是否运行在x64?逆向前辈作品找方法

最新推荐文章于 2024-08-17 20:47:49 发布
最新推荐文章于 2024-08-17 20:47:49 发布
阅读量851 收藏
点赞数
分类专栏: 深造之旅 文章标签: x64
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dalerkd/article/details/45887119
版权

作为一名程序员,从前辈实际编程中获取经验是十分有效的一种学习途径。那让我们看看前辈们是如何判断当前系统是x64还是x32的.

VirtualKD

为了调试虚拟机内的操作系统,所以需要按照不同系统版本提供相应的驱动.笔者它在2.8.0.1版本使用了GetVersionEx这个函数来判断系统.在它旁边我们发现如图的内容:
Win8不兼容

360安全软件64位安装包:

经过笔者的分析发现奇虎的程序员是通过直接查询注册表的方式来进行判断的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
这里存放着系统的版本信息。

从系统结构体中获取版本信息:
    SYSTEM_INFO sysInfo;
    GetNativeSystemInfo(&sysInfo);

    if (sysInfo.wProcessorArchitecture == PROCESSOR_ARCHITECTURE_AMD64)
    {
        cout<<"64"<<endl;
    }
    else
    {
        cout<<"32"<<endl;
    }
利用WOW64子系统文件系统重定位

WOW64子系统会对%windir%\System32目录的访问进行重定位.
所以一个方案应运而生:

  1. 释放一个可执行文件到System32目录下.
  2. 运行该文件.
  3. 获取该文件路径是否是%windir%\System32.
  4. 是,则运行在32bitOS中,否,则运行在64bitOS中.
  5. 删除文件.
其它的思路

看雪上有一人发帖讨论一个问题:在不启动系统的情况下,如何判断操作系统是32位还是64位?
摘取几个有趣的答案:

ttuiop:
kernel32.dll IsWow64Process

LiXMX:

最简单的就是看看系统安装分区里面是不是有两个 “Program Files” 目录,有的话就是64位系统。。。
瀚海云烟认为:
判断文件夹法(可能被忽悠):
Program Files ,是否存在 Program Files (x86)
X:\windows\system32, 是否存在 X:\windows\SysWOW64
判断PE文件法(这个比较可靠):
判断X:\windows\explorer.exe 是 PE64还是 PE32, 别人不可能故意替换这个文件,否者系统无法启动桌面.

你现在是不是和笔者一样又有一些新思路呢?

dalerkd
关注
专栏目录
x86x64软件逆向分析【提高篇】 1
08-08
X86/X64软件逆向分析【提高篇】课前准备&工具安装与配置(1)课程回顾:《x86/x64软件逆向分析入门》Visual Studio 2019开发套件:ht
x64dbg 64位逆向工具
04-28
x64dbg支持动态代码分析,这意味着在程序运行时可以实时查看其行为。这包括对内存、寄存器和调用堆栈的监控。通过设置断点,用户可以暂停程序执行,检查此时的状态,然后逐步执行以观察每条指令的影响。这种能力对于...
X64|C++逆向之类的内存结构分析
chuopai2034的博客
05-14 369
一 普通类的逆向分析 1.空白类 首先写段测试代码来看一下空白类的对象大小,不要想当然的认为空白类的大小就为0哟,如果真为0的话,那么用该类创建的实例怎么在内存中存储?所以可以肯定size≠0,测试代码如下: class CEmptyClass{ public: ...
keygenme(Linux x64 Windows x64逆向)
Onlyone_1314的博客
02-15 1931
Yet another crackme (or rather keygenme). Executables: Linux x64 Windows x64 It is just to be run with name and serial number as command line arguments. Valid ones are: 2Z7A7-EK270-TMHR4-BHC71-CEB52-HELL0-HELL0-EONP9 2Z7A7-6I7R9-MZGO9-FDQJ3-JN0Q6-HELL0-H
x64汇编语言与逆向工程基础指南(三)
最新发布
qq_74259765的博客
08-17 872
x64dbg部分汇编指令与标志寄存器
X64微信逆向之-实战微信多开
water_1991的专栏
03-15 2787
我们经过查阅相关资料得知微信多开是通过互斥体方式来禁止多开的,事实也证明微信从32位版本到现在的64位版本都没有改变都是用互斥体方式。我们只要理解学会互斥体禁止多开的方式,以及如何破解掉,那么多开这个知识你就能掌握了。比如微信目录为 C:\微信\WeChat\WeChat.exe,首先退出已经登入的微信,接着创建一个记事本文档输入以下数据保存为 微信多开.bat 然后运行即可多开微信。然后按下enter键 然后切换断点画面看下,发现我们在创建互斥体的函数上成功设置了断点。
新手福利——x64逆向基础
任鸟飞2217777779的博客
02-20 4468
此时的寻址方式并不是以rsp为基地址来传递局部变量和参数,那么如果我们想知道一个rbp+xxxx是局部变量还是参数,就需要到头部去进行一个相对复杂的运算,比如图中的rcx来源rbp-59,虽然我们明知他是一个局部变量(因为前面是lea),但是我们也要到头部去算一算,-59-5F= -B8,在头部的地址是rsp-B8,也就是说他是一个局部变量。虽然在x64程序中,我们默认的前4个参数是rcx-r9,但是也有例外,如果我们传递的参数是浮点型的话,那么传入浮点数的参数则会使用xmm0-xmm3来代替。
反汇编逆向神器 x64dbg 2020.05.15 修订版
青梅SEO
05-18 811
x64dbg,逆向反汇编修改神器,免费开源x64/x32位动态调试器,适用Windows的专业程序调试器,软件原生支持中文界面和插件,其界面及操作方法与OllyDbg调试工具类似,支持类似C的表达式解析器、全功能的DLL和EXE文件调试、IDA般的侧边栏与跳跃箭头、动态识别模块和串、快反汇编、可调试的脚本语言自动化等多项实用分析功能。x64dbg调试器主要分为三部分载体:DBG 是调试...
TitanEngine-x64dbg_titanengine_x64dbg逆向程序_TitanEngine.dll_
09-30
TitanEngine-x64dbg用到的汇编工具
X64位游戏软件安全逆向入门
06-17
X64位游戏软件安全逆向入门 ? ? ? ? 随着64位系统的普及,计算机软件、游戏也在朝64位进发面对64位游戏软件的逆向很多人一脸懵逼。? ? ? ? 本部教程立足64位游戏软件的逆向入门,64位逆向工具使用等使新手少走弯路不...
逆向工具x64dbg调试工具
10-09
逆向工具x64dbg调试工具
双机调试利器 VirtualKD
02-26
VirtualKD - Kernel Debugger extension for VMWare and VirtualBox Version 2.6 http://virtualkd.sysprogs.org/
逆向工程实验——lab6(linux、windows64位逆向)
Onlyone_1314的博客
02-02 1250
实验目录1. Yet another crackme (or rather keygenme).(1)简单:通过补丁,打开/关闭所有5个功能。(2)中等:生成任意功能开启/关闭的序列号2. CTF(看雪.京东 2018CTF 第十二题 破解之道)第一步:第二步:第三步:第四步:第五步:第六步:3. 某文件被加密了 1. Yet another crackme (or rather keygenme). Executables: Linux x64 Windows x64 It is just to be
171231 逆向-64位系统
whklhhhh的博客
01-02 846
1625-5 王子昂 总结《2017年12月31日》 【连续第457天总结】 A. x64程序和逆向 B.64位系统CPU32位时代,Intel主导着技术主流(x86),AMD则生成x86的兼容芯片 而到了64位时代,Intel最初发布的芯片IA-64是与HP合作的,它的指令集、寄存器都与x86完全不同。因此无法与x86直接兼容,只能通过模拟器来间接兼容(但速度慢) 后来AMD发布了AMD
VirtualKD+Windbg+vmware 极速调试+Windbg下载符号+windows 7本地内核调试
eldn__的专栏
02-19 3432
================================Windbg下载符号=================================== 打了补丁后经常出现"Your debugger is not using the correct symbols", 使用WINDBG命令下载更新符号文件即可,以下命令不能去掉“.”,打完命令就开始下载了 流量监控可以看到
x86/x64软件逆向分析入门
06-25
本课程从最简单的C程序开始,到较为复杂的函数实现,结合其生成的二进制文件的逆向反汇编,由浅入深循序渐进介绍了基于X86/X64架构的软件逆向分析。可以作为逆向工程师的参考教程,也可以作为对软件逆向分析充满兴趣的朋友们的入门教程。
利用x64_dbg分析一个最简单的64位小程序
热门推荐
hmc1985的专栏
03-16 1万+
最近在研究学习一些逆向的东西,其实之前也涉及到这方面的东西,只是之前的系统和应用,基本上都是32位的,所以直接用od来分析就行了,这方面的资料在网上很多,随便一搜到处都是,不过随着技术的不断发展,64位系统出现了,随之64位的应用也出现了,而od只能分析32位应用,所以一些64位应用,od是没办法分析逆向的,所以,在这里要提到另一个可以用于分析64位应用的调试软件,名字叫x64_dbg。网上对于这
X64位游戏逆向入门之魔兽
注入辅助学院
12-27 5175
第一课:从32位call开始说起 第二课:64位调用约定和call 第三课:64位寄存器传参的优先级 第四课:x64dbg初体验 第五课:初看这游戏的结构 第六课:人物信息篇 第七课:硬钢下人物的名字 第八课:数据结构–数组 第九课:数据结构–二叉树 第十课:数据结构–链表 第十一课:编写有趣的测试工具 第十二课:完善小数据的一般方法 录制中…… ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值