如何欺骗程序让它们认为它们在 32 位系统下运行？

Question 1

经过几个小时的思考，我终于搞清楚了 Windows API（以及未记录的 API）以及指针等，终于找到了解决办法。这有点棘手，因为IsWow64Process（）在程序到达入口点之前，Windows 就会在每个可执行文件中调用它，如果您只是反映 FALSE，它就会崩溃。

但我注意到 Window 的调用来自已加载的模块，这样我可以限制我的钩子仅在调用者是可执行文件时反映 FALSE。

以下是关于如何完成此操作的一个小指南：

获取我的钩子的返回地址，并找出哪个模块调用了我的钩子函数：

wchar_t RetAdr[256];
wsprintf(RetAdr, L"%p", _ReturnAddress());

HMODULE hModule;
GetModuleHandleEx( GET_MODULE_HANDLE_EX_FLAG_FROM_ADDRESS, RetAdr , &hModule);

获取 ModuleFileName，检查它是否包含“.exe”，如果它是可执行文件，则将“Wow64Process”变量设置为 FALSE：

wchar_t mName[MAX_PATH];
GetModuleFileName(hModule, mName, sizeof(mName));

const wchar_t *shortName = L".exe";
BOOL res = TRUE;

if(wcsstr(mName,shortName) == NULL)
     res = Orig_IsWow64Process(hProcess, Wow64Process);
else
    *Wow64Process = FALSE;


return res;

但还有另一个问题，IsWow64Process（）仅存在于 Windows 64 位操作系统中，因此大多数实际检查操作系统是否为 64 位的程序都不会运行该功能，而是询问该功能是否可用，从而确定系统是 32 位还是 64 位。

他们这样做的方式是通过调用获取进程地址()。

很遗憾，获取进程地址()在我的源代码中用于查找函数地址，挂钩该函数当然会导致不良行为，因此我们深入研究了未记录的 API，我们发现Kernel32.获取进程地址()调用ntdll.LdrGetProcedureAddress()。

在网上读了一些内容后，我现在确信挂钩是安全的LdrGetProcedureAddress()。

在我们的上钩LdrGetProcedureAddress()函数中我们检查调用者是否要求IsWow64Process并告诉调用者该函数的作用不是存在！

现在，我们需要将钩子注入到每个（新）进程中，我决定使用AppInit_DLL 库方法，因为我已经熟悉它并且它可以很好地完成工作。

有很多关于AppInit_DLL 库在网上，但它们都涉及 32 位，并且它们的解决方案在我的 Windows 7 64 位操作系统上实际上不起作用。为了方便您，以下是 32 位和 64 位 AppInit_DLL 的正确注册表路径：

32 位：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows

64 位：HKEY_LOCAL_MACHINE\Software\哇6432节点\Microsoft\Windows NT\当前版本\Windows

我们设置加载应用程序初始化_DLL为 0x1 和AppInit_DLL 库到我们的 DLL 路径。

这是最终的源代码，它使用mhook 库：

#include "stdafx.h"
#include "mhook/mhook-lib/mhook.h"

#include <intrin.h>

#ifdef __cplusplus
extern "C"
#endif
void * _ReturnAddress(void);

#pragma intrinsic(_ReturnAddress)

//////////////////////////////////////////////////////////////////////////
// Defines and typedefs
typedef NTSTATUS (NTAPI* _ldrGPA)(IN HMODULE ModuleHandle, IN PANSI_STRING FunctionName                 
OPTIONAL, IN WORD Oridinal OPTIONAL, OUT PVOID *FunctionAddress ); 

typedef BOOL (WINAPI *_IsWow64Process)(
  __in   HANDLE hProcess,
  __out  PBOOL Wow64Process
);


//////////////////////////////////////////////////////////////////////////
// Original function

PVOID HookWow, OrigWow; 

_IsWow64Process Orig_IsWow64Process = (_IsWow64Process)
GetProcAddress(GetModuleHandle(L"Kernel32"), "IsWow64Process");

_ldrGPA Orig_ldrGPA = (_ldrGPA)
GetProcAddress(GetModuleHandle(L"ntdll"), "LdrGetProcedureAddress");

//////////////////////////////////////////////////////////////////////////
// Hooked function
NTSTATUS NTAPI Hooked_ldrGPA(IN HMODULE ModuleHandle, IN PANSI_STRING FunctionName 
OPTIONAL, IN WORD Oridinal OPTIONAL, OUT PVOID *FunctionAddress)
{
//16:00 check if FunctionName equals IsWow64Process then return NULL

return Orig_ldrGPA(ModuleHandle,OPTIONAL FunctionName, OPTIONAL Oridinal,      
                        FunctionAddress); 
}



BOOL WINAPI HookIsWow64Process(
  __in   HANDLE hProcess,
  __out  PBOOL Wow64Process
)
{
HMODULE hModule;

wchar_t RetAdr[256];
wsprintf(RetAdr, L"%p", _ReturnAddress());

GetModuleHandleEx( GET_MODULE_HANDLE_EX_FLAG_FROM_ADDRESS, RetAdr , &hModule);

wchar_t mName[MAX_PATH];
GetModuleFileName(hModule, mName, sizeof(mName));

const wchar_t *shortName = L".exe";
BOOL res = TRUE;

if(wcsstr(mName,shortName) == NULL)
     res = Orig_IsWow64Process(hProcess, Wow64Process);
else
    *Wow64Process = FALSE;


return res;
}



//////////////////////////////////////////////////////////////////////////
// Entry point

BOOL WINAPI DllMain(
__in HINSTANCE  hInstance,
__in DWORD      Reason,
__in LPVOID     Reserved
)
{        
switch (Reason)
{
case DLL_PROCESS_ATTACH:
    OrigWow = Orig_IsWow64Process;
    HookWow = HookIsWow64Process;
    Mhook_SetHook((PVOID*)&Orig_IsWow64Process, HookIsWow64Process);
    Mhook_SetHook((PVOID*)&Orig_ldrGPA, Hooked_ldrGPA);
    break;

case DLL_PROCESS_DETACH:
    Mhook_Unhook((PVOID*)&Orig_IsWow64Process);
    Mhook_Unhook((PVOID*)&Orig_ldrGPA);
    break;
}

return TRUE;
}

Answer