Windows内存放血篇,突破物理内存的CopyOnWrite

最新推荐文章于 2023-11-16 08:59:00 发布
最新推荐文章于 2023-11-16 08:59:00 发布
阅读量460 收藏
点赞数
文章标签: ui 驱动开发
原文链接:http://www.cnblogs.com/kuangke/p/9524942.html
版权
 
本篇以x86(开启PAE) 以及x64 Win7系统 不借助微软API突破内存的写拷贝机制进行讲述
https://bbs.pediy.com/thread-222949.htm
 
0x01 Before Starting

1. PAE: 
       Physical Address Extension,Inter为了支持更大的物理内存寻址而设计的x86寻址方式,虚拟地址没有变化都是32位,只是描述物理内存的位数由原先的32为增加到36位,能够最多寻址 2^4 * 4GB = 64GB内存,也就意味着你机器上如果存在超过4GB的内存条,那么一般都可以被充分利用到,这只是体现在多进程多任务的性能上,并没有增加一个进程的寻址空间,仍然为4GB。微软喜欢把页面表基地址放在0xC0000000上,当发生进程切换操作时这块页表内容会随CR3引导的页面表的内容而发生改变(一般内核的高2GB不会变化太大,主要体现在低2GB内存),那么这就有规律可言,在内核情景分析中可能大家都已经见过未开启PAE的几个公式:
 
 1) 未开启PAE状态下 (10/10/12)
          PTE = (VA >> 12) << 2 + PTE_BASE
          PDE = (VA >> 22) << 2 + PTE_BASE
          因为 PDE_BASE 是描述PTE_BASE的PTE
          显然  PDE_BASE = (PTE_BASE >> 12) << 2 + PTE_BASE = (0xC0000000 >> 12) << 2 +  0xC0000000 = 0xC0300000
 
那么自己推导下PAE下的计算方式
2) 开启PAE状态下 (2/9/9/12)

          PTE = (VA >> 12) << 3 + PTE_BASE

          PDE = (VA >> 21) << 3 + PTE_BASE

          PDPE = (VA >> 30) << 3 + PDE_BASE

          因为 PDE_BASE 是描述PTE_BASE的PTE

          显然 PDE_BASE = (PTE_BASE >> 12) << 3 + PTE_BASE = (0xC0000000 >> 12) << 3 + 0xC0000000 = 0xC0600000

 

2. x64 公式推导

WRK或者WDK开发包头文件中定义了64位下 PTE_BASE 的内容

 

1
2
3
4
#define PTE_BASE  0xFFFFF68000000000UI64
#define PPE_BASE  0xFFFFF6FB7DA00000UI64
#define PDE_BASE  0xFFFFF6FB40000000UI64
#define PXE_BASE  0xFFFFF6FB7DBED000UI64
 
自然,这几个值看起来都是固定了,其实是因为PTE_BASE固定的,才有个下面这几个固定的值,计算方式如下:

 

PDE_BASE = ((PTE_BASE & 0x0000FFFFFFFFF000) >> 12) * 8 + PTE_BASE

                    = 0xF68000000 * 8 + PTE_BASE 

                    = 0x7B40000000 + PTE_BASE = 0xFFFFF6FB40000000
PPE_BASE = ((PDE_BASE & 0x0000FFFFFFFFF000) >> 12) * 8 + PTE_BASE 

                    = 0xF6FB40000 * 8 + PTE_BASE = 0x7B7DA00000 + PTE_BASE

                    = 0xFFFFF6FB7DA00000
PXE_BASE = ((PPE_BASE & 0x0000FFFFFFFFF000) >> 12) * 8 + PTE_BASE 

                    = 0xF6FB7DA00 * 8 + PTE_BASE 

                    = 0x7B7DBED000 + PTE_BASE = 0xFFFFF6FB7DBED000

 

在PAE开启状态下 (下文默认) 或者x64系统下,描述PTE结构的定义为:

 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
typedef struct _MMPTE_HARDWARE {
     ULONGLONG Valid :  1 ;
     ULONGLONG Write :  1 ;         / /  UP version
     ULONGLONG Owner :  1 ;
     ULONGLONG WriteThrough :  1 ;
     ULONGLONG CacheDisable :  1 ;
     ULONGLONG Accessed :  1 ;
     ULONGLONG Dirty :  1 ;
     ULONGLONG LargePage :  1 ;
     ULONGLONG Global :  1 ;
     ULONGLONG CopyOnWrite :  1 / /  software field
     ULONGLONG Prototype :  1 ;    / /  software field
     ULONGLONG reserved0 :  1 ;   / /  software field
     ULONGLONG PageFrameNumber :  28 ;
     ULONG64 reserved1 :  24  -  (_HARDWARE_PTE_WORKING_SET_BITS + 1 );
     ULONGLONG SoftwareWsIndex : _HARDWARE_PTE_WORKING_SET_BITS;
     ULONG64 NoExecute :  1 ;
} MMPTE_HARDWARE,  * PMMPTE_HARDWARE;
 
typedef struct _MMPTE {
     union  {
         / / ULONG_PTR  Long ;
         MMPTE_HARDWARE Hard;
         / / MMPTE_HARDWARE_LARGEPAGE HardLarge;
         / / HARDWARE_PTE Flush;
         / / MMPTE_PROTOTYPE Proto;
         / / MMPTE_SOFTWARE Soft;
         / / MMPTE_TRANSITION Trans;
         / / MMPTE_SUBSECTION Subsect;
         / / MMPTE_LIST  List ;
         } u;
} MMPTE;
 
typedef MMPTE  * PMMPTE;

 

 

 

 

0x02 Physical Memory Patch

 

实际上这个ULONGLONG CopyOnWrite : 1; // software field我并没有看出什么玄机,重点是这个ULONGLONG Write : 1;        // UP version

 

 

找到虚拟地址对应的PTE项,将Write位置为1,自然这块内存就不再为写拷贝了,看Inter手册上对这个字段的描述也不是特别的清楚,下图为2MB的大页面对应的结构,跟4KB的小页面也差不了多少,对R/W字段的描述也不是很明显,只是WRK/Win2000上的这个software field的3个字段全部为Ignored...  
 
 
这个位起着的作用看上去不是只有一个可写属性,当我写一个Dll让一个目标进程去Load然后用这种方式把他的PE头给Patch了之后,达到了与 MDL修改物理内存一样的效果(MDL其实也是一个突破CopyOnWrite的一个方法),以后这个进程再也加载不起来这个Dll了,因为原始的物理页已经被修改了。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
typedef struct tag_CTRLV2
{
     PVOID lpAddress;
     PVOID lpPatchContext;
     ULONG ulSize;
 
} CtrlV2,  * PCtrlV2;
 
BOOLEAN ModifyPhysicalAddressX86(PCtrlV2 pV2)
{
     if  (g_bPAEON)
     {
         PMMPTE_PAE ProtectPTE  =  MiGetPteAddressForPAE(pV2 - >lpAddress);
         __try
         {
             if  (ProtectPTE - >Valid)
             {
                 / /  Disable CopyOnWrite
                 ProtectPTE - >Write  =  1 ;
                 / /  Now Patch Physical Memory
                 memcpy(pV2 - >lpAddress, pV2 - >lpPatchContext, pV2 - >ulSize);
 
                 DbgPrint( "[Wxoit] ModifyPhysicalAddressX86 pV2->lpAddress:%x, Context:%x\r\n"
                     pV2 - >lpAddress,  * (ULONG * )pV2 - >lpAddress);
             }
         }
         __except(EXCEPTION_EXECUTE_HANDLER)
         {
             DbgPrint( "[Wxoit] ModifyPhysicalAddressX86 Raise Exception %x" , GetExceptionCode());
         }
     }
 
     return  TRUE;
}
 
第一次加载NopDll.dll 并Patch NopDll.dll 的PE DOS_SIGNATURE。
 
第二次加载NopDll.dll时,发现这个Dll已经是一个bad exe format
 
当然这个方法,我也给大家支持了64位,但是警告大家不要去随意搞系统的内存,出问题本人概不负责... 
代码写的比较急,没有支持跨进程操作物理内存,大家如果想做只要KeStackAttachProcess下就OK了,
代码在最后的附件中
 

 

0x02 Things of MDL

最后就当作福利吧,前段时间在看MDL的一些API,把我所学分享给大家。
IoAllocateMdl
MmProbeAndLockPages/MmBuildMdlForNonPagedPool
MmMapLockedPagesSpecifyCache
MDL不止只有下面描述的结构,在这个结构的后面还存在着这个MDL描述的所有的物理页的页面帧号
1
2
3
4
5
6
7
8
9
10
typedef struct _MDL {
     struct _MDL  * Next ;
     CSHORT Size;
     CSHORT MdlFlags;
     struct _EPROCESS  * Process;
     PVOID MappedSystemVa;
     PVOID StartVa;
     ULONG ByteCount;
     ULONG ByteOffset;
} MDL,  * PMDL;
1. IoAllocateMdl
PMDL
IoAllocateMdl(
    IN PVOID VirtualAddress,
    IN ULONG Length,
    IN BOOLEAN SecondaryBuffer,
    IN BOOLEAN ChargeQuota,
    IN OUT PIRP Irp OPTIONAL
    )
       这个API没啥好说的,就是小心点大小检测,当传入的Length越过了0x17个页面时,对MDL的大小有要求(不能超过0xFFFF),第三参数只有在第五参数存在时才有意义:标志这个是不是一个链式内存(一般只有在IRP结构中需要处理),第四参数没看到在哪用。一般地,三四五参数都传NULL。
 
2.  MmProbeAndLockPages
         VOID
MmProbeAndLockPages (
     IN OUT PMDL MemoryDescriptorList,
     IN KPROCESSOR_MODE AccessMode,
     IN LOCK_OPERATION Operation
     )
好了,这个API开始就要注意了,这块特别容易抛异常
1. 进入这个函数之前,不要随便给MDL置标记(不管是你手动的还是API帮你置的位),特别是
MDL_PAGES_LOCKED 
MDL_MAPPED_TO_SYSTEM_VA
MDL_SOURCE_IS_NONPAGED_POOL
MDL_PARTIAL
MDL_IO_SPACE
2. 存在当前模式,如果传入UserMode,那么在第一步初始化MDL如果描述的虚拟地址是一个内核地址,那么这直接抛0xC0000005异常
3. 这个API紧接这会去锁住MDL描述的物理内存页面,当你传入MDL的虚拟地址是一个Ring3地址, 也会校验你传入的Operation, 其中
    一个页面不具有写属性你却传入了 IoWriteAccess/IoModifyAccess 那么不好意思,同样RaiseException
4. 检查当前进程(对是当前进程!,调用这个函数如果你要修改别人家的物理内存那么请先KeStackAttachProcess ) 的虚拟内存对应的物理
    页面映射关系,如果你尝试传入一个缺页的内存,这个函数会尝试处理这个缺页情况,再做类似第三步的动作
5. 即使找到了虚拟页面映射的物理页面,如果传入 IoWriteAccess/IoModifyAccess  也会校验对应的VAD是否具有MM_READWRITE属性
使用这个函数时,如果你要修改内存那么不必急着传入 IoWriteAccess/IoModifyAccess 这样会造成这个函数代码内部的检测逻辑,因为最
后在调用 MmMapLockedPagesSpecifyCache 函数时,不管是Ring3还是Ring0应该都是具有读写属性的。在我的理解上来看.......
3.  MmBuildMdlForNonPagedPool
VOID
MmBuildMdlForNonPagedPool (
    IN OUT PMDL MemoryDescriptorList
    )
 
这个函数很简单,就负责置MDL的标志位以及填充页面帧号,当然也要求当前进程的页面表能够访问到的内存
MemoryDescriptorList->MdlFlags |= MDL_SOURCE_IS_NONPAGED_POOL;
 
4.  MmMapLockedPagesSpecifyCache
PVOID
MmMapLockedPagesSpecifyCache (
     IN PMDL MemoryDescriptorList,
     IN KPROCESSOR_MODE AccessMode,
     IN MEMORY_CACHING_TYPE CacheType,
     IN PVOID RequestedAddress,
     IN ULONG BugCheckOnFailure,
     IN MM_PAGE_PRIORITY Priority
     )
 
当MDL的页面帧号都填充完毕时,通过 MmMapLockedPagesSpecifyCache最后一步映射物理内存到当前进程页面表中,
不知道微软是怎么想到设计这个接口的,这个函数实在过于强大。强大不光体现在他能越过内存的CopyOnWrite机制,
而且通过 MmMapLockedPagesSpecifyCache得到的虚拟内存地址具有读写属性......
 
1. KernelMode 内核模式下会得到一个内核地址,我们都知道内核中申请或者Map的内存都是可读可写可执行的
2. UserMode 用户模式下Map的地址同样具有读写属性,具体实现见MiMapLockedPagesInUserSpace,在LoadImage回调下
    这个函数有进程的AddressCreationLock限制,所以在模块回调时不要用UserMode!
 
至少到目前为止的Windows版本都是可读写的。
 
说到这里,我想到某厂的驱动开发人员写了这样一段代码,看的我哭笑不得
 
这个人即想把MDL映射到内核地址( MDL_MAPPED_TO_SYSTEM_VA ),又使用UserMode的映射....... 局外人啊。不过
这段代码不会出什么问题,因为 MmMapLockedPagesSpecifyCache 还是先校验 AccessMode的,如果是UserMode就不会
看 MDL_MAPPED_TO_SYSTEM_VA标记了,而且这个厂商用这个方法 Patch 动态库让动态库无法加载,实在让人深恶痛
绝, 因为 改了物理内存,所有进程都加载不了这个动态库了。
 
而且从时间上的观察来看,这个厂商甚至不知道这些函数干了些啥,只知道这样可以 获取内存的写权限......
 
 

 

 

    • jpg改rar 

转载于:https://www.cnblogs.com/kuangke/p/9524942.html

aijia1857
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
行业文档-设计装置-放血笔.zip
09-11
放血笔是一种特殊的医疗设备,主要用于临床手术中的静脉穿刺或采血过程。设计装置时,需要考虑多个关键因素以确保安全、有效和用户友好。本文将深入探讨放血笔的设计原理、工作流程、关键部件以及相关的技术标准。 ...
Win7+Win8 32位系统大内存破解工具 PatchPAE
07-08
自己通过测试整理好的Win7开启PAE工具说明,其中Win7旗舰版是亲测可用。Win8是在网上找的,发布者也说亲测可用。以前使用readyfor4gb工具破解Win7发现有些bug,主要是USB3.0接口无法使用,移动设备插上后没有任何反应。该工具不存在这个问题,但是目前也有个两个bug 1、USB3接口上如果插上了移动设备启动不了,必须拔掉后再启动。 2、启动界面变成英文版的了。 友情提示:如果你的系统无法禁用集显而单独使用独显建议你不要使用,否则启动PAE模式的系统时会在启动界面过后卡住无法进入登陆界面。
32位Windows 7开启PAE可以识别4GB以上内存
热门推荐
星沉地动
10-21 1万+
众所周知32位Windows 7系统最大只能识别4GB内存,并且可用内存最多为3.25GB. 但是32位的Windows Server 2003/2008却可以使用4GB以上内存,原因就在于这个系统可以利用x86的PAE特性。 然而默认情况Windows 7却无法使用PAE特性,原因在于系统内核层屏蔽了此功能, 网传的修改BCD参数,bcdedit /set pae forceenable ...
64位系统下8G内存仅使用到4G问题的解决方法
weixin_30260399的博客
04-08 3136
笔记本:联想E46G 当前bios版本:25CN32WW 内存:DDR3 133 4G × 2 问题:bios信息显示8G,win7和ubuntu在64位下使用情况仅4G 准备工作1:bios版本和内存检查方法或工具 开机按 F2 键 进bios,核实bios版本和内存信息,或者登录联想官方网站安装《在线检查工具》 准备工作2:os下内存检测方法 1: win7下,右键点击计算机=...
win764位系统上让32位程序能申请到4GB内存方法。
ATMCash4423的专栏
09-18 4805
最近测试一个32位程序总是在1.2G左右内存时崩溃,怀疑是内存申请失败,本身32位程序只能申请到2GB内存,经过在网上找的各种方法和测试,如下方法可行,能申请到4GB内存。 1、管理员模式下运行CMD,输入:BCDEdit /set PAE forceenable Windows  这里的BCDEdit是关于命令行的启动配置编辑器。使用上面的命令,你能启用物理地址扩展(PAE),让支持的内存
php 位图法,[原创]乱侃Windows NT内核之内存管理
weixin_39939668的博客
03-19 130
2010-4-25 18:12一块内存在变得可以使用之前,需要经过以下步骤:1)分配虚拟空间,所有程序只能读写虚拟空间2)分配物理内存3)建立虚拟内存物理之间的映射下面先说说虚拟空间的管理:用户空间管理:=====================================================Windows将所有已经分配或保留的内存区块记录在一个称为avl的二叉树的结构中,该二叉...
MDL修改内核内存实现
haodawei123的博客
02-01 3009
NTSTATUS DriverEntry(PDRIVER_OBJECT driver,PUNICODE_STRING reg) { PMDL mdl; PVOID addrMm; ULONG addrKdEnterDebugger; ULONG addrKdEnteredDebugger; UNICODE_STRING func; ULONG addr = 0; RtlInitUnicodeStr...
点刺放血咽喉肿痛.ppt
10-24
点刺放血是一种传统的中医治疗方法,常用于缓解咽喉肿痛等症状。咽喉肿痛是临床上常见的疾病,涉及中医中的多种病症,如风热喉痹、急喉风、慢喉风、乳蛾、喉蛾等,西医则对应急性咽炎、扁桃体炎、扁桃体周围脓肿等...
中医放血疗法的作用.doc
02-11
中医放血疗法的作用.doc
三棱针(放血疗法)诊疗操作规范参考.docx
10-25
【三棱针放血疗法】是中国传统医学中一种独特的诊疗技术,主要通过使用三棱针在特定穴位或血络上进行刺破,以放出少量血液来达到治疗疾病的目的。这种疗法也被称为“刺络法”,在中医理论中,它被认为能够通经活络、...
实习总结与收获五篇.doc
10-25
从这五篇实习总结中,我们可以提炼出以下几个关键知识点: 1. **基础护理的重要性**:护士的工作不仅是执行医嘱,更是关注病人的生理需求和心理安慰。在骨科实习的经历表明,护士在缓解病人痛苦、满足安全需求方面...
3.5 Windows驱动开发:应用层与内核层内存映射
最新发布
CSDN
11-16 1万+
在上一篇博文中我们通过使用附加进程的方式得到了该进程的PEB结构信息,本篇文章同样需要使用进程附加功能,但这次我们将实现一个更加有趣的功能,在某些情况下应用层与内核层需要共享一片内存区域通过这片区域可打通内核与应用层的隔离,此类功能的实现依附于MDL内存映射机制实现。
关于MDL的一些事情
zacklin的专栏
04-16 5215
微软的文档里对MDL的描述感觉语焉不详,这两天在找工作的间隙逆向+黑盒测试了一下MmBuildMdlForNonPagedPool,把得到的一些理解描述下来。 一.MDL数据结构     MDL是用来建立一块虚拟地址空间与物理页面之间的映射,结构定义如下:     [cpp] view plaincopy typedef struct _MDL {    struc
关于IoAllocateMdl,MmProbeAndLockPages以及MmBuildMdlForNonPagedPool
04-03 1173
I/O多数是异步的(如DPC),在执行I/O的过程中用户模式线程在不断切换,所以处理I/O时访问的虚拟地址已不是原先发出I/O请求的线程的地址,那样将发生错误。创建MDL将原先位于用户空间的缓冲区内容映射到系统空间,由于用户模式内存是切换的而系统模式内存对所有进程都是不变的,故不会发生以上问题。
如何写windows系统已保护的内存区域
08-13 1035
indows系统在某些版本下对某些内存区域启用了写保护的功能,因为这些区域一般合法程序是不可能修改其内容的,那么我们如何来写这些内存呢?PS:1) 这些系统包括:windows xp与windows 2003  2) CPU提供写保护的功能是从486开始的  3) 一般合法程序不包括杀毒软件,因为他们在Ho
WIN7 开启PAE突破4G内存使用限制
冷月宫主的专栏
10-07 1万+
windows32位系统的最高内存使用值是4G,显示使用值不超过3.5G。也就是说,即使物理内存卡的容量累计超过了4G,系统也无法利用超过4G部分。 PAE,物理地址扩展,是基于x86 的服务器的一种功能,它使运行 Windows Server 2003, Enterprise Edition 和 Windows Server 2003,Datacenter Edition 的计算机可以
初步认识MDL
chenyujing1234的专栏
12-17 1万+
一、 内存描述符列表 (MDL) 是一个系统定义的结构,通过一系列物理地址描述缓冲区。执行直接 I/O 的驱动程序从 I/O 管理器接收一个 MDL 的指针,并通过 MDL 读写数据。一些驱动程序在执行直接 I/O 来满足设备 I/O 控制请求时也使用 MDL。 驱动程序编写人员不应该假设 MDL 描述的内存页的顺序或内容。驱动程序不得依赖于 MDL 指向的任何位置的数据值,并且不应该直接取消
在用户态进行虚拟空间地址向物理空间地址的转换
Flier's Sky
04-05 1779
http://flier_lu.blogone.net/?id=1428057    在《自动获取 NT 系统服务描述表与函数名映射表》一文中,我给出了一个从虚地址向物理地址转换的经验函数。以下为引用: PHYSICAL_ADDRESS TPhysicalMemoryMapping::LinearAddressToPhysicalAddress(LPCVOID lpVi
1.数据库构建:以3次打药和2次失血进行举例,大家需将20210322.txt内容(失血或打药次数,每次开始结束时间)转换为小型数据库,方便后期读取,变量,矩阵,结构体等格式不限。 2.数据截取,读取自行构造的数据库,根据数据库中每次开始结束时间节点和原数据中第一列的时间对数据进行截取,可以利用代码一次性截取所有片段,也可以选择需要对特定片段进行截取,如需要放血第二次数据,可根据数据库信息仅截取放血第二次数据,其他数据不截取。对个截取的数据段进行保存(为方便检验,数据段命名格式统一为Drug_first_segment、Drug_second_segment和Bloodloss_first_segment、Bloodloss_second_segment,依次类推) 注意:因为每次失血和打药次数是随机的,因此1-2部分要求利用matlab代码自动实现,第2部分的截取过程不能人为设置开始结束时间,必须都是从第1部分自行构建的数据库中读取然后自动进行截取。
06-03
1. 数据库构建: 首先需要读取文本文件内容,并将其转换为一个结构体数组。假设文本文件中的内容格式为: ``` 2021-03-22 08:00:00, Drug, Start 2021-03-22 08:10:00, Drug, End 2021-03-22 10:00:00, Bloodloss, Start 2021-03-22 10:30:00, Bloodloss, End 2021-03-22 13:00:00, Drug, Start 2021-03-22 13:30:00, Drug, End 2021-03-22 16:00:00, Bloodloss, Start 2021-03-22 16:30:00, Bloodloss, End ``` 则可以使用如下代码将其转换为一个结构体数组: ```matlab % 读取文本文件内容 fileID = fopen('20210322.txt','r'); formatSpec = '%s %s %s'; data = textscan(fileID, formatSpec, 'Delimiter', ', '); fclose(fileID); % 构建数据库 num_events = length(data{1}); for i = 1:num_events db(i).time = datetime(data{1}{i}, 'InputFormat', 'yyyy-MM-dd HH:mm:ss'); db(i).type = data{2}{i}; db(i).status = data{3}{i}; end ``` 这样就可以将原始数据转换为一个名为`db`的结构体数组,其中每个元素包含了一次失血或打药的开始结束时间和类型。 2. 数据截取: 根据构建好的数据库`db`,可以使用如下代码对原始数据进行截取: ```matlab % 读取原始数据 data = load('data.mat'); % 遍历数据库,截取数据 for i = 1:length(db) type = db(i).type; status = db(i).status; if strcmp(status, 'Start') start_time = db(i).time; else end_time = db(i).time; segment_name = [type, '_', status, '_segment']; segment_data = data.data(data.time >= start_time & data.time <= end_time, :); assignin('base', segment_name, segment_data); end end ``` 这段代码会将原始数据`data`按照数据库中的每一次失血或打药进行截取,并将截取到的数据保存在一个变量中。`assignin('base', segment_name, segment_data)`这一行代码会将截取到的数据保存在工作空间中,变量名为`segment_name`。例如,对于第一次打药,截取到的数据会被保存在变量`Drug_first_segment`中。 这样就可以实现自动截取数据,并将截取到的数据保存在工作空间中,方便后续的处理和分析。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值