2初识内核WOW64进程

已于 2024-04-13 21:05:08 修改
阅读量337 收藏 7
点赞数 4
分类专栏: 内核 文章标签: 系统安全 windows 安全
于 2024-04-13 12:12:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/q873412892/article/details/137711161
版权

64位操作系统下的32位程序

32位系统内核时32位的,64位系统内核时64位的,32位有32位的指令集,64位有64位的指令集,CUP是怎么区分自己执行的是哪个指令集
32位操作系统下进入内核的指令是sysenter,64位系统下64位进程进入内核的指令时syscall,那么64位系统下32位进程该执行什么指令呢?
在这里插入图片描述

观察64位系统下的32位进程ntdll.zwclose ,发现它call了一个地址
跟进去看一下
在这里插入图片描述
F7跟进
在这里插入图片描述

在这里插入图片描述
可以发现现在处于wow64upc模块中

这里需要使用特殊版本的调试器Yzdbg ,F7跟进

在这里插入图片描述
发现一堆乱七八糟的代码
在这里插入图片描述
切换锁定x64模式

在这里插入图片描述

代码变成了jmp qword ptr ds:[r15+0x000000F8] 也就是说此时UPC执行的汇编指令集切换成64位

在这里插入图片描述
这里发现CS被改变了,也就是说 jmp far 0x0033 : 0x77C87009 指令执行后改变了CS 。
前面提到过CS,SS会影响权限 ,也就是说CS可能还影响着CPU执行的指令集是64位还是32位。

接着F7跟进函数
在这里插入图片描述

在这里插入图片描述
到这里看到了syscall ,syscall是64位进入内核的指令,

64位系统下32位进程进入内核流程

应用层执行32位代码-----调用API—进入32位ntdll----跳到中转层wow64Transition,修改CS段寄存器将32位环境切换到64位并且保存32位环境的上下文--------通过调用syscall进入内核。

在32位进程调用系统调用时,它会通过 wow64Transition 函数进入 wow64cpu.dll。 wow64cpu.dll 是 WOW64 子系统的一部分,它负责处理32位进程和64位内核之间的系统调用转换和交互。

系统调用传递给64位内核:

wow64cpu.dll 将转换后的64位系统调用传递给64位内核进行处理。
64位内核处理系统调用:

64位内核处理完系统调用后,将结果返回给 wow64cpu.dll。
结果传递给32位进程:

wow64cpu.dll 将64位内核返回的结果转换为32位格式,并将结果返回给32位进程。
继续执行32位进程:

32位进程收到系统调用的结果后,继续执行,并根据结果进行相应的操作。
通过这个流程,32位进程能够在64位系统上运行,并且能够与64位内核进行交互,从而实现了系统调用的处理。

大貂蝉腰
关注
  • 4
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Win7系统提示找不到wow64cpu.dll文件的解决办法
file
02-17 918
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个wow64cpu.dll文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现wow64cpu.dll丢失要怎么解决?
Windows WOW64 nativeapi 逆向详解,32程序兼容剖析
qq_31314583的博客
11-19 1269
前言 windows有很多核心的原生api,其中包含sdk声明的和文档未声明的。主要由于ntdll.dll和win32u.dll(服务号0x1000-0x1FFF)导出。 WOW64 (Windows-on-Windows 64-bit)是一个Windows操作系统的子系统,用于模拟32位环境,使得32位执行程序在x64系统正常运行。 而64位系统字长变为64位,因此是无法直接执行32位的可执行代码的。因此x64引入了兼容32位执行程序的wow64 子系...
内核遍历r3进程模块,获取信息(32,64,WoW64)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
10-24 5129
没什么技术含量,只是突然用到了,然后写出来,又突然想到看雪了,然后又发上来, 一想到长期潜水,看帖不回就羞愧的不要不要的; //通过进程PID来获取目标模块路径; NTSTATUS GetModulesPathByProcessID (IN HANDLE ProcessId, IN WCHAR* ModuleName, OUT WCHAR* ModulesPath) {     t
Windows x64内核学习笔记(二)—— IA-32e模式
qq_41988448的博客
02-24 2908
Windows x64内核学习笔记(二)—— IA-32e模式IA-32e模式模式检测特性强制平坦段任务切换中断门描述符FS / GS参考资料 IA-32e模式 描述:IA-32e是IA-32模式的扩展,它是一种状态,其内核为64位,用户可以是32位,也可以是64位。 当在64位CPU中安装32位操作系统时,内核和用户都是32位的,这种状态叫做Legacy模式。 模式检测 描述:如果IA32_EFER MSR(下标为0xC0000080)寄存器的值第八位为1,说明当前系统处于IA-32e模式。 特性 强
Windows7系统wow64cpu.dll文件丢失问题
最新发布
amio555的专栏
03-15 767
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个wow64cpu.dll文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现wow64cpu.dll丢失要怎么解决?
初识Scratch教学设计共2页.pdf.zip
11-14
初识Scratch教学设计共2页.pdf.zip
项目1 初识移动物联网任务2 .pdf
01-16
项目1 初识移动物联网任务2 .pdf
初识Linux内核进程通信能这么玩 (1).mp4
09-08
内容包括:C/C++,Linux,Nginx,golang,ZeroMQ,MySQL,Redis,fastdfs,MongoDB,ZK,ffmpeg,流媒体, 音视频,CDN,P2P,K8S,Docker,Golang,TCP/IP,协程,嵌入式,ARM,DPDK等等。。。
操作系统实验报告实验一 WINDOWS进程初识
12-10
操作系统实验报告 实验一 WINDOWS进程初识 实验二 进程管理 实验三 进程同步的经典算法 实验四 存储管理 实验五 文件和设备管理
初识计算机初识计算机初识计算机
10-28
初识计算机初识计算机初识计算机
Windows操作系统——WoW64
一个热爱逆向,喜爱学习、分享的猿。
03-24 2973
简介 64位操作系统的底层都是64位的,而在64位的Windows中是可以运行32位的应用程序。 为此提供支持的就是所谓的WoW64技术,全称即Windows 32-bit(Applications) on Windows 64-bit(OS)。 核心就是,在系统中同时包含32位程序和64位程序的运行环境(依赖的各种dll、注册表里的配置项),32位程序对系统运行环境的引用都被重定向到32位的运行环境。具体包括: system32重定向到SysWOW64 Program Files重定向到Prog
x64跑32位程序
qq_31932681的博客
04-15 218
在x64跑32位程序,API调用。
C++逆向安全教程150全集---2020年木塔老师新教程
mutashizhe的博客
01-10 4662
法律声明:教程不会涉及指定公司的网游测试,不会提供任何游戏的数据或者侵害游戏公司的版本问题。教程目的是数据分析原理和提高安全技术。逆向技术必须按照国家法律来实施。测试的游戏纯属技术研究,禁止非法用途。 **概述:**课程涉及从新手开始,因为C语言和C++历史已经有了几十年,积累大量的概念和庞大知识体系,知识量10年估计都学不完的(很多知识一辈子可能用不上的),这套课程抽取了C和C++常用的核心内容...
Wow64cpu!CpuSimulate的一点点分析
lif12345的专栏
06-29 2259
.text:0000000078B625B0 CpuSimulate proc near ; DATA XREF: .text:off_78B63168o .text:0000000078B625B0 ; .pdata:0000000078B650B4o .text:00000000...
调试wow64进程
xbgprogrammer的专栏
09-29 4629
当使用64位debugger调试wow64进程时,cpu context默认为64位,这是查看wow64进程调用栈时,会发现只有64位调用栈,而没有32位调用栈,例如查看32位notepad进程在64位Windows上的主线程调用栈: fffff880`0382b740 fffff800`03eea992: nt!KiSwapContext+0x7a fffff880`0382b880 ffff
32位程序如何在64位系统上运行_WOW64!Hooks:深入考察WOW64子系统运行机制及其Hooking技术(上)...
weixin_33305027的博客
12-01 961
在本文中,我们将为读者详细介绍WOW64子系统运行机制及其Hooking技术。Microsoft公司一直以其向后兼容性而闻名。几年前,当他们推出Windows的64位版本时,他们需要提供与现有32位应用程序的兼容性。为了实现32位和64位应用程序的无缝衔接,WoW(Windows on Windows)系统便应运而生了;在本文中,我们将其称为“WOW64”,它负责将所有Windows A...
WINDOWS进程初识
10-17
好的,关于WINDOWS进程初识,我可以给你一些简单的介绍。 在WINDOWS操作系统中,进程是指正在运行的程序的实例。每个进程都有自己的内存空间和系统资源,它们之间是相互独立的。操作系统通过进程管理器来管理进程,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值