WOW64Test_x86.exe: 多熟悉熟悉程序的流程,多看,多调试.
①被调试者是一个控制台应用程序,那么会调用 GetCommandLine() 返回当前程序的路径.
②main() 函数前会有 argc 与 argv 的压栈, 一个是参数个数,一个是带有程序名字的路径指针.
WOW64Test_x64.exe:
个人建议还是使用 x64dbg 进行调试.但是使用 WinDbg 可以看到更多细节,由于没有符号信息,调试起来非常不方便.
注意, main() 函数其实压入了三个参数.
记住入栈顺序,此处 ecx 中存储着数值 1 .而第三个参数, r8 是一个指针数组,里面存储着系统环境变量字符串数组的地址,是由 VC++ 编译时自动添加的.
