32位dbg中编辑的:

7711E9D3                                        | 6A                     | push                                                      |

7711E9D5                                        | E8               | call ntdll.7711E9DA                                         | call $

7711E9DA                                        |                  | add dword ptr ss:[esp],                                    |

7711E9DE                                        | CB                       | ret far                                                     |

6A  E8         CB

64位dbg中获取的:

00007FFC844B11DD                           | :B8        | mov rax,                      |

00007FFC844B11E7                           |                            | push rax                                      |

00007FFC844B11E8                           | :                        | push r8                                       |

00007FFC844B11EA                           | :                        | push r9                                       |

00007FFC844B11EC <ntdll.LdrpGetProcApphelp | :                        | push r10                                      |

00007FFC844B11EE                           | :                        | push r11                                      |

00007FFC844B11F0                           | :                        | push r12                                      |

00007FFC844B11F2                           | :                        | push r13                                      |

00007FFC844B11F4                           | :                        | push r14                                      | r14:"minkernel\\ntdll\\ldrinit.c"

00007FFC844B11F6                           | :                        | push r15                                      |

00007FFC844B11F8                           |                            | push rax                                      |

00007FFC844B11F9                           | E8                   | call ntdll.7FFC844B11FE                       | call $

00007FFC844B11FE                           | C74424             | mov dword ptr ss:[rsp+],                   | :'#'

00007FFC844B1206                           |  0D                    | add dword ptr ss:[rsp],D                      |

00007FFC844B120A                           | CB                           | ret far                                       |

00007FFC844B120B                           |                            | nop                                           |

 B8                           E8     C7           0D CB  

合成:

7711E9D3                                        | 6A                     | push                                                      |

7711E9D5                                        | E8               | call ntdll.7711E9DA                                         | call $

7711E9DA                                        |                  | add dword ptr ss:[esp],                                    |

7711E9DE                                        | CB                       | ret far                                                     |

7711E9DF                                        |                        | dec eax                                                     |

7711E9E0                                        | B8               | mov eax,                                            |

7711E9E5                                        |                        | inc esp                                                     |

7711E9E6                                        |                      | xor esp,dword ptr ds:[edx]                                  |

7711E9E8                                        |                    | adc dword ptr ds:[eax+],edx                               |

7711E9EB                                        |                        | push eax                                                    |

7711E9EC                                        |                        | inc ecx                                                     |

7711E9ED                                        |                        | push ecx                                                    |

7711E9EE                                        |                        | inc ecx                                                     |

7711E9EF                                        |                        | push edx                                                    |

7711E9F0                                        |                        | inc ecx                                                     |

7711E9F1                                        |                        | push ebx                                                    |

7711E9F2                                        |                        | inc ecx                                                     |

7711E9F3 <ntdll._LdrpForkProcess@0>             |                        | push esp                                                    |

7711E9F4                                        |                        | inc ecx                                                     |

7711E9F5                                        |                        | push ebp                                                    |

7711E9F6                                        |                        | inc ecx                                                     |

7711E9F7                                        |                        | push esi                                                    |

7711E9F8                                        |                        | inc ecx                                                     |

7711E9F9                                        |                        | push edi                                                    | edi:"LdrpInitializeProcess"

7711E9FA                                        |                        | push eax                                                    |

7711E9FB                                        | E8               | call ntdll.7711EA00                                         | call $

7711EA00                                        | C74424         | mov dword ptr ss:[esp+],                                 | :'#'

7711EA08                                        |  0D                | add dword ptr ss:[esp],D                                    |

7711EA0C                                        | CB                       | ret far                                                     |

7711EA0D                                        |                        | nop                                                         |

6A  E8         CB  B8                           E8     C7           0D CB  

取回来的栈: win10_64

$ ==>

   r15

$+      0000000000A6E940 0000000000A6FDA0

$+      0000000002C0A000

$+       00000000770E1FCC

$+      000000000000002B          

取回来的栈: win7_64

$ ==>    >

        r15

$+     >   0008EC80        0008FD20

$+     >   7EFDB000

$+     >           0018FD10

$+     >   778B01C4

wow64 32位进程中切换64位模式,取回64位寄存器值的更多相关文章

  1. Wow64(32位进程)注入DLL到64位进程

    转载自: https://blog.poxiao.me/p/wow64-process-inject-dll-into-x64-process/ 向其他进程注入DLL通常的做法是通过调用CreateR ...

  2. Windows是如何将64位Ntdll映射到32位进程的---转自简书

    今天我们探索一个问题: 64位的ntdll是如何被加载到WoW64下的32位进程?今天的旅程将会带领我们进入到Windows内核逻辑中的未知领域,我们将会发现32位进程的内存地址空间是如何被初始化的. ...

  3. Visual Studio远程调试监视器(MSVSMON.EXE)的32位版本不能用于调试64位进程或64位转储

    在VS2013中调试Silverlight项目时,提示:无法附加.Visual Studio远程调试监视器(MSVSMON.EXE)的32位版本不能用于调试64位进程或64位转储.请改用64位版本. ...

  4. CLR调试报错“Visual Studio远程调试监视器 (MSVSMON.EXE) 的 64 位版本无法调试 32 位进程或 32 位转储。请改用 32 位版本”的解决

    Win7 64位电脑上进行visual studio的数据库项目的CLR存储过程进行调试时,报错: ---------------------------Microsoft Visual Studio ...

  5. windows 32位系统中进程最大可用内存空间为3GB (转)

    http://msdn.microsoft.com/zh-cn/library/ms189334.aspx 进程地址空间 所有 32 位应用程序都有 4 GB 的进程地址空间(32 位地址最多可以映射 ...

  6. 64位进程调用32位dll的解决方法 / 程序64位化带来的问题和思考

    最近做在Windows XP X64,VS2005环境下做32位程序编译为64位程序的工作,遇到了一些64位编程中可能遇到的问题:如内联汇编(解决方法改为C/C++代码),long类型的变化,最关键的 ...

  7. 64位进程调用32位dll的解决方法

    64位进程调用32位dll的解决方法   最近做在Windows XP X64,VS2005环境下做32位程序编译为64位程序的工作,遇到了一些64位编程中可能遇到的问题:如内联汇编(解决方法改为C/ ...

  8. 关于32位程序在Win7&64位系统中连接Microsoft Excel数据源的问题

    最近在新公司电脑上跑以前的selenium测试框架的时候,抛出了如下的错误 出现的是ODBC Driver问题:[Microsoft][ODBC Driver Manager] Data source ...

  9. 第十七章——配置SQLServer(2)——32位和64位系统中的内存配置

    原文:第十七章--配置SQLServer(2)--32位和64位系统中的内存配置 前言: 本文讲述32位和64位系统中的内存配置,在SQLServer 2005/2008中,DBA们往往尝试开启AWE ...

随机推荐

  1. uboot第二阶段分析1

    一. uboot第二阶段初识 1.1. uboot第二阶段应该做什么 a. 概括来讲uboot第一阶段主要就是初始化了SoC内部的一些部件(譬如看门狗.时钟),然后初始化DDR并且完成重定位. b.  ...

  2. 51nod1769 Clarke and math 2

    题目 实际上就是要求\(f*I^k\). 因为\(I^k\)是一个积性函数,所以我们只需要考虑如何求\(I^k(p^a)\). 把这个东西转化成一个长度为\(k\)的序列,每一位是\(\frac{i_ ...

  3. python中,a=10.0 b=10.0 a is b 为什么输出是false

    >>>a=10.0>>>b=10.0>>>a is bFalse为什么当a=10,b=10时,a is b输出的是True呢? >>& ...

  4. 【源码解读】pix2pix(一):训练

    源码地址:https://github.com/mrzhu-cool/pix2pix-pytorch 相比于朱俊彦的版本,这一版更加简单易读 训练的代码在train.py,开头依然是很多代码的共同三板 ...

  5. Java中静态变量和实例变量的区别

    静态变量属于类的级别,而实例变量属于对象的级别. 主要区别有两点: 1,存放位置不同 类变量随着类的加载存在于方法区中,实例变量随着对象的对象的建立存在于堆内存中. 2,生命周期不同 类变量的生命周期 ...

  6. ECMAScript 6 学习笔记(一)

    ECMAScript 6简介 ECMAScript 6.0(以下简称ES6)是JavaScript语言的下一代标准,已经在2015年6月正式发布了.它的目标,是使得JavaScript语言可以用来编写 ...

  7. 自己写的SqlHelper,提示在调用"Fill"前,SelectCommand 属性尚未初始化.错误

    namespace 操作数据{    class SqlHelper    {        public DataSet SqlTODs(string cmdstring)        {     ...

  8. TCP/IP四层协议

    1.数据链路层 数据链路层实现了网卡接口的网络驱动程序,处理数据在物理媒介(以太网,令牌环)上的传输,常用协议包含ARP(地址解析协议),RARP(逆地址解析协议)两个协议,他们实现了IP地址和物理地 ...

  9. 1.利用canvas画一个太极图

    <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title> ...

  10. 计算视图相对坐标时convertPoint:toView: ,UIApplication sharedApplication - keyWindow is nil?

    UIWindow *window = [UIApplication sharedApplication].keyWindow; window 为nil的原因:在指定rootViewController ...