简介

64位操作系统的基础为64位,尽管在64位Windows中支持了32位程序。

这是WW64技术促成的,通常称为WW64(OS)中的Windows 32-bit(应用软件)。

该系统有32比特和64比特的操作环境(依赖的平面图、登记配置),32比特的系统操作环境应用程序被转用到32位数的操作环境。

• SysWOW64系统32已被改道。
• 程序文件已被重新命名为程序文件( x86) 。
• HKLMSFTEWARE 改名为 HKLMSWAREWO6432 节点。

如何实现

要点如下:

1) 32位数码和64位数内核之间存在传输层。它被称为"击球手"形象的说，转移级别的作用是"让它失控" 和"让它走开"对于内核来说，几乎仿佛是64位数的应用程序而对于应用来讲，它会感觉它还在32位数的内核上运行

2) 转移层本身仅是64位数的代码(有32位数的指令被投进,以进行良好的测量)。见下文）。除了转接层外，Wow程序剩余用户状态模块必须达到32比特。包括内核32.dll和用户32.也正因为此，为了显示您对 WW64 的支持,在SysWaw64下的Windows系统目录中安装了32位数的DLL系统。我最近偷看了目前使用的64 Win7 SysWaw64目录。实际上有1.25GB可用。该目录包含32位元模块。它只是32个申请。尽管有64个目录名称。

顺便说一句,系统32目录已经下放,Win64有64位数模块。

DLLs与WW64s相连。
Wow64.dll:开发管理流程和线条,以连接到异常分布和Ntoskrnl出口、文件重定向和登记表重定向的基本系统。
Wow64Cpu.dll: 此文件提供处理器结构支持 。
Wow64Win.Dll拦截了 Win32k sys 以用户界面为主的用户界面系统电话。
不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,不,

跟踪中转过程

我们从一个32比特的API, USER 32.dll, 并观察它是如何去到64比特系统的64比特的实现代码:

这是一个服务网, 窗口 API 内部实现。 服务网用来呼叫系统服务, 1002 是服务号码 。

此代码应该使用像 Syscall 这样的命令来调用 。 尽管如此, 这里调用的一个函数指针是 fs 字段中的 c0 字段。 Fs 指向线线的环境块, 即 TEB 。

当您使用Windbg的 DT 命令查看 TEB 时,您可以看到 C0 正在被运往 WOW32Reeser:

如此名称所示, 此组件与 World of World of Worldcraft 有关, 因为它是保存此调用的函数地址的函数指针 。

分步骤调查表明,该功能指针指向以下各点:

这两行的信息范围很广, 代码属于Waw64cpu模块, 这是上文讨论的传输层的主要模块之一。 此命令的函数名称 X86SwitchTo64BitMode 清楚地表明它用于切换 。

请查看此命令的段落描述 。是33，也很特别，因此32个代码的选定代码段总是23个。事实上,它就是魔力。为了支持 Win64 x64 处理器,使用长模式运行 64 位码 。为了使用32位数的代码还有一种模型据说是32比特兼容的。CPU可以很容易地在长型和合适类型之间转换。遵循这样的跳跃准则就行了CPU将检查该段的描述。如果描述包含一个长的标记,因此,让我们进入漫长的模式。否则,你将被迫使用兼容模式。

在对jmp指示采取一步骤的后续行动之后,该指示被定为64, r着眼于:

注意指示的地址,00'7477271e, 与上面的jmp的偏差一致。

CupRernfrom SimullaedCode, 意思是“ 从虚拟仿真代码返回” 是一个有趣的函数名称 。