x64跑32位程式

在x64跑32位程式，API調用。

正常的程式

32-bit NtAllocateVirtualMemory->Wow64 transition->64-bit NtAllocateVirtualMemory->SYSCALL

惡意的程式

直接調用Jmp 0x33->64-bit NtAllocateVirtualMemory->SYSCALL

x23 = x86 mode

0x33 = x64 mode

處理器一般在x86上

将變量從32位擴充到64位，從堆棧擷取參數到寄存器，将所有内容放到合适的位址空間并找到正确的系統調用。