32位dbg中编辑的:

7711E9D3                                        | 6A                     | push                                                      |

7711E9D5                                        | E8               | call ntdll.7711E9DA                                         | call $

7711E9DA                                        |                  | add dword ptr ss:[esp],                                    |

7711E9DE                                        | CB                       | ret far                                                     |

6A  E8         CB

64位dbg中获取的:

00007FFC844B11DD                           | :B8        | mov rax,                      |

00007FFC844B11E7                           |                            | push rax                                      |

00007FFC844B11E8                           | :                        | push r8                                       |

00007FFC844B11EA                           | :                        | push r9                                       |

00007FFC844B11EC <ntdll.LdrpGetProcApphelp | :                        | push r10                                      |

00007FFC844B11EE                           | :                        | push r11                                      |

00007FFC844B11F0                           | :                        | push r12                                      |

00007FFC844B11F2                           | :                        | push r13                                      |

00007FFC844B11F4                           | :                        | push r14                                      | r14:"minkernel\\ntdll\\ldrinit.c"

00007FFC844B11F6                           | :                        | push r15                                      |

00007FFC844B11F8                           |                            | push rax                                      |

00007FFC844B11F9                           | E8                   | call ntdll.7FFC844B11FE                       | call $

00007FFC844B11FE                           | C74424             | mov dword ptr ss:[rsp+],                   | :'#'

00007FFC844B1206                           |  0D                    | add dword ptr ss:[rsp],D                      |

00007FFC844B120A                           | CB                           | ret far                                       |

00007FFC844B120B                           |                            | nop                                           |

 B8                           E8     C7           0D CB  

合成:

7711E9D3                                        | 6A                     | push                                                      |

7711E9D5                                        | E8               | call ntdll.7711E9DA                                         | call $

7711E9DA                                        |                  | add dword ptr ss:[esp],                                    |

7711E9DE                                        | CB                       | ret far                                                     |

7711E9DF                                        |                        | dec eax                                                     |

7711E9E0                                        | B8               | mov eax,                                            |

7711E9E5                                        |                        | inc esp                                                     |

7711E9E6                                        |                      | xor esp,dword ptr ds:[edx]                                  |

7711E9E8                                        |                    | adc dword ptr ds:[eax+],edx                               |

7711E9EB                                        |                        | push eax                                                    |

7711E9EC                                        |                        | inc ecx                                                     |

7711E9ED                                        |                        | push ecx                                                    |

7711E9EE                                        |                        | inc ecx                                                     |

7711E9EF                                        |                        | push edx                                                    |

7711E9F0                                        |                        | inc ecx                                                     |

7711E9F1                                        |                        | push ebx                                                    |

7711E9F2                                        |                        | inc ecx                                                     |

7711E9F3 <ntdll._LdrpForkProcess@0>             |                        | push esp                                                    |

7711E9F4                                        |                        | inc ecx                                                     |

7711E9F5                                        |                        | push ebp                                                    |

7711E9F6                                        |                        | inc ecx                                                     |

7711E9F7                                        |                        | push esi                                                    |

7711E9F8                                        |                        | inc ecx                                                     |

7711E9F9                                        |                        | push edi                                                    | edi:"LdrpInitializeProcess"

7711E9FA                                        |                        | push eax                                                    |

7711E9FB                                        | E8               | call ntdll.7711EA00                                         | call $

7711EA00                                        | C74424         | mov dword ptr ss:[esp+],                                 | :'#'

7711EA08                                        |  0D                | add dword ptr ss:[esp],D                                    |

7711EA0C                                        | CB                       | ret far                                                     |

7711EA0D                                        |                        | nop                                                         |

6A  E8         CB  B8                           E8     C7           0D CB  

取回来的栈: win10_64

$ ==>

   r15

$+      0000000000A6E940 0000000000A6FDA0

$+      0000000002C0A000

$+       00000000770E1FCC

$+      000000000000002B          

取回来的栈: win7_64

$ ==>    >

        r15

$+     >   0008EC80        0008FD20

$+     >   7EFDB000

$+     >           0018FD10

$+     >   778B01C4

wow64 32位进程中切换64位模式,取回64位寄存器值的更多相关文章

  1. Wow64(32位进程)注入DLL到64位进程

    转载自: https://blog.poxiao.me/p/wow64-process-inject-dll-into-x64-process/ 向其他进程注入DLL通常的做法是通过调用CreateR ...

  2. Windows是如何将64位Ntdll映射到32位进程的---转自简书

    今天我们探索一个问题: 64位的ntdll是如何被加载到WoW64下的32位进程?今天的旅程将会带领我们进入到Windows内核逻辑中的未知领域,我们将会发现32位进程的内存地址空间是如何被初始化的. ...

  3. Visual Studio远程调试监视器(MSVSMON.EXE)的32位版本不能用于调试64位进程或64位转储

    在VS2013中调试Silverlight项目时,提示:无法附加.Visual Studio远程调试监视器(MSVSMON.EXE)的32位版本不能用于调试64位进程或64位转储.请改用64位版本. ...

  4. CLR调试报错“Visual Studio远程调试监视器 (MSVSMON.EXE) 的 64 位版本无法调试 32 位进程或 32 位转储。请改用 32 位版本”的解决

    Win7 64位电脑上进行visual studio的数据库项目的CLR存储过程进行调试时,报错: ---------------------------Microsoft Visual Studio ...

  5. windows 32位系统中进程最大可用内存空间为3GB (转)

    http://msdn.microsoft.com/zh-cn/library/ms189334.aspx 进程地址空间 所有 32 位应用程序都有 4 GB 的进程地址空间(32 位地址最多可以映射 ...

  6. 64位进程调用32位dll的解决方法 / 程序64位化带来的问题和思考

    最近做在Windows XP X64,VS2005环境下做32位程序编译为64位程序的工作,遇到了一些64位编程中可能遇到的问题:如内联汇编(解决方法改为C/C++代码),long类型的变化,最关键的 ...

  7. 64位进程调用32位dll的解决方法

    64位进程调用32位dll的解决方法   最近做在Windows XP X64,VS2005环境下做32位程序编译为64位程序的工作,遇到了一些64位编程中可能遇到的问题:如内联汇编(解决方法改为C/ ...

  8. 关于32位程序在Win7&64位系统中连接Microsoft Excel数据源的问题

    最近在新公司电脑上跑以前的selenium测试框架的时候,抛出了如下的错误 出现的是ODBC Driver问题:[Microsoft][ODBC Driver Manager] Data source ...

  9. 第十七章——配置SQLServer(2)——32位和64位系统中的内存配置

    原文:第十七章--配置SQLServer(2)--32位和64位系统中的内存配置 前言: 本文讲述32位和64位系统中的内存配置,在SQLServer 2005/2008中,DBA们往往尝试开启AWE ...

随机推荐

  1. python学习第五十三天configParser模块的使用

    configParser 模块用于生成和修改常见配置文档,python 3.x为configParser,配置软件的常见配置格式 模块的用法 import configparser config=co ...

  2. 【LGR-063】洛谷11月月赛 I & MtOI2019 Ex Div.2 (A-C)

    [MtOI2019]黑蚊子多 : 按题意模拟 #include<iostream> #include<cstdio> #include<cstring> using ...

  3. TCP即时小通信

    package 第十二章; import java.io.*; import java.net.*; public class TcpServer { public static void main( ...

  4. 锋利的jQuery ——jQuery选择器(二)

    一.jQuery选择器 1)CSS选择器 CSS选择器有:1>标签选择器  E{CSS规则} 2>ID选择器   #ID{CSS规则} 3>类选择器  E.className{CSS ...

  5. vue项目1-pizza点餐系统7-路由之控制滚动行为

    一.在home组件中设置具体信息,设计样式 <template> <div class="row"> <div id="home" ...

  6. ntsysv - 用于配置运行级别的简单接口

    总览 SYNOPSIS ntsysv [--back] [--level <levels>] 描述 DESCRIPTION ntsysv 是个用于配置运行级别服务(也可通过 chkconf ...

  7. Ant Design -- 图片可拖拽效果,图片跟随鼠标移动

    Ant Design 图片可拖拽效果,图片跟随鼠标移动,需计算鼠标在图片中与图片左上角的X轴的距离和鼠标在图片中与图片左上角的Y轴的距离. constructor(props) { super(pro ...

  8. CentOS7 添加新用户并授权 root 权限

    参考文章:CentOS 7中添加一个新用户并授权 # root 用户操作 $ 普通用户操作 创建用户 # adduser USERNAME # passwd USERNAME (输入密码) 授权 ro ...

  9. :last-child----represents the last element among a group of sibling elements.

    CSS伪类 :last-child 代表在一群兄弟元素中的最后一个元素. 举个例子: 从代码和图可以看出:last-child选择了最后一个li标签. 同时,我们换另外一段代码,看看是否还有这样的效果 ...

  10. pandas、matplotlib、Numpy模块的简单学习

    目录 一.pandas模块 二.matplotlib模块 1.条形图 2. 直方图 3.折线图 4.散点图+直线图 三.numpy 一.pandas模块 pandas是BSD许可的开源库,为Pytho ...