蜜蜂. 发表于 2020-12-6 16:32

谢谢分享{:5_116:}

蜜蜂. 发表于 2020-12-6 16:40

本帖最后由 蜜蜂. 于 2020-12-6 16:45 编辑

Wow64进程:ntdll32.ZwOpenProcess -> wow64(wow64.dll wow64win.dll wow64cpu.dll)-> ntdll64.ZwOpenProcess
64位进程:ntdll64.ZwOpenProcess
64位进程 直接通过 syscall 进内核,而 wow64 进程需要 wow64层转换一下,最后通过 syscall 进内核
(ps:wow64层有一个地方可以做HOOK(wow64.dll 的 pfnWow64LogSystemService)),虽然没有 hook ntdll64 api 底层,但是要隐蔽很多

Minions丶 发表于 2021-1-8 10:55

过来看看,如何x86实现x64

独鲨 发表于 2021-1-8 12:03

学习一下{:5_116:}

colin1980 发表于 2021-1-8 12:12

学习一下 看看哦 感谢

yushicsm 发表于 2021-1-8 13:36

感谢分享{:5_116:}

flea033 发表于 2021-1-8 14:16

学习一下方法

凌晨两点半 发表于 2021-1-8 15:42

易语言应该不会有64位了

denjrg 发表于 2021-1-8 16:38

学习一下啊

mm933984 发表于 2021-1-8 19:43

大佬膜拜一下
页: 1 2 3 4 [5] 6 7 8 9 10 11 12 13 14
查看完整版本: 逆向分析wow64,以及如何在x86上调用x64代码