windows - WoW64 仿真层有什么作用？

Question

所有 WoW64 应用程序都通过 WoW64 仿真层。
我想知道这一层发生了什么。(特别是，他们如何转换地址空间)

请给我一些要点。

Answer 1

既然您已经发布了图表，那么您显然知道 WOW64 存在的原因。现在回答你的问题:

I'd like to know what happen in this layer.

我想你想知道它是如何实现的。

进程启动:加载程序像往常一样加载 64 位用户模式部分“Ntdll.dll”，但如果进程用于 32 位执行，也会加载 32 位 Ntdll.dll。现在加载程序负责使用 Wow64.dll 进行初始化，它在 32 位 Ntdll 中设置进程和线程上下文，并“将 CPU 切换到 32 位模式”以执行。

系统调用:一切都在 32 位模式下运行，直到系统调用。我们知道系统调用会经过Ntdll.dll、User32.dll、Gdi32.dll等；在本例中为 32 位版本。这些库有一个单独的 32 位版本，位于\Windows\Syswow64 位文件夹中。这些只是 stub ，而不是发出“ native 系统调用”，实际上是在 Wow64.dll 中调用。现在，Wow64.dll 很容易转换到 64 位模式，将参数转换为对应的 64 位参数，使用 64 位版本发出系统调用，获取结果，并将输出重新转换为 32 位。然后它将 CPU 转换回 32 位模式并返回输出。

异常分派(dispatch)、用户回调、文件系统和注册表操作，以及 I/O 都以相同的方式处理，在某处使用 Hook 。阅读下面规定的书籍。

(especially, how they can convert address space).

64 位地址空间是 32 位地址空间的超集。另外，32 位/64 位中的相同指针(实际上是 PTE)不用于指代整个地址空间，但用户空间和系统空间有单独的页表。

Please give me some important points.

要了解 Windows，我能给你的最重要的一点是阅读“Windows Internals”——Russinovich