32位/ 64位判决

对于我经常使用的快速测试，

lm m wow64

字符串
它检查WOW 64层是否被加载。如果是，它是一个32位进程。
这种方法在很多情况下都有效，因为今天的操作系统可能是64位的。然而，你也可以有一个32位操作系统的32位转储，在这种情况下，这种方法并不能很好地工作。
一个更权威的方法是

.load wow64exts
!info

型
不幸的是，它会产生很多输出，所以很难在脚本中使用。
32位输出看起来像

0:000> !info

PEB32: 0xe4d000
PEB64: 0xe4c000

Wow64 information for current thread:

TEB32: 0xe50000
TEB64: 0xe4e000

[...]

型
在64位的情况下，它是

0:000> !info
Could not get the address of the 32bit PEB, error 0

PEB32: 0
PEB64: 0x6b33c50000

Wow64 information for current thread:

TEB32: 0
TEB64: 0x6b33c51000

[...]

型
我没有一个32位的Windows操作系统转储可用，但我假设它是安全的说，

• 如果PEB 32不为0，则它是一个32位进程。
• 如果PEB 64为0，则它是32位操作系统

如果你知道模块名，你也可以检查文件头：

0:000> .shell -ci "!dh -f notepad" findstr "machine"
    8664 machine (X64)
.shell: Process exited

型

不起作用的东西

注解中建议的vertarget不适用于32位应用程序的64位崩溃转储。
$ptrsize本来是很好的，但它取决于调试器模式：

0:000> ? $ptrsize
Evaluate expression: 8 = 00000000`00000008
0:000> .effmach x86
Effective machine: x86 compatible (x86)
0:000:x86> ? $ptrsize
Evaluate expression: 4 = 00000004

型

.NET决策

与WOW 64层类似，您可以检查.NET：

lm m mscorwks
lm m clr
lm m coreclr

型
当然，也有可能直接通过LoadLibrary()从本机代码加载这样的DLL，而不是使用.NET，但我认为这是一个罕见的用法，有人想愚弄你。

此WinDbg命令将告诉您为给定模块构建的“计算机类型”。对于x64，值为0x8664。对于x86，值为0x14c。计算机类型值的完整列表可在此处找到：https://learn.microsoft.com/en-us/windows/win32/debug/pe-format

dx @$curprocess.Modules.Where(x => x.Name.ToLower().Contains("foo.dll")).Select(x => x.Contents.Headers.FileHeader.Machine),x

字符串