WOW64サービステーブルというのは、wow64.dllのなかに実装された関数テーブル。WOW64プロセスがシステムコールを発行したときに、x64システムコールへの変換を行うため透過的に呼び出される。前回までの調査でこいつのシンボル名はwow64!ServiceTablesであることがわかっているので、これを元にWinDbgでテーブルの構造をダンプしてみることにする。 結論としては、SERVICE_DESCRIPTOR_TABLE構造体とほぼ同じ型で、それが4個の配列(sdwhnt32, sdwhwin32, sdwhcon, sdwhbase)になっている。 まず調査するアドレスの構造がよくわからない場合、dcコマンドで16進数とASCII文字列にしてみる(いくつかのWinDbgコマンドは、アドレスを2つ渡すことで、始点と終点を指定できる)。このコマンドはASCIIが出るので、文字列や、