调试wow64进程

最新推荐文章于 2022-03-24 20:43:12 发布
最新推荐文章于 2022-03-24 20:43:12 发布
阅读量4.6k 收藏 3
点赞数

当使用64位debugger调试wow64进程时,cpu context默认为64位,这是查看wow64进程调用栈时,会发现只有64位调用栈,而没有32位调用栈,例如查看32位notepad进程在64位Windows上的主线程调用栈:

fffff880`0382b740 fffff800`03eea992: nt!KiSwapContext+0x7a
fffff880`0382b880 fffff800`03ee9eaa: nt!KiCommitThreadWait+0x1d2
fffff880`0382b910 fffff800`041dbccf: nt!KeWaitForMultipleObjects+0x272
fffff880`0382bbd0 fffff800`0420a08d: nt!ObpWaitForMultipleObjects+0x294
fffff880`0382c0a0 fffff800`03ee48d3: nt!NtWaitForMultipleObjects32+0xec
fffff880`0382c2f0 00000000`74cf2e09: nt!KiSystemServiceCopyEnd+0x13 (TrapFrame @ fffff880`0382c360)
00000000`0014dd18 00000000`74cf283e: wow64cpu!CpupSyscallStub+0x9
00000000`0014dd20 00000000`74d6d07e: wow64cpu!WaitForMultipleObjects32+0x3b
00000000`0014dde0 00000000`74d68a40: wow64!RunCpuSimulation+0xa
00000000`0014de30 00000000`74d3a154: wow64!Wow64KiUserCallbackDispatcher+0x204
00000000`0014e180 00000000`771e1225: wow64win!whcbClientWaitMessageExMPH+0x58
00000000`0014eb30 00000000`74cf2e09: ntdll!KiUserCallbackDispatcherContinue (TrapFrame @ 00000000`0014e9f8)
00000000`0014eb98 00000000`74cf2dbf: wow64cpu!CpupSyscallStub+0x9
00000000`0014eba0 00000000`74d6d07e: wow64cpu!Thunk0Arg+0x5
00000000`0014ec60 00000000`74d6c549: wow64!RunCpuSimulation+0xa
00000000`0014ecb0 00000000`771d4956: wow64!Wow64LdrpInitialize+0x429
00000000`0014f200 00000000`771d1a17: ntdll!LdrpInitializeProcess+0x17e4
00000000`0014f6f0 00000000`771bc32e: ntdll! ?? ::FNODOBFM::`string'+0x29220
00000000`0014f760 00000000`00000000: ntdll!LdrInitializeThunk+0xe

为了看到32位调用栈,我们必须采用以下步骤:

1. load the wow64exts.dll debugger extension (.load wow64exts)

kd> .load wow64exts

2. 检查当前cpu context是否为64位,若不是,切换至64位 (.effmach amd64)

kd:x86> .effmach amd64
Effective machine: x64 (AMD64)

3. 执行.thread /r /p /w fffffa800a69a910 命令

kd> .thread /r /p /w fffffa800a69a910
Loading User Symbols.....
Loading Wow64 Symbols.........................
x86 context set

4. 查看线程栈 (执行k命令)

kd:x86> k
ChildEBP RetAddr
0022fd34 75f07ebd USER32!NtUserGetMessage+0x15
0022fd50 00b7148a USER32!GetMessageW+0x33
0022fd90 00b716ec notepad!WinMain+0xe6
0022fe20 74db3677 notepad!__mainCRTStartup+0x140
0022fe2c 77199d72 kernel32!BaseThreadInitThunk+0xe
0022fe6c 77199d45 ntdll_77160000!__RtlUserThreadStart+0x70
0022fe84 00000000 ntdll_77160000!_RtlUserThreadStart+0x1b
kd:x86> .effmach amd64
Effective machine: x64 (AMD64)
kd> $ Notice the 32-bit ntdll.dll is loaded into the WOW64 process address space
kd> lmv m ntdll_77160000
Image path: C:\Windows\SysWOW64\ntdll.dll


NOTE:

1. .thread /w command to set the current thread context and load the WOW64 symbols.

2. .thread command needs to be run from the 64-bit thread context in the debugger for it to successfully decode the WOW64 symbols

3. if you ever have to use a 64-bit user-mode debugger to debug a WOW64 process, you can use that command to switch the CPU context as needed so that you can view the 32-bit user-mode stack.



xbgprogrammer
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
vc++ hook 拦截自己进程指定的api函数_自己动手制作一个过保护调试
weixin_39908263的博客
11-26 1026
一、起因第一次接触驱动开发的小白,事情是这样的,一个星期前突发奇想想做一个腻o调试器保护程序用于调试游戏,既然要调试驱动保护的程序,自然也要深入驱动底层做调试器必须要hook api去隐藏调试器的参数 所以就有了今天这篇文章。二、准备的东西第一个版本的调试器保护程序就是今天要说的用到ETW(Event Tracing for Windows)hook 去Hook api 实现隐藏参数...
调试运行在Wow64子系统下的程序----x64版windbg调试win32程序
lixiangminghate的专栏
01-29 3785
    大家有没有遇到过这种情况:程序崩溃了,windbg分析线程堆栈时,输出了一堆乱七八糟的调用栈。更烦心的是,这堆调用栈中根本找不到跟自己程序相关的信息。来看一个类似的场景:运行C:\Windows\SysWOW64\calc.exe (win32版的calc.exe),windbg(x64 bit)附加到calc.exe: 0:003> ~*kb 0 Id: 2718.1c...
windbg分析运行在64位环境下的32位程序的dump
我爱密码学
12-17 5346
windbg命令如下1.   .load wow64exts2.   !sw3.   ~* kvnf
Windbg调试命令详解(3)
张佩的技术库
10-08 6100
3 进程与线程 既可以显示进程和线程列表,又可以显示指定进程或线程的详细信息。调试命令可以提供比taskmgr更详尽的进程资料,在调试过程中不可或缺。 3.1 进程命令 进程命令包括这些内容:显示进程列表、进程环境块、设置进程环境。 进程列表 多个命令可显示进程列表,但一般只能在特定情况下使用,它们是:|、.tlist、!process和!dml_proc。 竖线命令显示当前被调试进程列表的状态信息,这个命令在本章开头已作过介绍,命令格式如下: | [进程号] 请注意这里的定语:被调试进程
KeWaitForSingleObject简析
pureman_mega的博客
12-29 5389
这个函数在进行同步操作时经常会用到,它内部的工作流程是什么样的呢?让我来试着分析分析吧. (以反编译的汇编代码片段为材料)NTSTATUS KeWaitForSingleObject( IN PVOID Object,//分发器对象(dispatcher object),像(event,mutex,semaphore,thread or timer) IN KWAIT_REASON
Wow64cpu!CpuSimulate的一点点分析
lif12345的专栏
06-29 2286
.text:0000000078B625B0 CpuSimulate proc near ; DATA XREF: .text:off_78B63168o .text:0000000078B625B0 ; .pdata:0000000078B650B4o .text:00000000...
vbwow64ext.rar
09-25
'VB6作为古懂级开发工具,不能与时俱进编译64位程序, ... '模块使用网上开源的WOW64EXT稍作修改,使其能在VB6中使用,仅64位系统可用 'VB6没有INT64类型整数,所有64位整数都使用CURRENCY类型,很多时候需要
rewolf.wow64ext.v1.0.0.4
03-20
1. **调试支持**:为开发者提供更深入的调试功能,如附加到32位进程,查看WOW64内部状态,以及跟踪系统调用。 2. **性能分析**:可能包含性能监视工具,帮助开发者识别32位应用在64位系统上的瓶颈和性能问题。 3. ...
x64进程远程hook,x64_远程调用函数,源码更新V2.3:2021/5/5-易语言
06-11
源码是以WoW64开源模块的基础上封装的其他的功能,不管您是转载还是使用请保留版权,源码在精益论坛免费发布只作为技术交流本人未获利,请不要用于非法途径,否则造成的任何后果与本人无关。 源码可直接调试启动,...
Delphi_2007_2009_WOW64_Debugger_Fix.zip
10-05
标题中的"Delphi_2007_2009_WOW64_Debugger_Fix.zip"表明这是一个针对Delphi 2007和2009开发环境的补丁,特别针对64位Windows(WOW64,即Windows on Windows 64-bit)平台的调试器问题。在64位Windows系统上,32位...
32位进程注入64位进程和32位进程.zip_32注入64_64 注入_64位注入_process inject_进程注入
07-14
32位进程在64位系统上由WoW64(Windows on Windows 64)子系统支持,它们之间存在隔离。因此,要实现32位进程注入到64位进程或者相反,需要特定的技术和策略。 1. **32位注入64位进程**:在64位操作系统中,32位...
vs2012运行c语言出现:无法查找或打开 PDB 文件
weixin_34208283的博客
01-04 485
1、点 调试 2、然后 选项和设置 3、右边勾上 启用源服务器支持 4、左边点 符号 5、把微软符号服务器勾 6、运行的时候等一下 莫慌!! 7、问题解决 转载于:https://blog.51cto.com/sellm/1107254...
How to debug Windows bugcheck 0x9F, parameter 3
lixiangminghate的专栏
06-01 1042
转自:Michelle Bergeron This post is for driver or kernel developers/enthusiasts who have encountered a Blue Screen of Death on Windows where thebugcheck code is 0x9F, DRIVER_POWER_STATE_FAILURE, and p...
Windbg内核调试之五: 一次利用Dump文件调试Deadlock的实战
wowolook的专栏
06-08 5753
http://www.cnblogs.com/Sonic2007/archive/2010/09/01/1541988.html 最近遇到项目的一个bug,安装产品之后系统hang住。大致的现象是系统logon之后,Taskbar显示,然后hang住,Ctrl+Alt+Del不能调出TaskManager,Mouse不能移动,硬盘LED不闪烁。由于机器不在手边,远程调试又极其慢(实际
试验1:观察Windows的内核模块、数据结构和函数
波波诸葛伟
12-30 1240
1,启动WinDBG的本地内核调试(File> Kernel Debug… > Local)。 2,键入.symfix c:\symbols设置符号服务器和用于存储符号文件的本地目录。 3,键入.sympath观察当前的符号路径。其结果应该如下所示: lkd> .sympath Symbol search pathis:SRV*c:\symbols*http://msdl.microsof
得到线程入口地址的方式
weixin_30909575的博客
01-13 492
要获取入口地址,可以用Native API: NtQueryInformationThread,以ThreadQuerySetWin32StartAddress为参数 具体代码: .h: #pragma once typedef LONG NTSTATUS; typedef NTSTATUS (WINAPI *NTQUERYINFORMATIONTHREAD)( HANDLE Th...
Windows x64内核中修改进程入口点
muy的专栏
07-05 2710
现如今Windows x64已经很普遍了。基于内核驱动,监视进程创建,在进程主线程启动之前修改其入口点以便执行一段自己的代码是十分有用的。本文以Windows 7 x64为基础,对这个问题进行了尝试。
Windows操作系统——WoW64
一个热爱逆向,喜爱学习、分享的猿。
03-24 3071
简介 64位操作系统的底层都是64位的,而在64位的Windows中是可以运行32位的应用程序。 为此提供支持的就是所谓的WoW64技术,全称即Windows 32-bit(Applications) on Windows 64-bit(OS)。 核心就是,在系统中同时包含32位程序和64位程序的运行环境(依赖的各种dll、注册表里的配置项),32位程序对系统运行环境的引用都被重定向到32位的运行环境。具体包括: system32重定向到SysWOW64 Program Files重定向到Prog
WOW64注入技术 实例
最新发布
06-13
WOW64(Windows 32-bit on Windows 64-bit)是一种在64位操作系统上运行32位应用程序的技术。WOW64注入技术是指将32位代码注入到64位进程中运行的技术,常用于实现一些特殊的功能或攻击。 以下是WOW64注入技术的一个实例: 1. 准备工作:编写一个简单的32位DLL,其中包含需要注入到64位进程中的代码。 2. 打开目标进程:使用OpenProcess函数打开目标64位进程,获取进程句柄。 3. 在目标进程中分配内存:使用VirtualAllocEx函数在目标进程中分配一块内存,用于存储注入的代码。 4. 将DLL写入目标进程:使用WriteProcessMemory函数将32位DLL的代码写入目标进程中分配的内存中。 5. 获取LoadLibrary函数地址:在64位进程中获取LoadLibrary函数的地址,用于加载注入的DLL。 6. 在目标进程中调用LoadLibrary:使用CreateRemoteThread函数在目标进程中创建一个远程线程,调用LoadLibrary函数,将注入的DLL加载到目标进程中。 7. 等待注入完成:使用WaitForSingleObject函数等待远程线程结束,确保注入完成。 8. 清理:使用VirtualFreeEx函数释放在目标进程中分配的内存,关闭目标进程句柄。 需要注意的是,WOW64注入技术可能会被一些杀软和安全软件检测到,因此在使用时需要谨慎,确保不会对系统造成损害。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值