32位和64位的区别

最新推荐文章于 2023-09-03 22:39:00 发布
最新推荐文章于 2023-09-03 22:39:00 发布
阅读量236 收藏
点赞数
文章标签: 汇编 c语言 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51409218/article/details/132304905
版权

1.支持32位应用程序是64位OS的核心功能

Q:在64位OS中支持现有的32位应用程序运行的机制是什么?

A:WOW64(即windows on windows 64)

Q:具体是如何实现的?

A:

64位windows提供了32位windows的系统环境,借助WOW64将其变化为64位环境

此处需要注意的是:

1.WOW仅在用户模式下运行

2.运行在内核模式中的驱动程序(Driver)文件必须编译成64位。

3.内核模式中发生内存引用错误时,就会引发BSOD(BlueScreen Of Death)蓝屏死机

2.两者文件夹结构的区别

代码验证

#include <iostream>
#include <Windows.h>

int main() {
    char systemDirectory[MAX_PATH];
        GetSystemDirectoryA(systemDirectory, MAX_PATH);
        std::cout << systemDirectory << std::endl;
    return 0;
}

首先是在32位环境先输出

然后再在64位环境下输出

可以看到返回结果都是system32

这是因为WOW64在中间截获了API调用并进行操作后返回的结果

同理,32位的应用程序使用SHGetSpecialFolderPath()API获取Progarm File文件夹路径时,WOW64会在中间对其进行截获,并返回Program Files(X86)路径

3.在注册表项的区别

在software项下存在一个WOW6432Node子项

当32位的进程访问HKLM\SOFTWARE下的键时,WOW64会将其重定向到32位的HKLM\SOFTWARE\WOW6432Node下。

4.X64中新增的项目

最显著的变化:内存地址是64位,指针大小是64位,寄存器和栈的基本单位也是64位

机器

32

64

进程的虚拟内存

4GB

16TB

通用寄存器

EAX……

新增R8-R15,

不使用段寄存器

CALL/JMP指令

FF15 XXXXXXXX

其中XXXXXXXX绝对地址指向IAT区域的某一个位置

在FF15之后仍然跟着4个字节大小,不过是相对地址

Q:相对地址是怎么转化成绝对地址的呢?

A:CALL指令所在地址+相对地址+6(CALL指令的长度)=变换后的绝对地址

函数调用约定

存在3种函数调用约定,分别是cdcall,stdcall,fastcall,

在64位系统中的是统一的变形后的fastcall

最多可以将4个参数传递到寄存器中,如上是使用寄存器的顺序

当参数的个数超过4个的时候,第五个参数会在栈中进行传递,后期栈的清理由函数调用者完成,

注意:函数的前四个参数虽然是使用寄存器进行传递的,但是在栈中依然保留了4个参数也就是32个字节的空间

栈\栈帧

使用push指令传递参数

通过mov指令操作寄存器和预定的栈来传递

优点是调用子函数时不需要改变栈指针,函数返回时也不需要清理堆栈

5.代码验证

#include <windows.h>
#include <stdio.h>

int main() {
    HANDLE hFile;

    // 使用 CreateFile 函数创建文件
    hFile = CreateFile(
        L"example.txt",     // 文件名
        GENERIC_WRITE,      // 访问权限:写入
        0,                  // 共享模式:无
        NULL,               // 安全属性:默认
        CREATE_ALWAYS,      // 打开方式:如果文件存在则覆盖,否则创建
        FILE_ATTRIBUTE_NORMAL, // 文件属性:普通文件
        NULL                // 模板句柄:无
    );

    if (hFile != INVALID_HANDLE_VALUE) {
        // 关闭文件句柄
        CloseHandle(hFile);
    }

    return 0; // 返回零值表示程序正常结束
}

32

调用子函数时用栈传递参数

在32位环境下采用stdcall,属于内平栈,由被调用者清理栈

进入CreateFile()API 中查看

768DA520 | 8BFF | mov edi, edi                                    |
768DA522 | 55   | push ebp                                        |
768DA523 | 8BEC | mov ebp, esp                                    |
768DA525 | 51   | push ecx                                        |
768DA526 | 51   | push ecx                                        |
768DA527 | 8B55 | mov edx, dword ptr ss:[ebp+0x8]                 |
768DA52A | 8D4D | lea ecx, dword ptr ss:[ebp-0x8]                 |
768DA52D | E8 6 | call <kernelbase._Basep8BitStringToDynamicUnico |
768DA532 | 85C0 | test eax, eax                                   | eax:___argc
768DA534 | 74 2 | je kernelbase.768DA564                          |
768DA536 | 56   | push esi                                        | esi:&"C:\\Users\\win2021ltsc\\AppData\\Local\\Temp\\vmware-win2021ltsc\\VMwareDnD\\7158df7b\\RVATOFOA.exe"
768DA537 | FF75 | push dword ptr ss:[ebp+0x20]                    |
768DA53A | FF75 | push dword ptr ss:[ebp+0x1C]                    |
768DA53D | FF75 | push dword ptr ss:[ebp+0x18]                    |
768DA540 | FF75 | push dword ptr ss:[ebp+0x14]                    | [ebp+14]:__RtlUserThreadStart+2F
768DA543 | FF75 | push dword ptr ss:[ebp+0x10]                    |
768DA546 | FF75 | push dword ptr ss:[ebp+0xC]                     | [ebp+C]:@BaseThreadInitThunk@12
768DA549 | FF75 | push dword ptr ss:[ebp-0x4]                     |
768DA54C | E8 E | call <kernelbase._CreateFileW@28>               |
768DA551 | 8BF0 | mov esi, eax                                    | esi:&"C:\\Users\\win2021ltsc\\AppData\\Local\\Temp\\vmware-win2021ltsc\\VMwareDnD\\7158df7b\\RVATOFOA.exe", eax:___argc
768DA553 | 8D45 | lea eax, dword ptr ss:[ebp-0x8]                 | eax:___argc
768DA556 | 50   | push eax                                        | eax:___argc
768DA557 | FF15 | call dword ptr ds:[<&_RtlFreeUTF8String@4>]     |
768DA55D | 8BC6 | mov eax, esi                                    | eax:___argc, esi:&"C:\\Users\\win2021ltsc\\AppData\\Local\\Temp\\vmware-win2021ltsc\\VMwareDnD\\7158df7b\\RVATOFOA.exe"
768DA55F | 5E   | pop esi                                         | esi:&"C:\\Users\\win2021ltsc\\AppData\\Local\\Temp\\vmware-win2021ltsc\\VMwareDnD\\7158df7b\\RVATOFOA.exe"
768DA560 | C9   | leave                                           |
768DA561 | C2 1 | ret 0x1C                                        |
768DA564 | 83C8 | or eax, 0xFFFFFFFF                              | eax:___argc
768DA567 | EB F | jmp kernelbase.768DA560                         |

在调用CreateFile()API之前就使用过Push指令将接收的参数压入栈,此时栈中有两份相同的参数()

Q:为什么参数要传递两次呢

A:这是因为函数支持多种字符编码或者字符串格式

64

00007FF84EE62630 | 48:83EC 78               | sub rsp,0x78                            |
00007FF84EE62634 | 4C:8BC9                  | mov r9,rcx                              |
00007FF84EE62637 | 48:8B05 B2791100         | mov rax,qword ptr ds:[<&BaseThreadInitT |
00007FF84EE6263E | 48:85C0                  | test rax,rax                            |
00007FF84EE62641 | 74 10                    | je ntdll.7FF84EE62653                   |
00007FF84EE62643 | 4C:8BC2                  | mov r8,rdx                              |
00007FF84EE62646 | 48:8BD1                  | mov rdx,rcx                             |
00007FF84EE62649 | 33C9                     | xor ecx,ecx                             |
00007FF84EE6264B | FF15 AF091300            | call qword ptr ds:[0x7FF84EF93000]      |
00007FF84EE62651 | EB 20                    | jmp ntdll.7FF84EE62673                  |
00007FF84EE62653 | 48:8BCA                  | mov rcx,rdx                             |
00007FF84EE62656 | 49:8BC1                  | mov rax,r9                              |
00007FF84EE62659 | FF15 A1091300            | call qword ptr ds:[0x7FF84EF93000]      |
00007FF84EE6265F | 8BC8                     | mov ecx,eax                             |
00007FF84EE62661 | E8 8A1F0000              | call <ntdll.RtlExitUserThread>          |
00007FF84EE62666 | 90                       | nop                                     |
00007FF84EE62667 | 8BD0                     | mov edx,eax                             |
00007FF84EE62669 | 48:83C9 FF               | or rcx,0xFFFFFFFFFFFFFFFF               |
00007FF84EE6266D | E8 6EAC0400              | call <ntdll.NtTerminateProcess>         |
00007FF84EE62672 | 90                       | nop                                     |
00007FF84EE62673 | 48:83C4 78               | add rsp,0x78                            |
00007FF84EE62677 | C3                       | ret                                     |

tntlbb
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
手机cpu32位64位区别
01-20
随着现在各大手机厂商开始宣传手机64位处理器的种种优势后,从前我们没有了解过的手机处理器位数这个新鲜的词汇就渐渐的让我们所熟知,那手机64位处理器是什么意思呢,它与与32位处理器的区别在哪呢,就为大家来详细...
基础电子中的手机cpu32位64位区别
10-15
【基础电子中的手机CPU32位64位区别】 CPU的位数是衡量处理器处理能力的一个关键指标,它直接影响到处理器的运算速度和数据处理能力。32位64位区别主要体现在数据处理宽度、内存寻址能力以及软件兼容性等...
win32,win64编程永恒;语言编程需要注意的64位和32机器的区别
AngelBaby的专栏
09-14 1005
win32,win64编程永恒;语言编程需要注意的64位和32机器的区别 http://www.cnblogs.com/kex1n/archive/2010/10/06/1844737.html> 一、数据类型特别是int相关的类型在不同位数机器的平台下长度不同。C9
64位Windows系统注册表的 32 位注册表项和64 位注册表项
Crazy_liyang的博客
03-30 6823
64 位版本 Windows 中的注册表分为 32 位注册表项和 64 位注册表项。许多 32 位注册表项与其相应的 64 位注册表项同名,反之亦然。 64 位版本 Windows 包含的默认 64 位版本注册表编辑器 (Regedit.exe) 可显示 64 位和 32 位的注册表项。WOW64 注册表重定向器为 32 位程序提供了对应于 32 位程序注册表项的不同注册表项。在 64 位版
如何通过使用 64 位版本 Windows 查看系统注册表 WOW6432Node
weixin_30856965的博客
03-09 708
64 位版本 Windows 中的注册表分为 32 位注册表项和 64 位注册表项。许多 32 位注册表项与其相应的 64 位注册表项同名,反之亦然。64 位版本 Windows 包含的默认 64 位版本注册表编辑器 (Regedit.exe) 可显示 64 位和 32 位的 注册表项。WOW64 注册表重定向器为 32 位程序提供了对应于 32 位程序注册表项的不同注册表项。在 64 ...
Windows 64位操作系统和32位操作系统在注册表上的有一点不一样
GJLNaughtyCat的专栏
08-07 177
Windows64位操作系统为提供对32位应用程序的兼容,在“C:\Windows\SysWOW64”目录下保留了很多32位的工具(如CMD.exe是32位的)。在Windows64位操作系统上跑三十二位应用程序,操作注册表,搜素目录时,微软通过反射(Reflector),会将“\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Unins...
CTF(Pwn)32位文件 和 64 文件 的 差异
半岛铁盒的博客
03-23 1468
一. 地址方面字节上的差异 32位是cpu一次处理的位数,即32位4字节,相当于地址的宽度,即sizeof(*p); 虚拟地址大小为4G,即有2的32次方个地址,从32个0到32个1个地址; ![在这里插入图片描述](https://img-blog.csdnimg.cn/20210323094254825.png) 64位是cpu一次处理的位数,即64位8字节,相当于地址的宽度,即sizeof(*p); 虚拟地址大小为128G,即有2的64次方个地址,从64个0到64个1个地址; 在写Exp
32位64位区别--C语言编译器有哪些不同(代码级别)
12-11
32位64位C语言编译器具体有哪些不同(代码级别) 这即是一个常识问题,但是却有很多人不知道如何区分,判断是32位还是64位C语言编译器
32位64位区别.pdf
10-03
综上所述,32位64位区别不仅仅在于数字上的大小差异,它们各自反映了计算机技术发展中的不同阶段,以及对不同应用场景的适应性。随着应用需求的不断增长,64位系统逐渐成为主流,为未来的技术发展和应用拓展提供...
cfadisk32位64位.zip
06-19
32位64位系统的区别主要在于处理数据的能力和可用的内存资源。32位系统最大可支持4GB的RAM,而64位系统则可以处理更大的内存,理论上可以支持超过4GB的物理内存。cfadisk驱动对两者的兼容性,意味着无论是小内存的...
为什么win32应用读取注册表HKEY_CLASSES_ROOT\CLSID\下面的值的数量要比x64的要少?
babytiger的专栏
03-08 459
然而,由于64位操作系统的存在,当32位的应用程序访问HKEY_CLASSES_ROOT时,它们实际上访问的是HKEY_LOCAL_MACHINE\SOFTWARE\Classes,而当64位的应用程序访问HKEY_CLASSES_ROOT时,它们实际上访问的是HKEY_LOCAL_MACHINE\SOFTWARE\Classes和HKEY_CURRENT_USER\Software\Classes的合并视图。下面的代码是32位的,读到的值要比64位的要少。
linux的64位操作系统对32位程序的兼容-全面分析
Netfilter
03-03 1万+
<br />1.结构体ioctl_trans:<br /> struct ioctl_trans {<br />     unsigned long cmd;<br />     ioctl_trans_handler_t handler;<br />     struct ioctl_trans *next;<br /> };<br /> 该结构体提供了一个粘合层,用户可以动态注册一个ioctl_trans以便其提供64位32位的粘合:<br /> extern int register_
Windows 32 位和 64 位的区别:你需要知道的一切
winkexin的博客
07-09 7895
当您考虑 Windows 版本时,您可能会想到家庭版或专业版。虽然这些名称确实不同,但还有另一个因素将 Windows 版本分开:系统是 32 位还是 64 位?您可能听说过 32 位和 64 位这两个术语,但从未真正理解它们。而在网络上也有很多用户对于使用 Windows 32 位和 64 位系统存在疑惑,接下来和一起看看这些名称的来源,以及它们对您的计算体验的意义。​Windows 32 位和 64 位之间有什么区别
Windows注册表内容详解】
最新发布
m0_46168848的博客
09-03 5786
一、什么是注册注册表是windows操作系统、硬件设备以及客户应用程序得以正常运行和保存设置的核心“数据库”,也可以说是一个非常巨大的树状分层结构的数据库系统。注册表记录了用户安装在计算机上的软件和每个程序的相互关联信息,它包括了计算机的硬件配置,包括自动配置的即插即用的设备和已有的各种设备说明、状态属性以及各种状态信息和数据。利用一个功能强大的注册表数据库来统一集中地管理系统硬件设施、软件配置等信息,从而方便了管理,增强了系统的稳定性。二、注册表的功能。
预定义宏__GNUC__
wantong2005的专栏
03-31 817
预定义__GNUC__宏     1 __GNUC__ 是gcc编译器编译代码时预定义的一个宏。需要针对gcc编写代码时, 可以使用该宏进行条件编译。     2 __GNUC__ 的值表示gcc的版本。需要针对gcc特定版本编写代码时,也可以使用该宏进行条件编译。     3 __GNUC__ 的类型是“int”,该宏被扩展后, 得到的是整数字面值。可以通过仅预处理,查看宏扩展
64位系统编译32位文件 -m32
qq_40674996的博客
08-17 1409
gcc编译时加上-m32参数 gcc -m32 src.c -o outputfile 但是出现了如下错误: In file included from test.c:1:0: /usr/include/stdio.h:27:10: fatal error: bits/libc-header-start.h: No such file or directory #include <b...
32位64位到底有什么区别
热门推荐
ThinPikachu的博客
03-09 1万+
目录 从代码到到可执行文件 从可执行文件到进程 CPU位数的含义 系统和软件的位数的含义 程序数值int32和int64的含义 系统位数会限制内存吗? 总结 关于32位64位,这个概念一直让人比较懵。 在买电脑的时候,我们看到过32位64位CPU。 下软件的时候,我们也看到过32位64位的软件。 就连装虚拟机的时候,我们也看过32位64位的系统。 在写代码的时候,我们的数值,也可以定义为int32或者int64。 我们当然很清楚,装软件的时候,一般64位的系统就选64位的软
windbg 32位64位区别
05-31
Windbg是一种用于Windows操作系统的调试器,它有32位64位两个版本。主要的区别在于: 1. 支持的目标操作系统版本不同。Windbg 32位版本仅支持32位Windows操作系统,而Windbg 64位版本则支持64位Windows操作系统。 2. 支持的调试器类型不同。Windbg 32位版本只能用于调试32位的应用程序,而Windbg 64位版本可以用于调试32位64位的应用程序。 3. 支持的内存访问空间不同。Windbg 32位版本只能访问32位的内存空间,而Windbg 64位版本可以访问64位的内存空间。 4. 支持的命令集不同。Windbg 64位版本支持更多的命令,可以更好地支持64位应用程序的调试。 总之,Windbg 32位版本适用于32位Windows操作系统和32位的应用程序,而Windbg 64位版本则适用于64位Windows操作系统和64位的应用程序。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

tntlbb

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值