逆向分析wow64，以及如何在x86上调用x64代码

蜜蜂. · 发表于 2020-12-6 16:32

谢谢分享

蜜蜂. · 发表于 2020-12-6 16:40

本帖最后由蜜蜂. 于 2020-12-6 16:45 编辑

Wow64进程：ntdll32.ZwOpenProcess -> wow64（wow64.dll wow64win.dll wow64cpu.dll）-> ntdll64.ZwOpenProcess
64位进程：ntdll64.ZwOpenProcess
64位进程直接通过 syscall 进内核，而 wow64 进程需要 wow64层转换一下，最后通过 syscall 进内核
（ps：wow64层有一个地方可以做HOOK（wow64.dll 的 pfnWow64LogSystemService）），虽然没有 hook ntdll64 api 底层，但是要隐蔽很多

Minions丶 · 发表于 2021-1-8 10:55

过来看看，如何x86实现x64

独鲨 · 发表于 2021-1-8 12:03

学习一下

colin1980 · 发表于 2021-1-8 12:12

学习一下看看哦感谢

yushicsm · 发表于 2021-1-8 13:36

感谢分享

flea033 · 发表于 2021-1-8 14:16

学习一下方法

凌晨两点半 · 发表于 2021-1-8 15:42

易语言应该不会有64位了

denjrg · 发表于 2021-1-8 16:38

学习一下啊

mm933984 · 发表于 2021-1-8 19:43

大佬膜拜一下

		自动登录	找回密码
密码			立即注册

[原创逆向图文] 逆向分析wow64，以及如何在x86上调用x64代码