Explorer.exeのThunkデータを読む
-
13-12-2019 - |
質問
Explorer.exeで少しiatフッキングをしようとしています。SPECS:Windows 7 x 64、Visual C ++。C:\ Windows \ Explorer.exeを除いて、私の選択の実行可能ファイルからThunkデータを読むことができるところにそれを作りました。私はそのプログラムを実行するとき、私はその実行可能ファイルからメモリを読むのにアクセス違反を受け取ります。ただし、C:\ Windows \ System32 \ Explorer.exeとC:\ windows \ syswow64 \ explorer.exeに対してこれを実行すると、問題がありません。どうしてこれなの?C:\ windows \ explorer.exe他のExplorer.exeの1つにいくつかのシンボリックリンクはいくつかありますか?このファイルを読むことから私にどのようなものがあるかもしれませんか?
解決
Windows 7 x64システムC:\windows\explorer.exe
は64ビットバイナリPE32+
フォーマットですが、c:\windows\syswow64\explorer.exe
は32ビットのバイナリ、PE32
フォーマットです。アプリケーションは、PE32
とPE32+
フォーマットの両方を読み取るように設計されていますか?
およびC:\Windows\System32\Explorer.exe
コピーへのリダイレクトである32ビットプロセスからc:\windows\syswow64\explorer.exe
を開くとき。64ビットプロセスからc:\windows\system32\explorer.exe
が存在しません。