最近,我处理了一个问题,在系统帐户下安装32位Office时没有发生注册表反射。这需要同时研究32位Office代码和实现注册表反射的Wow64代码。使用32位调试器附加到Wow64进程时,就像在32位计算机上调试32位进程一样;进程中没有64位二进制文件。但是,我们需要调试Wow64来调试注册表反射代码。为此,我们使用64位调试器附加到Wow64进程,它允许您查看Wow64二进制文件。

lm



        Base TimeStamp Module400000 42435b2a Mar 24 18:28:26 2005C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE



        77ec0000 45d6cc72 Feb17 03:35:46 2007C:\WINDOWS\system32\ntdll.dll



        6b000000 45d6943d Feb16 23:35:57 2007C:\WINDOWS\system32\wow64.dll



        6b280000 45d695f3 Feb16 23:43:15 2007C:\WINDOWS\system32\wow64win.dll



        78b80000 42438b7a Mar24 21:54:34 2005 C:\WINDOWS\system32\wow64cpu.dll

标签: none

添加新评论