x64跑32位程序

最新推荐文章于 2024-04-13 12:12:59 发布
最新推荐文章于 2024-04-13 12:12:59 发布
阅读量239 收藏
点赞数 1
分类专栏: API调用 文章标签: windows 32bits x64
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31932681/article/details/115733197
版权
本文探讨了在x64系统中运行32位程序时,API调用的正常流程与恶意程序的差异。正常情况下,32位NtAllocateVirtualMemory会通过Wow64transition转换到64位版本,然后进行SYSCALL。而恶意程序则直接跳转至64位NtAllocateVirtualMemory执行SYSCALL,绕过了安全检查。此行为涉及处理器模式切换、参数处理和系统调用机制。
摘要由CSDN通过智能技术生成


在x64跑32位程序,API调用。
正常的程序
32-bit NtAllocateVirtualMemory->Wow64 transition->64-bit NtAllocateVirtualMemory->SYSCALL
恶意的程序
直接调用Jmp 0x33->64-bit NtAllocateVirtualMemory->SYSCALL

x23 = x86 mode
0x33 = x64 mode

处理器一般在x86上
将变量从32位扩展到64位,从堆栈获取参数到寄存器,将所有内容放到合适的地址空间并找到正确的系统调用。

qaxd
关注
专栏目录
Yocto系列讲解[技巧篇]92 - armv8 aarch64兼容armv7 32位程序运行环境
fulinux的博客
07-13 1101
Yocto系列讲解[技巧篇]92 - armv8 aarch64兼容armv7 32位程序运行环境
64位系统下用32位程序
三少GG
03-26 3908
在64位系统下,用64位的程序自然是能够充分利用cpu中的64位指令和64位的地址空间,可有的时候,我们却不得不在64位系统下使用32位程序。 64位和32位 对于64位还是32位,首先要从概念上把其理清,我觉得这可以分为三个层次: 硬件      主要是指CPU的指令集,寄存器,以及地址空间。比如x64体系结构的CPU,就是在32位的基础上添加了64位的操作指令,寄存器,同时提供
在64位操作系统上运行32位程序
热门推荐
AMinfo的专栏
11-30 3万+
运行 32程序 WOW64 子系统使 32程序能够在基于 x64 版本的 Windows Server 2003 和 Windows XP 专业 x64 版的运行而不用修改。WOW64 子系统是通过在基于 x64 版本的 Windows Server 2003 和 Windows XP 专业 x64 版的创建 32 位环境。WOW64 子系统有关的详细信息,请参阅 Microsoft
如何Windows 64bit里面运行32bit的脚本
不積跬步 無以至千里
03-15 1397
在使用VBA call Jmail发邮件时发现在32bit系统没有问题的脚本,在64bit不能使用, Jmail免费版又没有64bit的,这时就有了如标题描述的问题. 如果你的脚本要依赖于32bit的COM 对象, 那么在转移到64bit时会发现对象无法创建. 这样我们需要在64bit里面 用可以解释32bit的脚本的解释器. 如果是.net application, 那么在编译时选择使用32
2初识内核WOW64进程
最新发布
q873412892的博客
04-13 464
32位系统内核时32位的,64位系统内核时64位的,32位32位的指令集,64位有64位的指令集,CUP是怎么区分自己执行的是哪个指令集32位操作系统下进入内核的指令是sysenter,64位系统下64位进程进入内核的指令时syscall,那么64位系统下32位进程该执行什么指令呢?观察64位系统下的32位进程ntdll.zwclose ,发现它call了一个地址跟进去看一下F7跟进可以发现现在处于wow64upc模块中这里需要使用特殊版本的调试器Yzdbg ,F7跟进。
Windows WOW64 nativeapi 逆向详解,32程序兼容剖析
qq_31314583的博客
11-19 1385
前言 windows有很多核心的原生api,其中包含sdk声明的和文档未声明的。主要由于ntdll.dll和win32u.dll(服务号0x1000-0x1FFF)导出。 WOW64 (Windows-on-Windows 64-bit)是一个Windows操作系统的子系统,用于模拟32位环境,使得32位执行程序x64系统正常运行。 而64位系统字长变为64位,因此是无法直接执行32位的可执行代码的。因此x64引入了兼容32位执行程序wow64 子系...
2023-02-04 32位程序可以在64位系统中运行吗?可以。在64位x86 ubuntu上面编译32位应用程序运行,也在ARM64位的android系统上测试。
海月汐辰
02-04 3381
3.2 把可执行文件放到arm板子上面去运行,arm板子是运行android8 的64 位cpu系统。64位系统可以向下兼容运行32位程序,但是32位系统不能运行64位程序。3.3、32位的可执行程序也可以运行,如下图。3.1 arm交叉编译出两个可执行文件。2.1、查看Linux是多少位数 命令。
32位与64位程序间通信,通过共享内存实现
04-15
4. **64位程序接入**:在64位程序中,同样调用`CreateFileMapping()`,但这次传入的是一个空的文件名(由32位程序创建的内存映射文件的名称),以及先前32位程序创建的内存映射文件的访问权限。然后使用`...
轻松使用STM32MP13x - 如MCU般在cortex A核上裸应用程序
12-21
本篇文章将深入讲解如何在STM32MP13x上进行Bare-Metal开发,即在Cortex-A核上裸应用程序,不依赖操作系统。 首先,要开始STM32MP13x的开发,你需要获取STM32MP13x的开发包。STM32CubeMP13 Package v1.0可以从ST...
单片机程序死机和程序飞原因分析
07-15
第三,地址溢出,特别是指针操作错误,往往会导致程序飞。在使用指针操作数组时,如果没有对循环变量进行正确的控制,很容易造成数组越界,进而修改到不应该被访问的内存地址,甚至是系统寄存器。这种情况下,...
C++逆向安全教程150全集---2020年木塔老师新教程
mutashizhe的博客
01-10 4795
法律声明:教程不会涉及指定公司的网游测试,不会提供任何游戏的数据或者侵害游戏公司的版本问题。教程目的是数据分析原理和提高安全技术。逆向技术必须按照国家法律来实施。测试的游戏纯属技术研究,禁止非法用途。 **概述:**课程涉及从新手开始,因为C语言和C++历史已经有了几十年,积累大量的概念和庞大知识体系,知识量10年估计都学不完的(很多知识一辈子可能用不上的),这套课程抽取了C和C++常用的核心内容...
32位程序如何在64位系统上运行_WOW64!Hooks:深入考察WOW64子系统运行机制及其Hooking技术(上)...
weixin_33305027的博客
12-01 1035
在本文中,我们将为读者详细介绍WOW64子系统运行机制及其Hooking技术。Microsoft公司一直以其向后兼容性而闻名。几年前,当他们推出Windows的64位版本时,他们需要提供与现有32位应用程序的兼容性。为了实现32位和64位应用程序的无缝衔接,WoW(Windows on Windows)系统便应运而生了;在本文中,我们将其称为“WOW64”,它负责将所有Windows A...
X64驱动开发和保护+X86X64游戏逆向分析课程
mutashizhe的博客
08-05 2777
老师教学范围和方式:木塔负责PC电脑端C语言基础和端游逆向分析部分内容,采用录制+部分直播课程教学,晚上还有专业老师讲解和指导。我要的是质量不是数量。老师备课,设计课件需要时间的。 学习周期:PC端3个月时间(具体根据同学们的进度) 主要内容和方向:C/C++从基础知识讲起;汇编基础和逆向;开发逆向内存FZ库框架编写;MFC界面和中控界面;逆向数据分析 ;X64逆向;驱动开发;驱动保护  学费:优惠价:4888RMB (原价6500RMB) 注释:有C语言或者C++语法基础学员可以再优惠:3
Mixing x86 with x64 code (混合编写x86和x64代码)
weixin_34144848的博客
01-24 182
为什么80%的码农都做不了架构师?>>> ...
Windows 32位程序在64位操作系统下运行
傅斯年的写字台
06-13 4784
VS2013新建的VC++项目默认的组件平台是32位 要将它编译为64位程序,按以下步骤: 1.点击“Win32”下拉框,打开“配置管理器” 2.点击“活动解决方案管理平台”下拉框,选“新建” 3.点击“键入或选择新平台”下拉框,选"x64",然后点击“确定” 4.配置完成,可以看见项目平台都变为x64了,点击关闭即完成。
解决ubuntu 64位系统 无法运行32位程序的问题
mtofum的专栏
12-14 6476
ubuntu 64位运行32位可执行文件
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值