无忧启动论坛

标题: 【M2-Team】Windows 10 PE WOW64支持补丁 [打印本页]

作者: Mouri_Naruto 时间: 2015-10-2 11:55
标题: 【M2-Team】Windows 10 PE WOW64支持补丁
本帖最后由 Mouri_Naruto 于 2015-10-2 15:04 编辑

感谢yamingw大大的SetWoW64工具（http://bbs.wuyou.net/forum.php?mod=viewthread&tid=371490）

我在他的基础上做了以下改进

1.补丁退出后内核对象不会消失（即不需要后台运行）
2.减小程序大小（原作者程序大小229KB受够了！本工具只要不到5KB）
3.去掉Kernel32，User32等Windows子系统dll的依赖（我的依赖只有ntdll；所以改成native程序也是很容易的）

但是也有遗憾，由于能力限制，没有实现原作者帖子fryquez的回复（is it possible to also add KnownDlls32 Sections?），希望有大牛可以实现

PS：附WOW64被“封杀”的原因

我今天发现了一个令人震惊的消息：原来PE可以用WOW64是Bug；微软其实在5年前的Win7（甚至9年前的Vista）中的smss（文件版本是6.1.7600.16385）的汇编代码中就有封杀PE下运行WOW64的判断

  if ( !MiniNTBoot && !_wcsicmp(v8, L"DllDirectory32") )
  {
v9 = (__int64)&SmpKnownDllPath32;
return SmpInitializeKnownDllPath(v9, v7, v6);
  }

上述代码的逻辑即如果MiniNTBoot返回false且_wcsicmp(v8, L"DllDirectory32") 返回0（即注册表键值找到）再进行内核区对象创建

QQ图片20151002112743.jpg (171.5 KB, 下载次数: 95)

下载附件

2015-10-2 11:53 上传

比如我随机抽取的64位8pe就没有WOW64内核对象,即没有KnownDll32目录对象

Win10应该是修复了Windows子系统的一个Bug（估计是增加了对内核对象的判断；如果存在则支持WOW64）;所以Win10PE“和谐”WOW64其实只是为了修复漏洞

为何要封杀wow64? 因为微软在WinPE 1.0出来时就明确表明不能把PE当作正常系统使用。

本工具是开源的（代码附在压缩包内,使用VS2015编译）；附源代码使用协议（MIT）

The MIT License (MIT)

Copyright (c) 2015 M2-Team

Permission is hereby granted, free of charge, to any person obtaining a copy
of this software and associated documentation files (the "Software"), to deal
in the Software without restriction, including without limitation the rights
to use, copy, modify, merge, publish, distribute, sublicense, and/or sell
copies of the Software, and to permit persons to whom the Software is
furnished to do so, subject to the following conditions:

The above copyright notice and this permission notice shall be included in
all copies or substantial portions of the Software.

THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR
IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY,
FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE
AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER
LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM,
OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN
THE SOFTWARE.

PS：如果觉得这个工具不错，可以向M2-Team捐赠(支付宝账号: wxh32lkk@live.cn)
下载地址（包含源代码）

Win10WoW64Support With Source.zip (379.64 KB, 下载次数: 488)

使用方法：直接运行即可

PS:打个小广告，NSudo.NET(NSudo 4.0)正在开发中，敬请期待

Mouri_Naruto@M2-Team

PS：M2-Team官方论坛对应帖子地址：http://innoalpha.ga/thread-16-1-1.html

作者: Mouri_Naruto 时间: 2015-10-2 11:56
二楼我的

作者: 2012kkabc00094 时间: 2015-10-2 12:01
竟然在这里也见到毛利

作者: 2012kkabc00094 时间: 2015-10-2 12:05

2012kkabc00094 发表于 2015-10-2 12:01
竟然在这里也见到毛利

么么哒

作者: 2011gb 时间: 2015-10-2 12:07
有趣，来支持下

作者: Worrystart 时间: 2015-10-2 12:09
呵呵
——————来自PCBeta

作者: fish2006 时间: 2015-10-2 14:59
补丁退出后内核对象不会消失，这是一个新的进步，楼主也是一个牛人，脾气也有一股牛脾气，支持楼主出更多牛产品！

作者: nttwqz 时间: 2015-10-2 15:09
哈哈哈哈，不错！
——————来自PCBeta

作者: engineerlzk 时间: 2015-10-2 17:56
支持楼主，Mark作个记号

作者: 享β亻寸木东 时间: 2015-10-2 23:39
不懂，只会用现成的PE，很给力的样子，顶！！！！！！

作者: 2012mshs 时间: 2015-10-3 09:40
Only translate with bing
1. patch kernel objects do not disappear after the exit (which does not need to be running in the background)
=> It means "Do not need load at start with pecmd"?
3. remove the Kernel32,User32 DLL to the Windows subsystem relied heavily on (I rely on only ntdll; so I changed it into native programs is very easy)
=> It means "It only needs ntdll"?
Can you explain more? Thanks!

作者: hhh333 时间: 2015-10-3 10:21
看来这个更进步了，先试用。

作者: Mouri_Naruto 时间: 2015-10-3 10:58

2012mshs 发表于 2015-10-3 09:40
Only translate with bing
1. patch kernel objects do not disappear after the exit (which does not ne ...

1. patch kernel objects do not disappear after the exit (which does not need to be running in the background)
=> It means "Do not need load at start with pecmd"?

I mean, this tool will not run in the background.

You can load this tool by all win64 apps(So you can use pecmd to load it)

3. remove the Kernel32,User32 DLL to the Windows subsystem relied heavily on (I rely on only ntdll; so I changed it into native programs is very easy)
=> It means "It only needs ntdll"?

Yes.

作者: hhh333 时间: 2015-10-3 13:22
试了，确实不驻留内存！

作者: shuren 时间: 2015-10-3 15:19
感觉用yamingw大大的SetWoW64工具很不错。感觉主要是要稳定高效，是否驻留内存并不是很重要

作者: boy6585948 时间: 2015-10-3 15:34
不错哦，很给力啊！！！

作者: shuren 时间: 2015-10-3 17:31

shuren 发表于 2015-10-3 15:19
感觉用yamingw大大的SetWoW64工具很不错。感觉主要是要稳定高效，是否驻留内存并不是很重要

有道理。若能同样稳定高效，当然能不驻留内存更好

作者: WAIGO 时间: 2015-10-3 17:40
>>但是也有遗憾，由于能力限制，没有实现原作者帖子fryquez的回复

不要妄自菲薄！其实楼主的能力什高，希望再接再厉，写出更多高水平的好作品……

作者: andos 时间: 2015-10-3 19:27
本帖最后由 andos 于 2015-10-3 19:44 编辑

2010WAIGO 发表于 2015-10-3 17:40
>>但是也有遗憾，由于能力限制，没有实现原作者帖子fryquez的回复

不要妄自菲薄！其实楼主的能力什高， ...

同意,
如果能实现fryquez说的就更好

作者: Mouri_Naruto 时间: 2015-10-4 10:09

andos 发表于 2015-10-3 19:27
同意,
如果能实现fryquez说的就更好

注册表这些键值都有；最关键的是要给那些键值提到的dll创建好内存区对象（只是奇怪的是NtCreateSection总是执行失败（汗））

作者: 2012qnmd 时间: 2015-10-4 10:17
现在这样,已经很满足了.
日常应用,都没问题了

作者: 2012liuzx 时间: 2015-10-12 23:00
不错，收下备用了。

作者: 2011lee04017 时间: 2015-10-12 23:24
能夠分享~就是一種成就~值得感謝!

作者: tzxinqing 时间: 2015-10-13 11:20
恭喜取得新进展

作者: Hi112345678 时间: 2018-8-31 11:16
請問有教學嗎？我直接把應用放進PE運行後，運行32bits的應用還是不行啊!

作者: cwlt 时间: 2020-2-28 20:29
谢谢分享

作者: 2011Yukari 时间: 2022-10-26 13:25
请问我运行了，没反应，是还有什么依赖的东西么

作者: 香国妙手 时间: 2022-11-1 21:08
Windows 10 PE WOW64支持补丁

欢迎光临无忧启动论坛 (http://bbs.wuyou.net/)