[讨论]x64系统下可以在32位程序中注入64位代码么？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
wertyuyuyu 雪币： 778 活跃值： (208) 能力值： ( LV9，RANK：260 ) 在线值：发帖 34 回帖 249 粉丝 0 关注私信	wertyuyuyu 4 2 楼 32位程序好像都加载了Ntdll.dll，wow64.dll，wow64win.dll，wow64cpu.dll。关键是这几个DLL都是64位的，32位程序怎么运行？我想可能是32位程序发出某个中断后，系统就从32位指令集切换到64位指令集，然后跳到这几个64位DLL上，这几个DLL再将32位程序的API调用转换成64位的API调用，因为32位程序进不了内核 2013-10-2 16:12 0
loqich 雪币： 952 活跃值： (1821) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 642 粉丝 0 关注私信	loqich 3 楼当然可以你跟踪一下32位系统下怎么调用api的过程就懂了其中就涉及了 32位指令和64位指令切换 2013-10-2 16:30 0
tishion 雪币： 496 活跃值： (286) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 4 楼不能。 ~~~~~ 2013-10-2 16:39 0
学者learner 雪币： 141 活跃值： (318) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 172 粉丝 0 关注私信	学者learner 5 楼我估计也不能。。感觉原理可能就像 32位API兼容16位API一样的原理吧（只是猜测，） 2013-10-2 19:12 0
誓言剑雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 249 粉丝 0 关注私信	誓言剑 6 楼如果我没记错的话，ring3下是读取不了32位程序的64位地址的。你进ring0倒是可以，不过到ring0你想干啥干啥了 32位程序调用api最后会在ntdll里面进入一个远跳转，将cs段设置为64位段，这是跳到wow64cpu里面再去执行64位的ntdll，然后再返回 2013-10-2 22:19 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 7 楼深入解析windows操作系统里面讲到这一点的。应该是不行的。 2013-10-2 22:27 0
孤山散人雪币： 211 活跃值： (118) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 132 粉丝 1 关注私信	孤山散人 8 楼 ring3 下你写不了>2G的地址的数据。 2013-10-3 01:06 0
skypismire 雪币： 75 活跃值： (638) 能力值： ( LV6，RANK：90 ) 在线值：发帖 95 回帖 703 粉丝 1 关注私信	skypismire 1 9 楼写64位的指令集是没问题，空间应该不行 2013-10-3 09:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
wertyuyuyu 雪币： 778 活跃值： (208) 能力值： ( LV9，RANK：260 ) 在线值：发帖 34 回帖 249 粉丝 0 关注私信	wertyuyuyu 4 2 楼 32位程序好像都加载了Ntdll.dll，wow64.dll，wow64win.dll，wow64cpu.dll。关键是这几个DLL都是64位的，32位程序怎么运行？我想可能是32位程序发出某个中断后，系统就从32位指令集切换到64位指令集，然后跳到这几个64位DLL上，这几个DLL再将32位程序的API调用转换成64位的API调用，因为32位程序进不了内核 2013-10-2 16:12 0
loqich 雪币： 952 活跃值： (1821) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 642 粉丝 0 关注私信	loqich 3 楼当然可以你跟踪一下32位系统下怎么调用api的过程就懂了其中就涉及了 32位指令和64位指令切换 2013-10-2 16:30 0
tishion 雪币： 496 活跃值： (286) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 4 楼不能。 ~~~~~ 2013-10-2 16:39 0
学者learner 雪币： 141 活跃值： (318) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 172 粉丝 0 关注私信	学者learner 5 楼我估计也不能。。感觉原理可能就像 32位API兼容16位API一样的原理吧（只是猜测，） 2013-10-2 19:12 0
誓言剑雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 249 粉丝 0 关注私信	誓言剑 6 楼如果我没记错的话，ring3下是读取不了32位程序的64位地址的。你进ring0倒是可以，不过到ring0你想干啥干啥了 32位程序调用api最后会在ntdll里面进入一个远跳转，将cs段设置为64位段，这是跳到wow64cpu里面再去执行64位的ntdll，然后再返回 2013-10-2 22:19 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 7 楼深入解析windows操作系统里面讲到这一点的。应该是不行的。 2013-10-2 22:27 0
孤山散人雪币： 211 活跃值： (118) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 132 粉丝 1 关注私信	孤山散人 8 楼 ring3 下你写不了>2G的地址的数据。 2013-10-3 01:06 0
skypismire 雪币： 75 活跃值： (638) 能力值： ( LV6，RANK：90 ) 在线值：发帖 95 回帖 703 粉丝 1 关注私信	skypismire 1 9 楼写64位的指令集是没问题，空间应该不行 2013-10-3 09:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复