用PE工具查询是32位。https://s21.ax1x.com/2024/10/30/pABoESP.png 打开进程看却是64位,刚接触逆向想请帮忙解释学习一下。 https://s21.ax1x.com/2024/10/30/pABoVQf.png 却是, 要用
1.windows的兼容性模式: ·当你使用PE(Portable Executable)工具查询一个程序时,它可能会告诉你这是一个32位的程 序。但是,当你查看进程时,它显示为64位。这可能是因为该程序设计为可以在64位操作系统 上以兼容模式运行。在64位版本的Vindows上,32位应用程序通常是通过WoW64(Windows 32位_on_Windows64位)子系统来运行的。 2.WoW64(Windows32位_on_Windows64位): ·WoW64是Windows操作系统的一个组件,它允许在64位版本的Windows上运行32位应用程序。 当你运行一个32位程序时,操作系统实际上会为这个程序创建一个64位的进程,并在其中运行 32位的代码。这就是为什么你在任务管理器中看到的是64位的进程。 3.混合模式执行: ·有些应用程序可能包含32位和64位的代码。例如,一个应用程序的主程序可能是32位的,但它 可能会加载64位的插件或动态链接库(DLL)。
