32位dbg中编辑的:

7711E9D3                                        | 6A                     | push                                                      |

7711E9D5                                        | E8               | call ntdll.7711E9DA                                         | call $

7711E9DA                                        |                  | add dword ptr ss:[esp],                                    |

7711E9DE                                        | CB                       | ret far                                                     |

6A  E8         CB

64位dbg中获取的:

00007FFC844B11DD                           | :B8        | mov rax,                      |

00007FFC844B11E7                           |                            | push rax                                      |

00007FFC844B11E8                           | :                        | push r8                                       |

00007FFC844B11EA                           | :                        | push r9                                       |

00007FFC844B11EC <ntdll.LdrpGetProcApphelp | :                        | push r10                                      |

00007FFC844B11EE                           | :                        | push r11                                      |

00007FFC844B11F0                           | :                        | push r12                                      |

00007FFC844B11F2                           | :                        | push r13                                      |

00007FFC844B11F4                           | :                        | push r14                                      | r14:"minkernel\\ntdll\\ldrinit.c"

00007FFC844B11F6                           | :                        | push r15                                      |

00007FFC844B11F8                           |                            | push rax                                      |

00007FFC844B11F9                           | E8                   | call ntdll.7FFC844B11FE                       | call $

00007FFC844B11FE                           | C74424             | mov dword ptr ss:[rsp+],                   | :'#'

00007FFC844B1206                           |  0D                    | add dword ptr ss:[rsp],D                      |

00007FFC844B120A                           | CB                           | ret far                                       |

00007FFC844B120B                           |                            | nop                                           |

 B8                           E8     C7           0D CB  

合成:

7711E9D3                                        | 6A                     | push                                                      |

7711E9D5                                        | E8               | call ntdll.7711E9DA                                         | call $

7711E9DA                                        |                  | add dword ptr ss:[esp],                                    |

7711E9DE                                        | CB                       | ret far                                                     |

7711E9DF                                        |                        | dec eax                                                     |

7711E9E0                                        | B8               | mov eax,                                            |

7711E9E5                                        |                        | inc esp                                                     |

7711E9E6                                        |                      | xor esp,dword ptr ds:[edx]                                  |

7711E9E8                                        |                    | adc dword ptr ds:[eax+],edx                               |

7711E9EB                                        |                        | push eax                                                    |

7711E9EC                                        |                        | inc ecx                                                     |

7711E9ED                                        |                        | push ecx                                                    |

7711E9EE                                        |                        | inc ecx                                                     |

7711E9EF                                        |                        | push edx                                                    |

7711E9F0                                        |                        | inc ecx                                                     |

7711E9F1                                        |                        | push ebx                                                    |

7711E9F2                                        |                        | inc ecx                                                     |

7711E9F3 <ntdll._LdrpForkProcess@0>             |                        | push esp                                                    |

7711E9F4                                        |                        | inc ecx                                                     |

7711E9F5                                        |                        | push ebp                                                    |

7711E9F6                                        |                        | inc ecx                                                     |

7711E9F7                                        |                        | push esi                                                    |

7711E9F8                                        |                        | inc ecx                                                     |

7711E9F9                                        |                        | push edi                                                    | edi:"LdrpInitializeProcess"

7711E9FA                                        |                        | push eax                                                    |

7711E9FB                                        | E8               | call ntdll.7711EA00                                         | call $

7711EA00                                        | C74424         | mov dword ptr ss:[esp+],                                 | :'#'

7711EA08                                        |  0D                | add dword ptr ss:[esp],D                                    |

7711EA0C                                        | CB                       | ret far                                                     |

7711EA0D                                        |                        | nop                                                         |

6A  E8         CB  B8                           E8     C7           0D CB  

取回来的栈: win10_64

$ ==>

   r15

$+      0000000000A6E940 0000000000A6FDA0

$+      0000000002C0A000

$+       00000000770E1FCC

$+      000000000000002B          

取回来的栈: win7_64

$ ==>    >

        r15

$+     >   0008EC80        0008FD20

$+     >   7EFDB000

$+     >           0018FD10

$+     >   778B01C4

wow64 32位进程中切换64位模式,取回64位寄存器值的更多相关文章

  1. Wow64(32位进程)注入DLL到64位进程

    转载自: https://blog.poxiao.me/p/wow64-process-inject-dll-into-x64-process/ 向其他进程注入DLL通常的做法是通过调用CreateR ...

  2. Windows是如何将64位Ntdll映射到32位进程的---转自简书

    今天我们探索一个问题: 64位的ntdll是如何被加载到WoW64下的32位进程?今天的旅程将会带领我们进入到Windows内核逻辑中的未知领域,我们将会发现32位进程的内存地址空间是如何被初始化的. ...

  3. Visual Studio远程调试监视器(MSVSMON.EXE)的32位版本不能用于调试64位进程或64位转储

    在VS2013中调试Silverlight项目时,提示:无法附加.Visual Studio远程调试监视器(MSVSMON.EXE)的32位版本不能用于调试64位进程或64位转储.请改用64位版本. ...

  4. CLR调试报错“Visual Studio远程调试监视器 (MSVSMON.EXE) 的 64 位版本无法调试 32 位进程或 32 位转储。请改用 32 位版本”的解决

    Win7 64位电脑上进行visual studio的数据库项目的CLR存储过程进行调试时,报错: ---------------------------Microsoft Visual Studio ...

  5. windows 32位系统中进程最大可用内存空间为3GB (转)

    http://msdn.microsoft.com/zh-cn/library/ms189334.aspx 进程地址空间 所有 32 位应用程序都有 4 GB 的进程地址空间(32 位地址最多可以映射 ...

  6. 64位进程调用32位dll的解决方法 / 程序64位化带来的问题和思考

    最近做在Windows XP X64,VS2005环境下做32位程序编译为64位程序的工作,遇到了一些64位编程中可能遇到的问题:如内联汇编(解决方法改为C/C++代码),long类型的变化,最关键的 ...

  7. 64位进程调用32位dll的解决方法

    64位进程调用32位dll的解决方法   最近做在Windows XP X64,VS2005环境下做32位程序编译为64位程序的工作,遇到了一些64位编程中可能遇到的问题:如内联汇编(解决方法改为C/ ...

  8. 关于32位程序在Win7&64位系统中连接Microsoft Excel数据源的问题

    最近在新公司电脑上跑以前的selenium测试框架的时候,抛出了如下的错误 出现的是ODBC Driver问题:[Microsoft][ODBC Driver Manager] Data source ...

  9. 第十七章——配置SQLServer(2)——32位和64位系统中的内存配置

    原文:第十七章--配置SQLServer(2)--32位和64位系统中的内存配置 前言: 本文讲述32位和64位系统中的内存配置,在SQLServer 2005/2008中,DBA们往往尝试开启AWE ...

随机推荐

  1. 通过QT查找Word中的关键字,并做高亮或删除操作

    最近由于项目需要,要用QT操作Word文档.具体的工作需求:在指定的Word文档(*.doc文件/*.docx文件)中查找关键字,找到后做高亮操作或者直接删除操作,然后另存为到别的目录(表示这个文件被 ...

  2. 洛谷P1823 [COI2007] Patrik 音乐会的等待(单调栈+二分查找)

    洛谷P1823 [COI2007] Patrik 音乐会的等待(单调栈+二分查找) 标签:题解 阅读体验:https://zybuluo.com/Junlier/note/1333275 这个题不是很 ...

  3. linux下安装phpunit

    安装pear 的命令如下: $ wget http://pear.php.net/go-pear.phar $ php go-pear.phar 如果报出PHP Warning:  file_exis ...

  4. 06: django+celery+redis

    目录: 1.1 Celery介绍 1.2 celery 组件 1.3 安装相关包 与 管理命令 1.4 celery与Django执行异步任务 1.5 在django中使用计划任务功能 1.1 Cel ...

  5. (Windows)Python第三方库手动安装教程(以lxml库为例)

    案例前提:已安装Python 已安装pip 1.进入官网https://www.lfd.uci.edu/~gohlke/pythonlibs/,搜索lxml库,下载到本地(放到Python目录下的Sc ...

  6. Scala学习笔记(5)类

    1.简单类和无参方法 calss Counter{ private var value = 0  //必须初始字段 def increment(){value +=1} //方法默认是公有的 def ...

  7. Vue 变量,成员,属性监听

    Vue变量 <!DOCTYPE html> <html lang="zh"> <head> <meta charset="UTF ...

  8. How Does Caching Work in AFNetworking? : AFImageCache & NSUrlCache Explained

    http://blog.originate.com/blog/2014/02/20/afimagecache-vs-nsurlcache/

  9. Docker学习笔记--传送门(持续更新)

    1.ubuntu下安装docker:  https://www.cnblogs.com/salmonLeeson/p/11609699.html 2.为docker配置国内镜像加速器:https:// ...

  10. intel RDT技术管理cache和memory_bandwidth

    主页:https://www.intel.com/content/www/us/en/architecture-and-technology/resource-director-technology. ...