windbg下看系统非分页内存

最新推荐文章于 2023-02-26 13:26:27 发布
最新推荐文章于 2023-02-26 13:26:27 发布
阅读量2.5k 收藏 1
点赞数
分类专栏: win内核 win内核 文章标签: 内核 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lixiangminghate/article/details/54667694
版权

    这篇文章实在是闲的无聊才写的,因为快过年了...文章基于xpsp3

    先看看和非分页内存相关的全局变量,也好有个大局观:

kd> x nt!MmNonPaged*
805517d8          nt!MmNonPagedPoolEnd = <no type information>
8055af84          nt!MmNonPagedPoolEnd0 = <no type information>
8055af80          nt!MmNonPagedPoolExpansionStart = <no type information>
8055fb20          nt!MmNonPagedSystemStart = <no type information>
8055af60          nt!MmNonPagedPoolFreeListHead = <no type information>
8055ae38          nt!MmNonPagedPoolStart = <no type information>

kd> dd nt!MmNonPagedPoolStart L1
8055ae38  8164b000
kd> dd nt!MmNonPagedPoolEnd0 L1
8055af84  86800000
    x nt!MmNonPaged*列出了可能和非分页内存池相关的全局变量。在这篇文章里,主要涉及3个变量:
nt!MmNonPagedPoolEnd0:保存基本NonPagedd内存池的结束地址
nt!MmNonPagedSystemStart:保存基本NonPagedd内存池的开始地址
nt!MmNonPagedPoolFreeListHead:空闲Nonpaged页面队列头数组;xp下该数组有4个元素,每个数组元素都是_LIST_ENTRY结构。MmNonPagedPoolFreeListHead[0]中的节点包含1个页面;MmNonPagedPoolFreeListHead[1]中的节点保存了2个页面,以此类推。

    来看下这几个队列的使用情况:

kd> dd nt!MmNonPagedPoolFreeListHead L8 ;下面的[]是我自己加的,用于分割各个_LIST_ENTRY结构
8055af60  [8055af60 8055af60] [86674000 863e9000]
8055af70  [86071000 86071000] [863ec000 8164b000]
    从dd的结果可以看出,现在数组元素0和2是空队列,里面的空闲页面已被瓜分完。也就是单页面和3页面的Nonpaged内存池已用完。现在我们知道Nonpaged内存池的使用情况,再来看看各个空闲页面链表中的节点。既然MmNonPagedPoolFreeListHead[0]和MmNonPagedPoolFreeListHead[2]已经告罄,我们就来看看剩下的两个链表: 

kd> dt nt!*MMFREE*
          ntoskrnl!_MMFREE_POOL_ENTRY
kd> dt ntoskrnl!_MMFREE_POOL_ENTRY
   +0x000 List             : _LIST_ENTRY
   +0x008 Size             : Uint4B
   +0x00c Signature        : Uint4B
   +0x010 Owner            : Ptr32 _MMFREE_POOL_ENTRY
    上面的结构是空闲页面队列中各个节点的类型。以MmNonPagedPoolFreeListHead[1]中的节点为例,每个节点中包含2个连续的页面,每个页面的起始位置被用作ntoskrnl!_MMFREE_POOL_ENTRY结构。再继续下去前,先让我介绍一下各个域的作用:

1.只有节点中的第一个页面的ntoskrnl!_MMFREE_POOL_ENTRY!_LIST_ENTRY域会被加入到MmNonPagedPoolFreeListHead[1]所在的空闲页面链表中,第二个页面的ntoskrnl!_MMFREE_POOL_ENTRY!_LIST_ENTRY域不起作用;
2.由于节点中的两个页面的地址是连续的,因此,在MmNonPagedPoolFreeListHead[1]中定位到第一个页面的ntoskrnl!_MMFREE_POOL_ENTRY!_LIST_ENTRY域,再加上PAGE_SIZE,就可以获得后续页面。至于ntoskrnl!_MMFREE_POOL_ENTRY!Size的作用,则用于反应节点中有多少个页面;
3.除了节点中第一个页面的ntoskrnl!_MMFREE_POOL_ENTRY!Owner域指向本页面的ntoskrnl!_MMFREE_POOL_ENTRY以外,节点中的其他页面的Owner域都指向第一个页面的ntoskrnl!_MMFREE_POOL_ENTRY。

    了解了这个背景后,看下MmNonPagedPoolFreeListHead[1]中的节点的值:

kd> dt _LIST_ENTRY 8055af60+8 ;MmNonPagedPoolFreeListHead[1]的地址
nt!_LIST_ENTRY
 [ 0x86674000 - 0x863e9000 ]
   +0x000 Flink            : 0x86674000 _LIST_ENTRY [ 0x863c8000 - 0x8055af68 ] ;内存0x86674000处有一个_MMFREE_POOL_ENTRY类型的节点
   +0x004 Blink            : 0x863e9000 _LIST_ENTRY [ 0x8055af68 - 0x86197000 ]
kd> dt ntoskrnl!_MMFREE_POOL_ENTRY 0x86674000 
   +0x000 List             : _LIST_ENTRY [ 0x863c8000 - 0x8055af68 ]
   +0x008 Size             : 2 ;节点中有2个页面
   +0x00c Signature        : 2
   +0x010 Owner            : 0x86674000 _MMFREE_POOL_ENTRY ;Owner指向自己
kd> dt ntoskrnl!_MMFREE_POOL_ENTRY 0x86674000+0x1000 ;节点中的第二个页面
   +0x000 List             : _LIST_ENTRY [ 0x44524352 - 0x90028 ]
   +0x008 Size             : 0x35e41f0
   +0x00c Signature        : 0
   +0x010 Owner            : 0x86674000 _MMFREE_POOL_ENTRY ;owner指向前一个页面的_MMFREE_POOL_ENTRY结构
    Windows就是基于这样的结构,对Nonpaged内存池进行管理的~


Eugene800
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
调试开发工具集
03-25
枚举在系统下一次启动时所要执行的文件重命名和删除命令的列表。 PipeList 显示系统上的命名管道,包括每个管道的最大实例数和活动实例数。 PortMon 通过高级监视工具监视串行端口和并行端口的活动。它能识别所有...
Windbg分析高内存占用问题
weixin_33834137的博客
08-20 391
1. 问题简介 最近产品发布大版本补丁更新,一商超客户升级后,反馈系统经常奔溃,导致超市的收银系统无法正常收银,现场排队付款的顾客更是抱怨声声。为了缓解现场的情况, 客户都是手动回收IIS应用程序池才能解决。 这样的后果是很严重的,接到反馈,第一时间想到的是加内存吧,这样最快。但是客户从8G--&gt;16G--&gt;32G,只是延长了每次奔溃的时间,但是并没有解决系统卡顿的问题。到这里,也...
[Windows驱动开发]之内存概念及内存操作示例代码
zz_strive_2012的专栏
12-18 454
一、内存管理概念 1. 物理内存概念(Physical Memory Address) PC上有三条总线,分别是数据总线、地址总线和控制总线。32位CPU的寻址能力为4GB(2的32次方)个字节。用户最多可以使用4GB的真实物理内存。PC中很多设备都提供了自己的设备内存。这部分内存会映射到PC的物理内存上,也就是读写这段物理地址,其实读写的是设备内存地址,而不是物理内存地址。 2. 虚拟内存概念...
windowNT的分页分页内存的分配
dasgk的专栏
01-03 1047
WINDOWS Windows规定有些虚拟内存可以交换到文件中,这类内存被称为分页内存 有些虚拟内存永远不会交换到文件中,这些内存分页内存 #define PAGEDCODE  code_seg(“PAGE”);//分页内存 #define LOCKEDCODE  code_seg();//分页的 #define INITCODE  code_seg(“INIT”);
Windows 内存管理
yinhaijing123的专栏
05-11 749
工作集(内存): 可以这么理解, 此值就是该进程所占用的总物理内存. 但是这个值是由两部分组成, 即 '专用工作集' + '共享工作集'. 内存(专用工作集): 这对于一个进程是最重要的, 它代表了一个进程独占用了多少内存内存(共享工作集): 这是该进程和别的进程共享的内存量. 通常, 这是加载一个 dll 所占用的内存.  提交大小: 属于 Committed 那一类.
tab点击切换,简单实例
LJ_QWE的博客
09-29 587
<template> <div class=" padding-50 tabchange" style="color:yellow;"> <ul class="title-ul clearfix"> <li class="title-lists active">tab1</li> <li class="title-lists ">tab2</li>
windbg调试HEAP
flyingleo1981的专栏
09-26 4486
HEAP的概念 堆栈堆栈,在操作系统内存中有两种存储空间,一个是堆,一个是栈。堆主要用于存储用户动态分配的变量,而栈呢,则是存储我们程序过程中的临时变量。当然栈的作用远不止用作存储变量,但这不是我们这篇文章的讨论内容。 堆(HEAP)的分配,使用,回收都是通过微软的API来管理的,最常见的API是malloc和new。在往底层走一点呢,这两个函数都会调用HeapAlloc(RtlAllocat
使用windwow windbg 吃透64位分页内存管理
不会写代码的丝丽
02-26 731
分页基础概念是操作系统基础知识,网上已经有太多太多了。所以本文记录具体可以参阅的章节。CR0.PG = 0表示不开启分页.并且根据CR4各种标志开启不同类别的分页模式,大致有四种模式。开启物理地址扩展 简单点理解就是用于启用64位模式(本文讨论范围)CR4.LA57是一个控制寄存器的位,用于启用或禁用所谓的5级分页模式,启用57位线性地址。(本文不讨论,因为现在基本没有使用)是CR4的第12位,在window10 64位都没有启用(也没有必要启用)本位讨论的分页机制是原文中的分页机制。
分页分页内存(Windows内核学习笔记)
KOOKNUT的博客
04-08 2894
Pagedpool:
windbg常用命令
qq_41490873的博客
06-22 666
!pool +va 可以分析出一个地址是不是通过ExAllocatePool分配的 以及是分页内存还是分页内存 ba e1 +va 硬件断点 dps rsp 查看堆栈 会显示出相应的函数名 !pte + va 可以找出一个虚拟地址的pte 通过PTE知道这个地址读写以及可执行属性 !address +va 获得虚拟地址所在区域 .thread 列出当前线程结构体 !thread 当前线程信息 dt _KTHREAD TrapFrame+ 结构体地址 可以
分页内存分页内存区别
giggs1111的专栏
01-26 3861
在写驱动的时候,经常要调用ExAllocatePoolWithTag函数分配内存,其中第一个参数可以是如下几个:  NonPagedPool从分页内存池中分配内存PagedPool从分页内存池中分配内存NonPagedPoolMustSucceed从分页内存池中分配内存,如果不能分配则产生bugcheckNonPage
windows驱动开发技术详解-part2
07-06
在驱动程序开发中,首先要注意分页内存分页 内存的使用。同时,还需要区分物理内存地址和虚拟内存地址这两个概念。  5.1 内存管理概念  5.1.1 物理内存概念(Physical Memory Address)  5.1.2 虚拟内存...
Windows驱动开发技术详解的光盘-part1
07-06
在驱动程序开发中,首先要注意分页内存分页内存的使用。同时,还需要区分物理内存地址和虚拟内存地址这两个概念。  5.1 内存管理概念  5.1.1 物理内存概念(Physical Memory Address)  5.1.2 虚拟内存地址...
精通Windows.API-函数、接口、编程实例.pdf
01-27
5.1.2 分页与分段内存管理、内存映射与地址转换 123 5.1.3 进程的内存空间 125 5.1.4 虚拟内存布局、内存的分工、堆与栈 127 5.1.5 内存的保护属性和存取权限 127 5.1.6 本章API列表 127 5.2 堆管理 129...
使用DpInst安装驱动程序
热门推荐
lixiangminghate的专栏
09-25 2万+
出差时发现一些大公司使用DpInst工具安装驱动,当时觉得这种方式安装驱动相当方便,出于好奇回来后自己也尝试这种安装方式。     DpInst.exe工具位于ddk目录redist\DIFx\dpinst\EngMui下,同时M$在src\setup\DPInst目录下提供了定制DpInst驱动安装包的样例。一个基本的驱动安装包至少要包含cat,sys(已签名,测试签名也可以,为cat和s
通过右键安装inf文件来安装驱动程序这种方式可取吗?
lixiangminghate的专栏
11-06 1万+
很多人拿到驱动包准备安装驱动时,往往先想到通过鼠标右键-安装这种方式来安装驱动。且不说能不能安装成功,要支持这种安装方式,对inf文件有一定的要求:inf文件中需要包含[DefaultInstall]这样的节,这个节是右键安装时的Inf入口点(MSDN的原话:"An INF file's DefaultInstall section is accessed if a user selects th
windbg+网线双机调试内核
lixiangminghate的专栏
06-29 8699
最近要调试bluetooth,涉及到具体硬件因此不能用虚拟机和命名管道调试内核了,另外现在的PC追求轻便化,因此连串口都没了,不得不考虑使用网线调试。网上转了一圈发现了这篇:基于网络的内核调试 驱动调试需要用到两台机器,目前主要是通过串\口、usb或者1394接口来连接。对于软设备驱动来说就多了一种选择,通过vmware等虚拟化软件来虚拟测试机。但有些情况下必须在真实的双机环境进行
windows下设备的Setup ClassGuid/Device Interface ClassGUID
lixiangminghate的专栏
08-29 8191
windows下设备的各种guid名目繁多,MSDN上的解释也写的扑朔迷离,因此想借本文总结一下这些guid的区别.     最常见的应该是Setup ClassGuid--设备安装类了.当我们打开设备管理器,默认情况下看到的设备列表就是按设备类型----更确切的讲是设备安装类型来排列显示的.比如,windwos将所有的网卡(PCI网卡/无线网卡/外接USB网卡)归到网络适配器一类;将独显集显归
安装驱动程序(1)----驱动预安装
lixiangminghate的专栏
07-31 6754
前面toaster驱动程序的安装都是通过手动安装的方式,把sys/inf等文件安装到系统中。说实话,这么复杂的过程除了开发者,其他人能流畅的安装上驱动还真是天方夜谭了。如果读者曾在电脑城买过电脑配件,如无线网卡,蓝牙适配器,应该有印象:到手的除了这么设备本身,还会附带一张提供安装程序的小光盘和一份安装说明。安装说明一般都会要求先运行安装程序,然后重启插入设备,之后设备就可以正常使用了。这张光盘就是
Windbg 内存泄漏
最新发布
07-25
内存泄漏是指在程序运行过程中,分配的内存没有被正确释放,导致内存占用不断增加,最终耗尽系统资源。使用Windbg可以帮助我们检测和定位内存泄漏问题。Windbg是微软提供的Windows下强大的调试工具,可以分析多种...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值