Windows操作系统——WoW64

最新推荐文章于 2024-03-08 10:37:46 发布
最新推荐文章于 2024-03-08 10:37:46 发布
阅读量2.9k 收藏
点赞数
分类专栏: Windows操作系统 文章标签: windows wow64 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shadow20080578/article/details/123720336
版权

简介

64位操作系统的底层都是64位的,而在64位的Windows中是可以运行32位的应用程序。

为此提供支持的就是所谓的WoW64技术,全称即Windows 32-bit(Applications) on Windows 64-bit(OS)。

核心就是,在系统中同时包含32位程序和64位程序的运行环境(依赖的各种dll、注册表里的配置项),32位程序对系统运行环境的引用都被重定向到32位的运行环境。具体包括:

  • system32重定向到SysWOW64
  • Program Files重定向到Program Files(x86)
  • HKLM\SOFTWARE重定向到HKLM\SOFTWARE\Wow6432Node

如何实现

关键是如下几个要点:

1)32位代码和64位的内核之间有一个转接层,称为thunk layer。形象的说,转接层的作用是“欺上瞒下”,对于内核来说,好像上面跑得就是一个64位的应用,而对于应用来讲,也会觉得还是跑在32位的内核上。

2)转接层本身主要是64位代码(有一点32位指令,见下文)。除了转接层外,Wow进程中的其它用户态模块必须都是32位的,包括kernel32.dll, user32.dll等模块。也正因为此,为了支持WoW64,在Windows系统目录下的SysWow64下完完整整的安装着一套32位的系统DLL。刚刚看了下正在用的这个64 Win7的SysWow64目录,居然有1.25GB。这个目录下的模块都是32位的,是专门给32位应用程序用的,虽然目录名中有64。

顺便说下,在Win64中,system32目录下放的都是64位模块。

WoW64几个相关DLL
Wow64.dll:管理进程和线程的创建,勾住异常分发和Ntoskrnl.exe导出的基本系统调用,实现文件重定向及注册表重定向。
Wow64Cpu.dll:提供处理器体系结构相关支持。
Wow64Win.dll:截取Win32k.sys导出的GUI系统调用。
ntdll.dll:中转。

跟踪中转过程

我们从一个32位的API调用入手,来自USER32.dll,看看它在64位系统上如何中转到64位实现代码:

USER32!NtUserCallOneParam:
765e60cd b802100000      mov     eax,1002h
765e60d2 b900000000      mov     ecx,0
765e60d7 8d542404        lea     edx,[esp+4]
765e60db 64ff15c0000000  call    dword ptr fs:[0C0h]  fs:0053:000000c0=00000000
765e60e2 83c404          add     esp,4
765e60e5 c20800          ret     8

这是一个窗口API的内部实现,是一个Service Stub。所谓的Service Stub,是用来调用系统服务的,1002是服务的编号。

本来这个代码中应该使用syscall这样的指令发起系统调用的。但是这里调用的一个函数指针,位置是fs段的c0字段。fs指向的是线程的环境块,即TEB。

用windbg的Dt命令看一下TEB便知道偏移C0的地方叫WOW32Reserved:

+0x0c0 WOW32Reserved    : Ptr32 Void

从名字就可以看出,这个成员与WoW有关,它就是保存这里调用的函数地址的函数指针。

单步跟踪一下,发现这个函数指针指向的是下面这个内容:

wow64cpu!X86SwitchTo64BitMode:
74772320 ea1e2777743300  jmp     0033:7477271E

这两行的信息量很大,根据符号提示,这个代码属于wow64cpu模块,是上面提到的转接层的重要模块之一。从这条指令的“函数名”来看,X86SwitchTo64BitMode,明显是切换用的。

再看这条指令的段描述符,是33,也很特别,因为32代码用的代码段选择子总是23。其实这就是奥妙所在。对于支持Win64的x64 CPU来说,运行64位代码的叫长模式(Long mode),为了兼容32位代码,还有一个所谓的32位兼容模式。CPU可以非常轻松的在长模式和兼容模式之间切换,只要用上面这样的长跳转指令就可以了。CPU会检查段的描述符,如果描述符中有Long标志,那么就切换到长模式,否则就切换到兼容模式。

单步跟踪上面的jmp指令后,就立刻转到64位了,r看一下:

0:000> r
rax=000000000000110e rbx=0000000000000003 rcx=0000000000000005
rdx=000000000018a318 rsi=000000000018a478 rdi=0000000000000005
rip=000000007477271e rsp=000000000018a310 rbp=000000000018a46c
 r8=000000000000002b  r9=00000000765f0de3 r10=0000000000000000
r11=0000000000000246 r12=000000007efdb000 r13=000000000008fd20
r14=000000000008b100 r15=0000000074772450
iopl=0         nv up ei pl zr na po nc
cs=0033  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00000246
wow64cpu!CpupReturnFromSimulatedCode:
00000000`7477271e 67448b0424      mov     r8d,dword ptr [esp] ds:00000000`0018a310=76647d6c

全是64位的了。注意指令的地址,00000000`7477271e,与上面jmp的偏移刚好一致。

这个函数名很有意思,CpupReturnFromSimulatedCode,也就是“从虚拟仿真的代码回来了”。

大雄_RE
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Honeywell条码打印机驱动
07-25
霍尼韦尔条码打印机驱动
tsc打印机驱动-TE340
03-23
tsc打印机驱动
Wow64
diaomo9737的博客
05-19 231
翻译自Wikipedia:   WoW64   运行在微软平台上,WoW64(Windows 32-bit on Windows 64-bit) 是一个Windows的子操作系统, 它能运行32位的应用,在所有的64位版本Windows中——WindowsXP Professtion x64版本,IA-64版本,Windows 2003服务器x64版本,Windows Vista 6...
PC和移动端浏览器请求头
qq_40279560的博客
12-26 3796
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 1.0.3705; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729) Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_5
Win7系统提示找不到wow64.dll文件的解决办法
file
02-17 917
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个wow64.dll文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现wow64.dll丢失要怎么解决?
WOW64 IsWow64Process GetNativeSystemInfoWindows System32 SysWOW64
qq_41077484的博客
03-07 828
所以综上所述,Wow64是64bit的Windows系统里面的一个模拟器技术名字(32bitOS没有),它存在的意义是保证32bit的程式可以在64位Windows系统上正常运行。32位程式在32位Windows OS下运行、64位程式在64位Windows OS下运行、64位程式在ARM64位 Windows下运行。所以得出结论:当参数2值是false时,IsWow64Process这个方法并不能准确的判断出Windows OS的Bit。这个方式我比较建议使用,因为不管它对32和64位程式都是通用的。
32位程序如何在64位系统上运行_WOW64!Hooks:深入考察WOW64子系统运行机制及其Hooking技术(上)...
weixin_33305027的博客
12-01 933
在本文中,我们将为读者详细介绍WOW64子系统运行机制及其Hooking技术。Microsoft公司一直以其向后兼容性而闻名。几年前,当他们推出Windows的64位版本时,他们需要提供与现有32位应用程序的兼容性。为了实现32位和64位应用程序的无缝衔接,WoW(Windows on Windows)系统便应运而生了;在本文中,我们将其称为“WOW64”,它负责将所有Windows A...
mysql版本wow64平台_WOW64最佳实现
weixin_28893705的博客
01-19 511
WOW64简介WOW64(Windows 32-bit On Windows 64-bit)是x64平台上运行win32应用程序的模拟器,它在系统层提供了中间层,将win32的系统调用转换成x64进行调用,并且将x64返回的结果转换成win32形式返回给win32程序。下图描述了win32程序如何在x64系统上运行的。How a 32-bit process runs on 64-bit Wind...
WOW64机制
learn112的博客
12-18 1286
Windows64位计算环境 WOW64机制 什么是WOW64机制 WOW64(Windows on Windows 64)机制就是一种在64位OS中支持运行32位应用程序的机制 起源: 微软认为64位OS的核心就是要向下兼容32位OS,所以创造了一个WOW64机制,使得32位应用程序能够很好的移植在64位OS中 WOW64机制的原理 在Windows 64位OS中, 64位应用程序会加载kernel32.dll(64位)和ntdll.dll(64位), 32位应用程序会加载kernel32.dll(32位
adobe一直遇到报错:WOW64 File System Redirection : enabled
热门推荐
10-25 2万+
关掉ps软件后运行
Windows WoW64浅析
最新发布
u010551008的博客
03-08 78
在默认情况下,32位组件访问32位视图,64位组件访问64位视图,这为32位和64位组件提供了一个安全的环境,并且将32位应用程序的状态与64位应用程序的状态隔开来。由于X64是X86扩展,从32位代码向64位代码切换并不是那么困难,代码段描述符告诉处理器将代码当作X86代码还是X64代码,32位寄存器其实就是64位寄存器忽略高一半内容,32位模式RAM的4GB的编址和64位模式低4GB一样,因此从X86代码调用到X64代码,所有需要做的就是调用一个X64段选择子即完成了切换。
window对象
huijie_0716的博客
04-20 479
一、screen属性 window.screen 对象包含有关用户屏幕的信息 screen.availWidth 屏幕宽度 screen.availHeight 屏幕高度 二、history对象 forward() 方法可加载历史列表中的下一个页面 back() 方法可加载历史列表中的前一个页面(如果存在) go(参数) 方法可加载历史列表中的某个具体的页面 参数可以是数字,使用的是要访问的页面在 History 的页面列表中的相对位置。 go(0) 刷新本页面 ...
打印机驱动卸载工具-如果遇到打印机驱动无法卸载或卸载不干净的问题,这个工具YYDS
12-19
操作步骤: 在驱动程序文件所在的安装目录中,双击 DriverWizard 实用程序。 单击以选中“删除打印机驱动程序”,然后单击“下一步”。 单击以选择所需的删除方法,然后单击“下一步”。 验证要删除的项,单击“下一步”,然后单击“完成”。 驱动程序安装和管理工具。简化驱动程序安装过程,一键式的解决方案。 可以自动识别连接到计算机的硬件设备,包括打印机、扫描仪、数据采集卡等。简化驱动程序安装的步骤,无需手动查找和安装正确的驱动程序。 会定期检查硬件设备的驱动程序是否有新的更新。确保设备始终运行在最新的驱动程序上,在安装驱动程序时会自动备份现有的驱动程序。
WOW.rar_WOW隐写_wow_wow 隐写算法_图像隐写——wow_隐写
07-14
传统隐写算法WOW,对文件夹下图像进行隐写,可以是3通道图像
深入解析Windows操作系统中文.part2.rar
05-22
深入解析WINDOWS操作系统(第4版) ISBN:9787121039690 本书是著名的操作系统内核专家Mark Russinovich和David Solomon撰写的Windows操作系统原理的最新版著作,全面和深入地阐述了Windows操作系统的整体结构以及...
深入解析Windows操作系统 中文版 第四版 part 4
06-02
深入解析Windows操作系统 4/5 第1章 概念和工具 1.1 Windows操作系统的版本 1.2 基础概念和术语 1.3 挖掘Windows内部机理 1.4 本章总结 第2章 系统结构 2.1 需求和设计目标 2.2 操作系统模型 2.3 总体结构 2.4 关键...
wow-32-64 汇编调试器 V2.0
02-23
wow_32_64 汇编调试器 V2.0
wow-32-64 汇编调试器 V1.5
02-23
wow_32_64 汇编调试器 V1.5
驱动下Wow64栈回溯和进程模块枚举
anhkgg的专栏
09-27 2645
很久没写驱动代码,最近又摸了一下。 在驱动中回溯调用栈,找到特定模块,获取模块地址、大小、路径等信息,然后…。 堆栈回溯 驱动中通常使用RtlWalkFrameChain来获取调用栈信息,接口如下: ULONG RtlWalkFrameChain(OUT PVOID *Callers, IN ULONG Count, IN ULONG Flags); //Callers一个PVOID数组,保存栈中...
Windows KEY_WOW64_32KEY
07-24
Windows KEY_WOW64_32KEY 是一个注册表键值,它在 Windows 操作系统中用于访问 32 位应用程序在 64 位系统上的注册表项。这个键值通常用于区分 32 位和 64 位注册表视图。在 64 位系统中,有两个注册表视图:32 位和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值