IsWow64Process函数理解的偏差

最新推荐文章于 2025-06-03 10:06:06 发布
最新推荐文章于 2025-06-03 10:06:06 发布
阅读量4.1k 收藏 2
点赞数 4
CC 4.0 BY-SA版权
分类专栏: Windows API Hook 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/myjisgreat/article/details/46481497
本文深入解析了IsWow64Process函数的实际用途,并纠正了对其功能的常见误解。它详细阐述了该函数如何区分不同位数的进程在64位和32位Windows系统上的行为,特别是对于32位程序在32位Windows系统上的返回值解释。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >



IsWow64Process函数理解的偏差

搬运自我的百度空间


    IsWow64Process并不像网上很多文章说的那样,可以直接判断进程的位数。其实他的实际含义是某个进程是不是在wow64虚拟环境下。
    所以说各种可能的情况如下:
    64-bit process on 64-bit Windows : FALSE
    32-bit process on 64-bit Windows : TRUE
    32-bit process on 32-bit Windows : FALSE

    注意上面的最后一项,32位程序在32位Windows上这个函数返回的是FALSE。所以说这个函数不是对所有的32位进程返回TRUE,而是只有在wow64环境的32位程序返回TRUE。


    使用Process Explorer查看线程的函数调用堆栈去排查程序高CPU占用问题
    dvlinker的技术专栏
    09-12 1万+
    详细讲述如何使用Process Explorer查看线程的函数调用堆栈去排查程序高CPU占用问题。
    使用Process Explorer/Process Hacker和Windbg初步定软件高CPU占用问题
    热门推荐
    dvlinker的技术专栏
    10-30 1万+
    详细讲述如何使用Process Explorer/Process Hacker和Windbg排查软件高CPU占用问题。
    IsWow64Process函数判断程序
    tatorey的博客
    07-25 2332
    IsWow64Process函数判断程序IsWow64Process返回值为TRUE&FALSE,在MSDN上的解释和定义如下: BOOL IsWow64Process( HANDLE hProcess, //目标进程句柄 PBOOL Wow64Process //反出值TRUE&FALSE ); The IsWow64Process function determines whether the specified process is running under WOW
    IsWow64Process实现
    埋vizee的墓
    02-05 4994
    使用IsWow64Process可以检测当前进程是否运行在WOW64环境下(WOW64 is the x86 emulator that allows Win32-based applications to run on 64-bit Windows),有些人也把它用来检测CPU数(这用法是错误的) 在MSDN上也有这个函数的使用方法,当然我还是写了个,注意的是IsWow64Process第一
    WOW64 IsWow64Process GetNativeSystemInfoWindows System32 SysWOW64
    qq_41077484的博客
    03-07 1021
    所以综上所述,Wow6464bit的Windows系统里面的一个模拟器技术名字(32bitOS没有),它存在的意义是保证32bit的程式可以在64Windows系统上正常运行。32程式在32Windows OS下运行64程式在64Windows OS下运行64程式在ARM64 Windows运行。所以得出结论:当参数2值是false时,IsWow64Process这个方法并不能准确的判断出Windows OS的Bit。这个方式我比较建议使用,因为不管它对32和64程式都是通用的。
    32dll转64工具_实战经验:使用IsWow64Process识别当前系统是32还是64
    weixin_39951112的博客
    11-25 1549
    问题有时候碰到一个需求:如何通过代码的方式,判断当前系统是32还是64的?直接上代码废话不多说,直接上代码,稍后进行解释。以上函数对当前系统是否为64进行判断,因为当前所有系统只有3264两种,所以,如果以上函数返回TRUE,则代表当前系统64的,反之,则是32系统。原理解释第一段:函数首先对_WIN64宏进行判断,_WIN64是一个预定义宏,当编译目标平台为64时,此宏会被定...
    obs64无法定程序输入点IsWow64Process2
    nownow_的博客
    05-07 9104
    obs安装后,打开提示:obs64无法定程序输入点IsWow64Process2。如果打开dll文件出现乱码,请使用hex-editor软件打开。
    C/C++ 获取Windows系统数3264的实现代码
    08-29
    在上面的代码中,我们首先使用 GetModuleHandle 函数获取 kernel32.dll 库的句柄,然后使用 GetProcAddress 函数获取 IsWow64Process 函数的地址。如果成功,我们就可以使用这个函数来判断当前系统数。 在实际...
    使用Process Explorer、System Informer(Process Hacker)和Windbg工具排查软件高CPU占用问题
    最新发布
    dvlinker的技术专栏
    06-03 1万+
    本文详细介绍如何使用Process Explorer、System Informer(Process Hacker)和Windbg工具排查项目中遇到的高CPU占用问题。
    VB6判断进程是否是64.
    weixin_30378623的博客
    05-30 199
    Option Explicit Private Declare Function IsWow64Process Lib "kernel32" (ByVal hProcess As Long, ByRef bIsNotX60 As Boolean) As Boolean Private Declare Function OpenProcess Lib "kernel32" (ByVal dw...
    win10 X64 可用的钩子函数
    07-26
    The Minimalistic API Hooking Library for x64/x86,win10 X64 可用
    IsWow64Process 判断操作系统
    十年磨一剑,霜刃未曾试!
    10-16 4794
    判断操作系统是不是64 typedef BOOL (WINAPI *LPFN_ISWOW64PROCESS) (HANDLE, PBOOL); LPFN_ISWOW64PROCESS fnIsWow64Process = (LPFN_ISWOW64PROCESS)GetProcAddress(GetModuleHandle("kernel32"), "IsW
    Wow64 环境检测
    songbei6的博客
    03-31 1707
    1、使用 IsWow64Process2 说明 Determines whether the specified process is running under WOW64; also returns additional machine process and architecture information. 语法 BOOL IsWow64Process2( HANDLE hProcess...
    Win10 Hook 进程创建的研究
    myjisgreat的专栏
    11-21 8494
    Win7甚至在它之前开始,想要hook进程创建已经不能简单的HookCreateProcessInternalW这一个函数了,因为Vista开始引入了UAC机制。如果一个进程想要通过UAC弹窗创建管理员进程,hook这个进程的CreateProcessInternalW已经不起作用,我在几年前的博文《Win7/VistaHook CreateProcess 的特别之处》(http://blog
    VT笔记(2)突破patchguard保护完成X64Hook
    kernweak的博客
    06-24 9743
    win10,2018新年版后好像不支持了? MSR hook MSR (Model Specific Registers)是CPU 的一组64 寄存器,可以分别通过RDMSR 和WRMSR 两条指令进行读和写的操作,前提要在ECX 中写入MSR 的地址(MSR地址就像一个宏STAR,LSTAR,CSTAR,SFMASK)。对于RDMSR 指令,将会返回相应的MSR 中64bit 信息到(ED...
    windows 键盘记录器(win10下测试成功)
    3D模型素材库
    07-23 6998
    源码很简单,主要就是python黑帽子中键盘记录器的内容。 操作系统环境是win10 64,环境python2.7, 用到的第三方库pyHook,pythoncom,win32clipboard。这三个库文章最后有资源。 先看运行效果 从上图中可以清楚看到,首先我在记事本中输入了一些文字,接着打开了Edge浏览器,在百度中搜索了一些内容。 下面是源码 # coding=utf-8 from ctypes import * import pythoncom import pyHook import wi
    window下键盘监控api函数详解
    Coding Life
    08-07 7062
    在实际应用中,键盘监控是一种很常见的技术,它包括按键的记录、按键的过滤、按键的修改(映射)等。比方说,我们想统计用户的击键情况,这个就是按键的记录;我们想屏蔽某些系统键(例如Alt键、Win键),这个是按键的过滤;我们想改变按键的值,例如按下A,出来的是Z,在例如按下A,出来按键的组合SDFG等(貌似这个在游戏中比较多,有些游戏的大绝招都比较难按,用这个一劳永逸),这个是按键的修改。   键
    判断操作系统是32还是64
    jiangqin115的专栏
    05-07 1907
    1判断操作系统是32还是64 //方法I: BOOL IsWow64() { //函数IsWow64Process()用于确定指定进程是否运行64操作系统的32环境(Wow64)下 //如果该进程是32进程,运行64操作系统,该值为true,否则为false,具体如下: //32bit程序跑在32bit系统下,返回0. //32bit程序跑在64bit系统下,是wow64模式
    IsWow64Process
    04-02
    ### 关于 `IsWow64Process` 函数 `IsWow64Process` 是 Windows API 中的一个函数,用于判断指定的进程是否作为基于 WOW64 的 32 应用程序运行64 版本的操作系统上。此功能允许开发者检测当前环境并适配不同的执行逻辑。 #### 函数原型 以下是该函数的标准定义: ```c BOOL IsWow64Process( HANDLE hProcess, PBOOL Wow64Process ); ``` - **hProcess**: 进程句柄,表示要查询的目标进程。如果目标是当前进程,则可以传递 `GetCurrentProcess()` 返回的结果。 - **Wow64Process**: 输出参数,指向布尔变量。当返回值为 TRUE 时,表明目标进程是一个 WOW64 应用程序;否则不是。 #### 返回值说明 成功调用后会返回非零值(TRUE),失败则返回零(FALSE)。可以通过 `GetLastError` 获取具体错误原因[^5]。 #### 使用场景举例 下面展示如何利用这个函数来区分操作系统架构以及应用自身的兼容模式: ```cpp #include <windows.h> #include <stdio.h> typedef BOOL (WINAPI *LPFN_ISWOW64PROCESS)(HANDLE, PBOOL); int main() { LPFN_ISWOW64PROCESS fnIsWow64Process; BOOL bIsWow64 = FALSE; // 动态加载 iswow64process 函数指针 HMODULE hMod = GetModuleHandle(TEXT("kernel32")); fnIsWow64Process = (LPFN_ISWOW64PROCESS)GetProcAddress(hMod, "IsWow64Process"); if(NULL != fnIsWow64Process){ if(!fnIsWow64Process(GetCurrentProcess(), &bIsWow64)){ printf("Failed to get WOW64 status.\n"); } else{ if(bIsWow64){ printf("The process is running under WOW64\n"); } else{ printf("The process is not running under WOW64\n"); } } } else{ printf("Function 'IsWow64Process' could not be located in kernel32.dll\n"); } return 0; } ``` 上述代码片段展示了动态链接库方法获取函数地址的过程,并通过实际调用来验证当前进程是否处于 WOW64 环境下运行[^6]。 #### 结合其他引用内容扩展理解 虽然本题主要讨论的是 `IsWow64Process` 函数本身的信息,但是也可以联系到之前提到的一些相关内容做进一步补充解释。例如,在多线程环境中创建新子进程时可能涉及到安全属性设置问题[^2],或者是在不同操作系统的上下文中考虑特定行为差异[^3]。另外关于内存管理方面也有专门的数据结构描述了详细的统计信息[^4]。
    评论
    添加红包

    请填写红包祝福语或标题

    红包个数最小为10个

    红包金额最低5元

    当前余额3.43前往充值 >
    需支付:10.00
    成就一亿技术人!
    领取后你会自动成为博主和红包主的粉丝 规则
    hope_wisdom
    发出的红包
    实付
    使用余额支付
    点击重新获取
    扫码支付
    钱包余额 0

    抵扣说明:

    1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
    2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

    余额充值