IsWow64Process实现

最新推荐文章于 2025-09-24 23:04:44 发布
原创 最新推荐文章于 2025-09-24 23:04:44 发布 · 5k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

IsWow64Process是一个用于检测当前进程是否在WOW64环境下运行的函数,常见于64位Windows系统中。通过调用kernel32.dll的GetProcAddress获取该函数地址,并利用GetModuleHandle。本文介绍了IsWow64Process的使用方法及其内部实现,包括关键的NtQueryInformationProcess调用和结果判断。
使用IsWow64Process可以检测当前进程是否运行在WOW64环境下(WOW64 is the x86 emulator that allows Win32-based applications to run on 64-bit Windows),有些人也把它用来检测CPU位数(这用法是错误的)
在MSDN上也有这个函数的使用方法,当然我还是写了个,注意的是IsWow64Process第一个参数是一个有QUERY权限的进程句柄.
BOOL IsWow64Current()
{
	FARPROC fnIsWow64Process;
	BOOL bIsWow64;


	bIsWow64 = FALSE;
	fnIsWow64Process = GetProcAddress(GetModuleHandle(TEXT("kernel32.dll")), "IsWow64Process");


	if(fnIsWow64Process)
		if(((BOOL (WINAPI *)(HANDLE, PBOOL))fnIsWow64Process)(GetCurrentProcess(), &bIsWow64))
			return bIsWow64;
	return FALSE;
}
嗯哼~那么来看看IsWow64Process的实现吧~
KERNELBASE!IsWow64Process:
759f8c8e 8bff            mov     edi,edi
759f8c90 55              push    ebp
759f8c91 8bec            mov     ebp,esp
759f8c93 56              push    esi
759f8c94 6a00            push    0 //ReturnLength
759f8c96 6a04            push    4 //ProcessInformationLength
759f8c98 8d4508          lea     eax,[ebp+8]
759f8c9b 50              push    eax //ProcessInformation
759f8c9c 6a1a            push    1Ah    //ProcessInformationClass::ProcessWow64Information
759f8c9e ff7508          push    dword ptr [ebp+8] //ProcessHandle
759f8ca1 ff1528109f75    call    dword ptr [KERNELBASE!_imp__NtQueryInformationProcess (759f1028)]
759f8ca7 8bf0            mov     esi,eax
759f8ca9 85f6            test    esi,esi ;NtQueryInformationProcess失败
759f8cab 0f8c35170200    jl      KERNELBASE!IsWow64Process+0x1f (75a1a3e6)


KERNELBASE!IsWow64Process+0x27:
759f8cb1 8b4d0c          mov     ecx,dword ptr [ebp+0Ch]
759f8cb4 33c0            xor     eax,eax
759f8cb6 394508          cmp     dword ptr [ebp+8],eax
759f8cb9 0f95c0          setne   al
759f8cbc 8901            mov     dword ptr [ecx],eax //把结果放在第二个参数的指向


KERNELBASE!IsWow64Process+0x34:
759f8cbe 33c0            xor     eax,eax
759f8cc0 85f6            test    esi,esi
759f8cc2 0f9dc0          setge   al //return (esi >= 0);
759f8cc5 5e              pop     esi
759f8cc6 5d              pop     ebp
759f8cc7 c20800          ret     8


KERNELBASE!IsWow64Process+0x1f:
75a1a3e6 56              push    esi
75a1a3e7 e8b9c7fdff      call    KERNELBASE!BaseSetLastNTError (759f6ba5)
75a1a3ec e9cde8fdff      jmp     KERNELBASE!IsWow64Process+0x34 (759f8cbe)
于是乎~很简单实现了IsWow64Process(顺便学会set指令怎么用了)
IsWow64Process函数判断程序位数
tatorey的博客
07-25 2394
IsWow64Process函数判断程序位数 IsWow64Process返回值为TRUE&FALSE,在MSDN上的解释和定义如下: BOOL IsWow64Process( HANDLE hProcess, //目标进程句柄 PBOOL Wow64Process //反出值TRUE&FALSE ); The IsWow64Process function determines whether the specified process is running under WOW
C/C++ 获取Windows系统的位数32位或64位的实现代码
08-29
fnIsWow64Process = (LPFN_ISWOW64PROCESS)GetProcAddress(hKernel32, "IsWow64Process"); } } if (fnIsWow64Process) { return fnIsWow64Process(hProcess, Wow64Process); } else { return FALSE; ...
WOW64 IsWow64Process GetNativeSystemInfoWindows System32 SysWOW64
qq_41077484的博客
03-07 1072
所以综上所述,Wow6464bit的Windows系统里面的一个模拟器技术名字(32bitOS没有),它存在的意义是保证32bit的程式可以在64位Windows系统上正常运行。32位程式在32位Windows OS下运行、64位程式在64位Windows OS下运行、64位程式在ARM64位 Windows下运行。所以得出结论:当参数2值是false时,IsWow64Process这个方法并不能准确的判断出Windows OS的Bit。这个方式我比较建议使用,因为不管它对32和64位程式都是通用的。
PsGetProcessWow64Process 深度解析:Windows内核中的WOW64进程探测器
最新发布
fearhacker的专栏
09-24 457
本文介绍了Windows内核中的PsGetProcessWow64Process函数,该函数用于检测32位进程在64位系统中的运行情况。文章解析了函数特性、参数及实现原理,并提供了实战应用场景,包括进程类型检测、模块遍历和反调试等。同时强调了使用时的注意事项,如架构兼容性和内存访问安全。最后对比了PsGetProcessPeb函数,并给出防御滥用和逆向工程的建议。本文仅供学习参考,严禁用于非法用途。
判断操作系统及指定进程是32位还是64
云满笔记
02-06 1519
判断操作系统及指定进程是32位还是64
32位dll转64位工具_实战经验:使用IsWow64Process识别当前系统是32位还是64
weixin_39951112的博客
11-25 1597
问题有时候碰到一个需求:如何通过代码的方式,判断当前系统是32位还是64位的?直接上代码废话不多说,直接上代码,稍后进行解释。以上函数对当前系统是否为64位进行判断,因为当前所有系统只有32位和64位两种,所以,如果以上函数返回TRUE,则代表当前系统是64位的,反之,则是32位系统。原理解释第一段:函数首先对_WIN64宏进行判断,_WIN64是一个预定义宏,当编译目标平台为64位时,此宏会被定...
IsWow64并不能用来检测是否是Windows 32bit系统还是64bit系统
ldhscut的专栏
01-11 556
<br />如何当前操作系统是不是64位?如何判断当前应用程序是否在Wow64下运行?<br />首先什么是Wow64?很多朋友一看到64就认为这个方法是判断当前系统是否是64bit的,其实不然。Wow64是Windows-On-Windows64的意思,它是指在64位的操作系统上(不是指64位的CPU)运行32位应用程序的兼容平台。<br />下面是MSDN中一段IsWow64的应用程序:BOOL IsWow64() <br />{ <br />typedef BOOL (WINAPI *LPFN_ISW
BOOLEAN IsWow64 = (PsGetProcessWow64Process(EProcess) != NULL) ? TRUE : FALSE;
04-04
要判断一个进程是否运行在 WoW64 模式下,可以通过调用未文档化的函数 `PsGetProcessWow64Process` 来实现。此函数返回指向 `_EPROCESS_WOW64` 结构的指针,如果目标进程是一个 32 位应用程序并运行在 64 位 Windows...
delphi获得WINDOWS版本信息及32位或64
03-09
2. **IsWow64Process**: 用于检测当前进程是否在32位模式下运行于64位操作系统上(即WOW64)。如果是,那么系统就是64位的,但程序本身是32位的。例如: ```delphi function IsSystem64Bit: Boolean; var IsWow64: ...
易语言系统信息检测
08-21
通过阅读和学习这个源码,我们可以更深入地理解易语言系统信息检测的实现细节,包括如何调用系统API、如何设计用户界面,以及如何实现定时更新等。 综上所述,易语言系统信息检测不仅涉及到基础的编程概念,如事件...
易语言实现系统CPU位数的判断与源码解析
在易语言中,可以使用API函数`API_IsWow64Process`来判断当前操作系统运行的是否为64位版本,以及程序是否运行在一个32位进程的环境之下。这个函数的具体作用是检查一个进程是否在WOW64子系统下运行,WOW64是Windows...
obs64无法定位程序输入点IsWow64Process2
热门推荐
nownow_的博客
05-07 1万+
obs安装后,打开提示:obs64无法定位程序输入点IsWow64Process2。如果打开dll文件出现乱码,请使用hex-editor软件打开。
IsWow64Process 判断操作系统位数
十年磨一剑,霜刃未曾试!
10-16 4832
判断操作系统是不是64位 typedef BOOL (WINAPI *LPFN_ISWOW64PROCESS) (HANDLE, PBOOL); LPFN_ISWOW64PROCESS fnIsWow64Process = (LPFN_ISWOW64PROCESS)GetProcAddress(GetModuleHandle("kernel32"), "IsW
C#判断一个进程是不是64位的
weixin_30634661的博客
11-27 649
C#中的Environment 类有 Is64BitOperatingSystem 属性,可以判断当前操作系统是不是64bit的。还有Is64BitProcess 属性,可以判断当前进程是不是64bit的。 但是如果要判断别的进程是不是64bit的,就需要用windows API,IsWow64Process。 static class ProcessDetector ...
WOW64(判断32位程序运行在64位环境下)
weixin_30825199的博客
09-12 399
WOW64 是 Windows-32-on-Windows-64 的缩写。它为现有的 32 位应用程序提供了 32 位的模拟,可以使大多数 32 位应用程序在无需修改的情况下运行在 Windows 64 位版本上。它类似于旧的 WOW32 子系统,负责在 Windows 32 位版本下运行 16 位的代码 typedef BOOL (WINAPI *LPFN_ISWOW64PROCESS...
IsWow64Process函数理解的偏差
myjisgreat的专栏
06-13 4208
 IsWow64Process函数理解的偏差 搬运自我的百度空间 IsWow64Process并不像网上很多文章说的那样,可以直接判断进程的位数。其实他的实际含义是某个进程是不是在wow64虚拟环境下。 所以说各种可能的情况如下: 64-bit process on 64-bit Windows : FALSE 32-bit proc
VB6判断进程是否是64位.
weixin_30378623的博客
05-30 215
Option Explicit Private Declare Function IsWow64Process Lib "kernel32" (ByVal hProcess As Long, ByRef bIsNotX60 As Boolean) As Boolean Private Declare Function OpenProcess Lib "kernel32" (ByVal dw...
Wow64 环境检测
songbei6的博客
03-31 1748
1、使用 IsWow64Process2 说明 Determines whether the specified process is running under WOW64; also returns additional machine process and architecture information. 语法 BOOL IsWow64Process2( HANDLE hProcess...
Windows:判断进程32/64
憧憬,思考,奋斗,飞翔
04-21 1196
判断进程32/64
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值