Hook深度研究:监视WOW64程序在系统中的执行情况

Part 1简介这篇文章是由三部分组成的系列文章之中的第一篇，该系列文章描述了在 WoW64应用程序(在64位Windows平台上运行的32位进程)中连接本机NTDLL时必须克服的困难。正如某些来源所记录的那样，WoW64进程包含两个版本的NTDLL。第一个是专用的32位版本，它将系统调转到WoW64环境，并在那里进行调整以适应x64 ABI。第二个本机64位版本，由WoW64环境调用，最终负责用户模式到内核模式的转换。由于在连接64位NTDLL时遇到了一些技术困难，大多数与安全相关的产品在这样的进程中只钩住了32位模块。唉，从攻击者的角度来看，绕过这些32位钩子与它们提供一些众所周知的技术帮助相比是微不足道的。尽管如此，为了调用系统并执行其他各种任务，最终这些技术中的大多数会调用NTDLL的本机(即64位)版本。因此，通过连接本机NTDLL，端点保护解决方案可以更好地 ………………………………