逆向工程核心原理——第三十六章

64位计算

64位计算是32位的升级版。

64位cpu

理论上的寻址能力为2的64次方。

64位OS

与64位cpu配套的os（这里以微软为例），微软的64位os可以方便的向下兼容。

微软为了64位os向下兼容，推出了WOW64机制。

WOW64

在64位windows中，64位应用程序会加载kernel32.dll(32位)与ntdll.dll(64位)。而32位应用程序则会加载kernel32.dll(32位)与ntdll.dll(32位)。

而WOW64则会在32位应用程序加载ntdll.dll(32位)时，将API地址重定向ntdll.dll()64位：

文件夹结果：

在64位的windows文件夹结构中，会在System32文件夹中存放64位的系统文件，在SysWOW64文件夹中存放32位系统文件