32位程序调用WriteProcessMemory由64位的wow64.dll!Wow64SystemServiceEx负责将程序的32位调用转换到64位的ntdll.dll!NtWriteVirtualMemory。
在此之前程序保存了32位的环境,放在了Wow64CurrentCpuArea,然后程序正常调用NtWriteVirtualMemory修改了Wow64CurrentCpuArea保存的Eip,造成在退出64位环境后32位环境切换到了我们预设的地址上,从而实现hiJackRoutine。
