首页
社区
课程
招聘
如何判断转储文件是在 32 位系统还是 64 位系统下生成的?
发表于: 2023-10-15 19:24 9840

如何判断转储文件是在 32 位系统还是 64 位系统下生成的?

2023-10-15 19:24
9840

曾经在 2022 年分析过一个崩溃转储,文章在这里。在那个案例中,堆空间大小将近 4GB。根据上次的结论,这应该是一个运行在 64 位系统下的 32 位进程崩溃产生的转储文件。这让我有了一个疑问?怎么从进程转储文件中得知进程是 32 位的还是 64 位的?如果是 32 位进程,怎么判断是运行在 32 位系统上还是运行在 64 位系统上呢?

说明: 64 位进程只能运行在 64 位系统下,不能运行在 32 位系统下。如果进程是 64 位的,那么系统一定是 64 位的。

判断进程是 32 位进程还是 64 位进程比较简单。通过很多地方都可以判断。

根据寄存器进行判断。

运行在 32 位系统上的进程,并没有用到 gs 寄存器,gs 的值一般为 0

如果 gs 的值不是 0,说明是 32 位进程运行在 64 位系统上或者是 64 位进程运行在 64 位系统上。

具体是 32 位进程还是 64 位进程,可以通过 r 命令查看寄存器进行判断,如果是 32 位寄存器(Exx),说明是 32 位进程。如果是 64 位寄存器(Rxx),说明是 64 位进程。

使用 !dh 命令查看模块的文件头信息,如果显示了 14C machine (i386) 或者 characteristic 下显示了 32 bit word machine 说明是 32 位进程。如果显示了 8664 machine (X64) 说明是 64 位进程。

说明: !dh 的输出很长,可以用如下命令过滤 .shell -ci "!dh -f module_name" findstr "machine"

compare-32-64-bit-process

使用 lm 命令查看模块,如果模块中有 wow64cpu, wow64win, wow64 中的一个,说明是 32 位进程运行在 64 位系统下。

如果不包含,或者是 32 位进程运行在 32 位系统上,或者是 64 位进程运行在 64 位系统上。具体是哪种情况,可以通过查看寄存器位数进行判断。

说明: 如果是 32 位进程运行在 64 位系统上, 45 有可能不准确。

如果进程是 64 位的,其运行的系统一定是 64 位的。如果进程是 32 位的,其运行的系统可能是 32 位的,也可能是 64 位的。如果进程是 32 位的,有可能运行在 32 位系统上,也有可能运行在 64 位系统上。接下来只关心 32 位进程是否运行在 64 位系统上的情况。

通过 !peb 命令查看环境变量进行判断

如果环境变量名包含 PROCESSOR_ARCHITEW6432,说明是 32 位进程运行在 64 系统上。

如果环境变量名以 W6432 结尾(例如, CommonProgramW6432PROCESSOR_ARCHITEW6432ProgramW6432 等)或者名字中包含 (x86)(例如, CommonProgramFiles(x86)ProgramFiles(x86) 等)说明是 64 位系统。

通过 lm 查看模块进行判断

如果包含 wow64, wow64cpu, wow64win, wowcon, wow64base 中的一个模块,说明是 32 位进程运行在 64 系统上。

通过 gs 寄存器判断

运行在 32 位系统上的进程,并没有用到 gs 寄存器,gs 的值一般为 0。如果 gs 的值不是 0,说明 64 位系统。


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 3
支持
分享
最新回复 (1)
雪    币: 3004
活跃值: (30861)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
感谢分享
2024-1-9 10:23
1
游客
登录 | 注册 方可回帖
返回
//