资源介绍:'WOW64的32位程序其实拥有64位程序的全部功能,包括32注入64位、枚举64位进程模块、Hook64位模块、调用64位API等等等等....'因为WOW64程序不是完全的虚拟化的,是伪虚拟化,本身就是一个64位进程,只是自己以为是32位程序而已.所以Wow64进程里面'既有64位环境结构,又有32位环境结构,使用api NtWow64QueryInformationProcess64可以获取进程的64位PEB结构地址,'使用api NtWow64ReadVirtualMemory64可以读取进程的64位内存地址的数据.通过PEB64结构进行遍历进程的