reg" ``` 最后,输出成功信息,并提示如何恢复。 可能还需要考虑注册表项是否存在,如果不存在,是否需要创建。使用reg add会自动创建路径,所以可能不需要额外处理。 综上,优化后的脚本应该包含权限检查、错误处理、备份、反馈,这些方面。同时,根据引用[2],用户级的注册表路径可能不同,但这里的问题是关于系统级的设置,所以HKEY_LOCAL_MACHINE是正确的路径。不过需要确认是否需要修改用户级或系统级的设置,但用户已经指定了路径,所以应该按照给定的路径处理。</think>以下为优化后的批处理脚本及分步说明: ```batch @echo off :: 自动请求管理员权限 >nul 2>&1 "%SYSTEMROOT%\system32\cacls.exe" "%SYSTEMROOT%\system32\config\system" if %errorlevel% neq 0 ( echo 正在请求管理员权限... powershell -Command "Start-Process '%~s0' -Verb RunAs" exit /b ) :: 备份原注册表项 reg export "HKEY_LOCAL_MACHINE\SYSTEM\Maps" "%userprofile%\Desktop\Maps_Backup.reg" >nul 2>&1 :: 设置注册表键值 reg add "HKEY_LOCAL_MACHINE\SYSTEM\Maps" /v AutoUpdateEnabled /t REG_DWORD /d 0 /f >nul 2>&1 :: 验证执行结果 if %errorlevel% equ 0 ( echo [成功] 已禁用离线地图自动更新 echo 备份文件保存至桌面:Maps_Backup.reg ) else ( echo [失败] 请检查权限注册表路径 ) ``` ### 优化说明 1. **权限自动提升** 通过`cacls.exe`验证系统文件访问权限,触发UAC弹窗获取管理员权限[^2]。这是修改`HKEY_LOCAL_MACHINE`的必要条件。 2. **注册表备份机制** 使用`reg export`将目标注册表项导出到用户桌面,提供操作回滚能力[^3]。 3. **静默执行模式** 添加`>nul 2>&1`指令隐藏命令输出,`/f`参数强制覆盖无需确认。 4. **结果反馈机制** 通过错误代码判断执行状态,提供明确的成功/失败提示。 ### 扩展建议 - 可添加组策略配置双重保障(引用[1]): ```batch reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Maps" /v AutoDownloadAndUpdateMapData /t REG_DWORD /d 0 /f ``` - 可集成计划任务删除功能,阻止更新服务: ```batch schtasks /Change /TN "\Microsoft\Windows\Maps\AutomaticDownload" /DISABLE ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值