32位程序如何在64位系统上运行_WOW64!Hooks:深入考察WOW64子系统运行机制及其Hooking技术(上)...

最新推荐文章于 2024-03-08 10:37:46 发布
最新推荐文章于 2024-03-08 10:37:46 发布
阅读量967 收藏 1
点赞数 1
文章标签: 32位程序如何在64位系统上运行
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33305027/article/details/112142011
版权

975131b8c0ce87d5d61089479484f802.png

在本文中,我们将为读者详细介绍WOW64子系统运行机制及其Hooking技术。

Microsoft公司一直以其向后兼容性而闻名。几年前,当他们推出Windows的64位版本时,他们需要提供与现有32位应用程序的兼容性。为了实现32位和64位应用程序的无缝衔接,WoW(Windows on Windows)系统便应运而生了;在本文中,我们将其称为“WOW64”,它负责将所有Windows API调用从32位用户空间转换为64位操作系统内核。本文主要分为两个部分。首先,我们将深入研究WOW64系统本身。为此,我们将考察一个来自32位用户空间的调用,并跟踪它最终过渡到内核的步骤。在本文的第二部分,我们将考察两种hooking技术及其有效性。我将介绍该系统的工作原理,恶意软件滥用它的方式,并详细介绍一种机制,通过这个机制可以从用户空间钩住所有WoW系统调用。请注意,文中的所有信息对于Windows 10, version 2004之后的版本来说起都是正确的;而在某些情况下,与较旧的Windows版本的实现方式可能存在差异。

声明

首先,这是一个已有多位作者研究过的课题。也就是说,虽然本文对高效探索WOW64内部机制至关重要,但是,如果这些作者不公开发布其出色的研究成果,那么,我们将不得不花费更多的研究时间。本文参考的文献包括:

  1. (Wbenny): 关于ARM架构WOW64内部结构及其运行机理的详细阐述。

  2. (ReWolf):一个PoC天堂之门的实现代码。

  3. (JustasMasiulis):一个非常简洁的C++天堂之门实现代码。

  4. (MalwareTech):详细解释了WOW64的分段机制。

WOW64系统的内部工作原理

为了了解WOW64系统的内部运行机制,我们需要考察来自32位用户模式的调用序列,是如何通过系统DLL映射到内核空间的对应代码的。在这些系统DLL中,操作系统将检查相关的参数,并最终将其传递给名为syscall stub的存根函数。这个syscall stub负责将用户空间的调用转换为内核中的API调用。在64位系统中,syscall stub的实现方法非常简单,因为它会直接执行syscall指令,具体如图1所示:

68508fae19d3808b8618d6832e826eb6.png

图1 WOW64系统的Syscall Stub

图2显示了运行在WOW64上的32位进程的syscall stub:

最低0.47元/天 解锁文章
木丂木自周隹
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
让其他程序在自己的窗体上运行成为子窗体
03-16
总的来说,将其他程序在自己的窗体上运行成为子窗体,是一项需要综合运用多种技术和理解操作系统底层机制的任务。在实践中,我们需要根据具体需求选择合适的方法,确保程序的稳定性和用户体验。
flickr_search_react_hooks_upg:具有React的Flickr上的Image Finder(挂钩)
05-11
在开发模式下运行应用程序。 打开在浏览器中查看它。 如果您进行编辑,则页面将重新加载。 您还将在控制台中看到任何棉绒错误。 npm test 在交互式监视模式下启动测试运行器。 有关更多信息,请参见关于的部分。 ...
Wow64cpu!CpuSimulate的一点点分析
lif12345的专栏
06-29 2286
.text:0000000078B625B0 CpuSimulate proc near ; DATA XREF: .text:off_78B63168o .text:0000000078B625B0 ; .pdata:0000000078B650B4o .text:00000000...
Windows WOW64 nativeapi 逆向详解,32程序兼容剖析
qq_31314583的博客
11-19 1301
前言 windows有很多核心的原生api,其中包含sdk声明的和文档未声明的。主要由于ntdll.dll和win32u.dll(服务号0x1000-0x1FFF)导出。 WOW64 (Windows-on-Windows 64-bit)是一个Windows操作系统子系统,用于模拟32位环境,使得32位执行程序在x64系统正常运行。 而64位系统字长变为64位,因此是无法直接执行32位的可执行代码的。因此x64引入了兼容32位执行程序wow64 子系...
windows 32位以及64位的inline hook
linuxheik的专栏
10-20 1593
对于系统API的hook,windows 系统为了达成hotpatch的目的,每个API函数的最前5个字节均为: 8bff   move edi,edi 55     push ebp 8bec  mov ebp,esp 其中move edi,edi这条指令是为了专门用于hotpatch而插入的,微软通过将这条指令跳转到一个short jmp,然后一个long jmp可以跳转到任意4G范围
Windows WoW64浅析
最新发布
u010551008的博客
03-08 253
在默认情况下,32位组件访问32位视图,64位组件访问64位视图,这为32位64位组件提供了一个安全的环境,并且将32位应用程序的状态与64位应用程序的状态隔开来。由于X64是X86扩展,从32位代码向64位代码切换并不是那么困难,代码段描述符告诉处理器将代码当作X86代码还是X64代码,32位寄存器其实就是64位寄存器忽略高一半内容,32位模式RAM的4GB的编址和64位模式低4GB一样,因此从X86代码调用到X64代码,所有需要做的就是调用一个X64段选择子即完成了切换。
Windows操作系统——WoW64
一个热爱逆向,喜爱学习、分享的猿。
03-24 3071
简介 64位操作系统的底层都是64位的,而在64位的Windows中是可以运行32位的应用程序。 为此提供支持的就是所谓的WoW64技术,全称即Windows 32-bit(Applications) on Windows 64-bit(OS)。 核心就是,在系统中同时包含32位程序64位程序运行环境(依赖的各种dll、注册表里的配置项),32位程序系统运行环境的引用都被重定向到32位运行环境。具体包括: system32重定向到SysWOW64 Program Files重定向到Prog
git_code_sniffer_hooks:工作的代码嗅探器
06-11
cd ~/bin/git_code_sniffer_hooks/ ~/bin/composer.phar install NodeJs相关依赖: sudo add-apt-repository ppa:chris-lea/node.js sudo apt-get update sudo apt-get install nodejs cd ~/bin/git_code_sniffe
sublime-hooks:在常见事件挂钩上运行Sublime命令(例如on_new,on_post_save)
05-10
在常见事件挂钩(例如on_new , on_post_save )上运行命令。 旨在将事件级别绑定到其他插件。 我的用例是发出(通过在保存时通过到服务器。结果是: "on_post_save_user" : [ { "command" : "request" , ...
CurrentTime_USing_React_hooks:用CodeSandbox创建
03-26
在本项目"CurrentTime_USing_React_hooks"中,我们主要探讨如何利用React Hooks来创建一个实时显示当前时间的应用。这个应用是通过CodeSandbox这个在线开发环境构建的,它为开发者提供了一个方便的平台,无需本地...
【原】wow64 x86/x64 代码切换过程分析
weixin_30872733的博客
10-12 595
下面以ntdll32!ZwQueryInformationProcess API为例分析 x86代码与x64代码之间的切换过程, 32bit的test程序: step1: ntdll32!ZwQueryInformationProcess:775bfb18 b816000000 mov eax,16h775bfb1d 33c9 xor ecx,...
wow64
a31602222的博客
11-04 545
WOW6432位程序其实拥有64位程序的全部功能包括32注入64位、枚举64位进程模块、Hook64位模块、调用64位API等等等等....因为WOW64程序不是完全的虚拟化的,是伪虚拟化,本身就是一个64位进程只是自己以为是32位程序而已就如黑客帝国里面一样,只要你意识到了,就能超越你认为所不能的。RtlGetNativeSystemInformation = _NtWow64G...
WOW64机制
learn112的博客
12-18 1337
Windows64位计算环境 WOW64机制 什么是WOW64机制 WOW64(Windows on Windows 64)机制就是一种在64位OS中支持运行32位应用程序的机制 起源: 微软认为64位OS的核心就是要向下兼容32位OS,所以创造了一个WOW64机制,使得32位应用程序能够很好的移植在64位OS中 WOW64机制的原理 在Windows 64位OS中, 64位应用程序会加载kernel32.dll(64位)和ntdll.dll(64位), 32位应用程序会加载kernel32.dll(32位
64位python调用32位dll(通过通讯接口socket间接实现)
weixin_45091584的博客
01-03 3035
众所周知,64位python无法直接引用32位的dll,但在实际工作学习中总会有一些需要调用32位dll的时候,作为胶水语言,若无法使用python对其进行调用,岂不是徒有虚名!为此,总有人另辟蹊径,想到了一个间接的调用方法,首先用32位python对32位dll进行调用,然后再建立64位python和32位python的通讯,通过自定义的判断调节和响应结果,实现在64位python上对该32位dll进行操作。
c++ mfc 编译为32位 在64系统中能运行吗_32位支持:使用 GCC 交叉编译 | Linux 中国...
weixin_39860166的博客
11-12 461
使用 GCC 在单一的构建机器上来为不同的 CPU 架构交叉编译二进制文件。-- Seth Kenlon如果你是一个开发者,要创建二进制软件包,像一个 RPM、DEB、Flatpak 或 Snap 软件包,你不得不为各种不同的目标平台编译代码。典型的编译目标包括 32 位和 64 位的 x86 和 ARM。你可以在不同的物理或虚拟机器上完成你的构建,但这需要你为何几个系统。作为代替,你可...
2023-02-04 32位程序可以在64位系统运行吗?可以。在64位x86 ubuntu上面编译32位应用程序运行,也在ARM64位的android系统上测试。
海月汐辰
02-04 3093
3.2 把可执行文件放到arm板子上面去运行,arm板子是运行android8 的64 位cpu系统64位系统可以向下兼容运行32位程序,但是32位系统不能运行64位程序。3.3、32位的可执行程序也可以运行,如下图。3.1 arm交叉编译出两个可执行文件。2.1、查看Linux是多少位数 命令。
.NET编译、WOW64注册表访问、同时在X86和X64平台上部署应用程序
weixin_30478757的博客
04-05 257
[翻译文章,原文请参考:http://www.codeproject.com/Articles/51326/Net-Compilation-registry-accessing-and-application.aspx] 多长的一个标题,不是吗?这是因为在一些情况下,你必需要做一大堆事情才能让你的.NET应用程序同时在x86和x64环境下成功运行,尤其是在你还需要使用一些非安全代码(unmana...
怎么样才能使32位程序64位的计算机上运行
Decisiveness的专栏
09-05 7404
怎么样才能使32位程序64位的计算机上运行? 现在,在这些64位的计算机上,您可以选择安装64位的Ubuntu。请注意:不是所有的程序都能够正常的运行64位平台上。 不过还是有一些32位应用程序可以通过使用32位运行库来实现在64位Ubuntu平台上的正常运行。 你可以使用sudo和apt-get命令来安装这些运行库。   更多non-free项目都是在32位平台上的
深入理解Ftrace Kernel Hooks:超越单纯的跟踪技术
文档涵盖了Ftrace的各种子系统,包括Function Tracer、Function Graph Tracer、Function Profiler、Stack Tracer、Kprobes、Uprobes、Perf、Pstore以及SystemTap。通过这些工具,开发者可以深入了解内核行为,进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值