调试运行在Wow64子系统下的程序----x64版windbg调试win32程序

最新推荐文章于 2024-03-08 10:37:46 发布
原创 最新推荐文章于 2024-03-08 10:37:46 发布 · 4.3k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍在Windbg中调试Win32程序时,如何使用.wow64exts扩展命令来揭示隐藏在Wow64子系统中的调用栈信息,使调试更加直观。

    大家有没有遇到过这种情况:程序崩溃了,windbg分析线程堆栈时,输出了一堆乱七八糟的调用栈。更烦心的是,这堆调用栈中根本找不到跟自己程序相关的信息。来看一个类似的场景:运行C:\Windows\SysWOW64\calc.exe (win32版的calc.exe),windbg(x64 bit)附加到calc.exe:

0:003> ~*kb
   0  Id: 2718.1c98 Suspend: 1 Teb: 00000000`7efdb000 Unfrozen
 # RetAddr           : Args to Child                                                           : Call Site
00 00000000`741fae90 : 00000000`00000000 00000000`7420342a 00000000`00000000 00000000`0005138e : wow64win!ZwUserGetMessage+0xa
01 00000000`7424d18f : 00000000`0017ef6c 00000000`7efdb000 00000000`7efdd000 00000000`741faef4 : wow64win!whNtUserGetMessage+0x30
02 00000000`741d2776 : 00000000`74b378d7 00000000`74240023 00000000`00200246 00000000`0017ef64 : wow64!Wow64SystemServiceEx+0xd7
03 00000000`7424d286 : 00000000`00000000 00000000`741d1920 00000000`770f3128 00000000`7712c4f1 : wow64cpu!ServiceNoTurbo+0x2d
04 00000000`7424c69e : 00000000`00000000 00000000`00000000 00000000`74244b10 00000000`7ffe0030 : wow64!RunCpuSimulation+0xa
05 00000000`771243c3 : 00000000`002c3b20 00000000`00000000 00000000`77222e70 00000000`770f7550 : wow64!Wow64LdrpInitialize+0x42a

   1  Id: 2718.4d8 Suspend: 1 Teb: 00000000`7efd8000 Unfrozen
 # RetAddr           : Args to Child                                                           : Call Site
00 00000000`741d283e : 00000000`74b3a965 00000000`00000023 00000000`00000246 00000000`0373f30c : wow64cpu!CpupSyscallStub+0x9
01 00000000`7424d286 : 00000000`00000000 00000000`741d1920 00000000`00000000 00000000`00000000 : wow64cpu!WaitForMultipleObjects32+0x3b
02 00000000`7424c69e : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : wow64!RunCpuSimulation+0xa
03 00000000`771898c4 : 00000000`00000000 00000000`7efdf000 00000000`7efd8000 00000000`00000000 : wow64!Wow64LdrpInitialize+0x42a

   2  Id: 2718.2078 Suspend: 1 Teb: 00000000`7efd5000 Unfrozen
 # RetAddr           : Args to Child                                                           : Call Site
00 00000000`741d283e : 00000000`74b38e63 00000000`00000023 00000000`00000246 00000000`03bcf9fc : wow64cpu!CpupSyscallStub+0x9
01 00000000`7424d286 : 00000000`00000000 00000000`741d1920 00000000`00000000 00000000`00000000 : wow64cpu!WaitForMultipleObjects32+0x3b
02 00000000`7424c69e : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : wow64!RunCpuSimulation+0xa
03 00000000`771898c4 : 00000000`00000000 00000000`7efdf000 00000000`7efd5000 00000000`00000000 : wow64!Wow64LdrpInitialize+0x42a

    Windows x64系统为了兼容win32程序,加入了Wow64子系统。Wow子系统Hook win32的系统调用,在Wow64Cpu/Wow64/Wow64win三个dll中实现相应的系统调用功能。所以尽管calc.exe并不显示依赖这些dll,但是在windbg输出的调用栈中仍会找到这些模块信息。

    既然Wow64子系统只是Hook win32程序的API,那么他必然不会修改程序本身的实现,所以calc.exe的调用信息只是被隐藏在Wow64Cpu/Wow64/Wow64win这3个dll的背后。那么如何把他们暴露到阳光下?只要2条windbg命令就能实现:

0:003> .load wow64exts
0:003> !wow64exts.sw
Switched to Guest (WoW) mode

    wow64exts命令扩展随windbg一起发布,用于调试运行在Wow64子系统中的win32程序,默认并不加载,需要使用.load wow64exts加载。加载后通过命令!wow64exts.sw切换模式,切换后就像在x86系统上调试win32程序一样:

0:003:x86> ~*kb

   0  Id: 2718.1c98 Suspend: 1 Teb: 7efdb000 Unfrozen
 # ChildEBP RetAddr  Args to Child              
00 0017ef64 74b3790d 0017f068 00000000 00000000 USER32!NtUserGetMessage+0x15
01 0017ef80 00871cbc 0017f068 00000000 00000000 USER32!GetMessageW+0x33
02 0017fcfc 0088219a 00870000 00000000 00483faf calc!WinMain+0x878
03 0017fd8c 75d5343d 7efde000 0017fdd8 772e9802 calc!_initterm_e+0x1a1
04 0017fd98 772e9802 7efde000 77afdc5b 00000000 KERNEL32!BaseThreadInitThunk+0xe
05 0017fdd8 772e97d5 00882d6c 7efde000 00000000 ntdll_772b0000!__RtlUserThreadStart+0x70
06 0017fdf0 00000000 00882d6c 7efde000 00000000 ntdll_772b0000!_RtlUserThreadStart+0x1b

   1  Id: 2718.4d8 Suspend: 1 Teb: 7efd8000 Unfrozen
 # ChildEBP RetAddr  Args to Child              
00 0373f9ac 76dc171a 00000002 0373f9fc 00000001 ntdll_772b0000!ZwWaitForMultipleObjects+0x15
01 0373fa48 75d519fc 0373f9fc 0373fa70 00000000 KERNELBASE!WaitForMultipleObjectsEx+0x100
02 0373fa90 74b40882 00000002 7efde000 00000000 KERNEL32!WaitForMultipleObjectsExImplementation+0xe0
03 0373fae4 74b40b81 000000f4 0373fb44 ffffffff USER32!RealMsgWaitForMultipleObjectsEx+0x14d
04 0373fb00 71057910 00000001 0373fb44 00000000 USER32!MsgWaitForMultipleObjects+0x1f
05 0373fb4c 7105782f 00000000 00000000 00000000 gdiplus!BackgroundThreadProc+0x59
06 0373fb64 75d5343d 00832218 0373fbb0 772e9802 gdiplus!DllRefCountSafeThreadThunk+0x10
07 0373fb70 772e9802 00832218 74cbda33 00000000 KERNEL32!BaseThreadInitThunk+0xe
08 0373fbb0 772e97d5 7105781f 00832218 00000000 ntdll_772b0000!__RtlUserThreadStart+0x70
09 0373fbc8 00000000 7105781f 00832218 00000000 ntdll_772b0000!_RtlUserThreadStart+0x1b

   2  Id: 2718.2078 Suspend: 1 Teb: 7efd5000 Unfrozen
 # ChildEBP RetAddr  Args to Child              
00 03bcfa8c 72a3a41c 00000001 03bcfaec 00000001 ntdll_772b0000!ZwWaitForMultipleObjects+0x15
01 03bcfb34 75d5343d 00000000 03bcfb80 772e9802 WINMM!timeThread+0x3c
02 03bcfb40 772e9802 00000000 7404da03 00000000 KERNEL32!BaseThreadInitThunk+0xe
03 03bcfb80 772e97d5 72a3a3e0 00000000 00000000 ntdll_772b0000!__RtlUserThreadStart+0x70
04 03bcfb98 00000000 72a3a3e0 00000000 00000000 ntdll_772b0000!_RtlUserThreadStart+0x1b

#  3  Id: 2718.2734 Suspend: 1 Teb: 7ef9d000 Unfrozen
 # ChildEBP RetAddr  Args to Child              
00 0287f8c0 00000000 00000000 00000000 00000000 ntdll_772b0000!RtlUserThreadStart

从这次windbg的输出中可以看到熟悉的模块名字,就连寄存器也以x86架构的形式输出:

0:003:x86> r
eax=771e9390 ebx=00000000 ecx=00000000 edx=00000000 esi=00000000 edi=00000000
eip=772c01e4 esp=0287f8bc ebp=00000000 iopl=0         nv up ei pl nz na po nc
cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00000202
ntdll_772b0000!RtlUserThreadStart:
772c01e4 89442404        mov     dword ptr [esp+4],eax ss:002b:0287f8c0=00000000

最后,再次执行!wow64exts.sw命令,windbg又切换回x64模式,输出的内容跟文章开头一样~

参考:windows Internal 6th

Debugging WOW64

Windows 内核之双机调试windbg命令大全
玄道的网安博客
12-29 1200
在今后会有相当的实验环节,对于windows内核实验,调试环境是必不可少的,本章讲解双机调试的环境搭建与常见的WINDBG指令。 准备材料: VMware workstation : [https://www.vmware.com/go/downloadworkstation-cn] windows 7 x64 ISO (请使用种子下载工具进行下载): [ed2k://|file|cn_windows_7_ultimate_with_sp1_x64_dvd_u_677408.iso|34205573
x64进程远程hook,x64_远程调用函数,源码更新V1.8.7:2021/4/16-易语言
06-11
wow64_hook 源码历史更新 --------------------------------------------------------------- 2021/4/16  模块源码1.8.7 更新: 1:重新架构了穿插汇编指令,优化了一些代码和流程 2:在 远程hook64指令_安装()时新增可回调的3个自定义参数值,这些值在回调接口的[寄存器64.自定义值1;2;3]里可获取到该值 3:修复 寻找无效8字节指令地址()中一个重要BUG,此BUG极大可能导致之前本在 远程hook64指令_安装()时即导致目标程序崩溃的现象 本次更新比较重要 建议使用者更新到此本使用............ --------------------------------------------------------------- 2021/4/15  模块源码1.8.6 更新: 1:新增3组函数:X64_取模块代码区起始地址(),X64_取模块入口地址(),X64_取模块代码执行段大小() 2:自定义类型:模块信息64,的成员构成新增改动为 以下,在枚举模块中亦可直接取得 成员 模块基址, 长整数型, , , 模块映像的内存地址 也称为句柄 成员 模块长度, 整数型, , , 整个模块文件长度 成员 模块入口, 长整数型, , , 模块入口函数地址 如 Mian/DllMain 成员 模块代码入口, 长整数型, , , 模块代码执行区起始地址 成员 模块代码长度, 整数型, , , 模块代码执行区的长度 成员 模块名称, 文本型, , , 文件名称 成员 模块路径, 文本型, , , 完整的路径地址 3:新消息接口()远程返回_调用回调子程序()优化了代码严谨性,减少hook目标崩溃的可能性 4:寻找无效8字节指令地址()由之前的全模块查找 改动为 在模块代码执行区查找 5:改写模块实列为 一对多的模式 6:模块实列操作控件的方式由变量改为堆内存,避免引起多线程自身崩溃 7:模块实列 对 recv,recvfrom两个函数的hook方式由原先 在回调内 暂停recv-->recv_call-->恢复recv,的方式改为经过特殊改造的 recv_call,这个call经过特殊处理,在recv回调函数内调用,用来取得真实长度,这个调用会绕过hook位置,所以不会触发 recv回调,详见源码 8:修改了一些已知可能出现的问题 --------------------------------------------------------------- 2021/4/12 模块源码 v1.8.2更新 1:修复 x64_远调用函数()在 易语言 主线程调用时造成消息无法回调,导致易语言主线程窗口卡死的问题。      感谢楼下易友发现的BUG,已经第一时间更新 --------------------------------------------------------------- 2021/4/12 模块源码 v1.8.1更新 1:修复 hook全部卸载时的流程写法的一个错误,由于句柄的提前关闭导致多个hook点卸载不干净的问题 2:改写了消息回调时线程传参的代码优化,优化了其他一些小问题 3:  鉴于很多朋友需要,改写了模块自带实列,对TCP,UDP的两组封包函数做了hook实列写法 4:列子中同样增加对x64_远调用函数()的应用写了几个列子,如使用套接字取得本地或远端IP端口API调用的的应用实列 5:本hook模块不支持非模块内存区hook,如申请的动态分配页等,不是不能支持,只是觉得没有任何意义,对这方面有需求的,自行改写模块源码使用 提醒:hook回调函数中尽量减少耗时代码,时间越长返回越慢,回调中谨慎操作控件,如必须要用到可参考源码中实列写法采用线程操作 --------------------------------------------------------------- 2021/3/1   模块源码v1.6更新: 1:修复  x64_远程调用函数()命令,在没有提供 寄存器 参数时,没有返回值的BUG。 --------------------------------------------------------------- 2021/2/28 模块源码v1.5更新: 一:修复win7 64位系统下枚举模块 出现部分模块长度出现负数的问题,从而导致部分win7用户不能使用 二:强化 远程hook64指令_安装 的稳定性:        1,穿插代码中增加对标志位的保护,避免hook位置长度下一条指令为跳转时产生跳转错乱的问题,强化了hook任意位置的定位        2,因为穿插代码中会调用AP
32位/64位WINDOWS驱动之windbg双机调试
a756598009的博客
06-24 4521
windbg双机调试环境配置第一步关掉虚拟机如果有打印机请移除打印机(打印机会占用端口)添加-添加串行端口-完成选择使用命名的通道-名字为 \.\pipe\abc123(对应下面的COM1) -确定-在开启虚拟机在虚拟机命令行里面输入 msconfig 来到系统配置 -引导-第二个高级选项 -勾选调试-勾选调试窗口-选择COM1;-确认-重新启动-启动的时候选择下面的调试系统来到自己电脑系统搜索windbg
一句话总结Windbg 32位本和64本的选择
weixin_34356310的博客
11-16 336
用惯了Vsiual Studio的兄弟们可能会因为先入为主的原因以为所有的调试器都应该像它那样,其实不然,当你安装Debugging Tools for Windows的时候,你将发现有两个系列的工具,一系列32位的工具和一系列64位的工具。这让人觉得和费解,因为在我们安装Microsoft Visual Studio的时候你根本不需要考虑32位还是64位。 如果你正使用windbg调试工具...
windbg+vmware调试驱动 x86 x64 (适合主机为xp且vmware为6.5的环境)
ytfrdfiw的专栏
10-23 6187
近来一直在学习驱动相关内容,所以自然牵涉到调试驱动的问题。查阅资料甚多,但还未发现有能把整个调试框架串起来的资料,现做一个总结,请各位指正,谢谢!    一、安装windbg+vmware,配置主机与虚拟机 1、windbg是微软提供的免费的内核级的调试工具,到处可以下载 2、vmware不是免费的,不过在网上可以找到破解。我用的是6.5的。 3、完成了上面二个软件的安装后。进入下一步工
PC软件问题定位工具-windbg
u012910342的博客
03-05 950
1. windbg工具使用。windbg是微软的工具,可以从百度或微软官网获取。工具支持:1. 分析dmp文件.2. 定位CPU、内存、崩溃等异常问题。3. 代替VS调试C++程序
windbg调试 wow64 内核dump
weixin_34343689的博客
11-22 511
由于64位系统的普及,使用windbg调试内核dump时,经常会碰到 wow64的情况。在这种情况下,就不太好查看线程的32位用户栈。这里提供一些命令用于解决这个问题。 1、 找到你需要查看的 thread地址; 2、 .thread /w [thread addr],命令解释看帮助文档; 3、 .reload /user 4、 Kb 操作过后用户的32位栈显示出来了。 注意,此时wi...
Windbg 32位本和64本的选择
mergerly的专栏
02-22 6315
用惯了Vsiual Studio的兄弟们可能会因为先入为主的原因以为所有的调试器都应该像它那样,其实不然,当你安装Debugging Tools for Windows的时候,你将发现有两个系列的工具,一系列32位的工具和一系列64位的工具。这让人觉得和费解,因为在我们安装Microsoft Visual Studio的时候你根本不需要考虑32位还是64位。 一、了解调试的机器类型 如果你正使
Windows 10 64位系统下WinDbg调试工具安装与使用
而 x86 本则主要用于 32 位系统或调试运行WOW64 子系统中的 32 位程序。虽然现代主流系统已普遍采用 64 位架构,但在某些遗留系统维护或跨平台测试中,仍需使用 x86 调试器来确保兼容性和准确性。两个架构本...
解决VC6在Win7-64位下的兼容问题
12-12
微软为了支持32位应用,提供了 WoW64(Windows on Windows 64子系统,使得32位程序可以在64位系统上运行。然而,这个子系统并不完美,尤其是在处理某些旧软件时,例如VC6的调试器。 1. **启用兼容模式**:首先...
Windows系统中32位与64位应用的运行机制解析
在现代计算机系统中,32位和64位应用程序的兼容与运行是一个关键问题。本文将深入探讨Windows系统中相关的运行机制,包括注册表分离、模拟技术、系统调用、异常处理等方面。 #### 1. 注册表分离机制 为了在不修改32...
vxhook 3.9.12.15 X64 接受消息 发送文本 发送图片 删群成员
10-19
最新vx-hook-3.9.12.15 X64 新增:删除群成员 功能:接收消息 发送文本 发送图片 发送文件 调用了wow 64模块和 精易模块,wow64模块和源码已打包 精易模块在论坛下载即可。
PCI-DASK.dll和PCI-DASK64.dll使用上有区别吗
最新发布
04-18
-64 位系统上运行遗留 32 位应用程序时(通过 WOW64 子系统- 示例代码片段: ```c // 32位程序调用示例 HINSTANCE hDLL = LoadLibrary(TEXT("PCI-DASK.dll")); typedef U16 (CALLBACK* D2K_REGISTER_...
Win32开发 - windbg调试命令
骑着蜗牛找马儿
06-19 703
windbg分析dump文件 k :显示当前调用堆栈 kn:带栈编号显示当前调用堆栈 kb : 打印出前3个函数参数的当前调用堆栈 kb 5: 只显示最上的5层调用堆栈 !uniqstack :显示所有线程的调用堆栈 转:http://www.cnblogs.com/kekec/archive/2012/12/02/2798020
windbg分析运行64位环境下的32位程序的dump
我爱密码学
12-17 5439
windbg命令如下1.   .load wow64exts2.   !sw3.   ~* kvnf
wow64
a31602222的博客
11-04 677
WOW64的32位程序其实拥有64程序的全部功能包括32注入64位、枚举64位进程模块、Hook64位模块、调用64位API等等等等....因为WOW64程序不是完全的虚拟化的,是伪虚拟化,本身就是一个64位进程只是自己以为是32位程序而已就如黑客帝国里面一样,只要你意识到了,就能超越你认为所不能的。RtlGetNativeSystemInformation = _NtWow64G...
windbg command !wow64exts.sw
Johny的专栏
10-24 2935
!wow64exts.sw
"用wow64exts调试64位任务管理器抓取的32位程序的dump"
weixin_30338461的博客
06-23 218
博客搬到了fresky.github.io - Dawei XU,请各位看官挪步。最新的一篇是:"用wow64exts调试64位任务管理器抓取的32位程序的dump"。 转载于:https://www.cnblogs.com/fresky/p/4595364.html...
Windows WoW64浅析
u010551008的博客
03-08 1354
在默认情况下,32位组件访问32位视图,64位组件访问64位视图,这为32位和64位组件提供了一个安全的环境,并且将32位应用程序的状态与64位应用程序的状态隔开来。由于X64是X86扩展,从32位代码向64位代码切换并不是那么困难,代码段描述符告诉处理器将代码当作X86代码还是X64代码,32位寄存器其实就是64位寄存器忽略高一半内容,32位模式RAM的4GB的编址和64位模式低4GB一样,因此从X86代码调用到X64代码,所有需要做的就是调用一个X64段选择子即完成了切换。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值