windbg由虚拟地址查找对应物理地址(内核调试)

最新推荐文章于 2022-04-13 15:26:29 发布
最新推荐文章于 2022-04-13 15:26:29 发布
阅读量867 收藏
点赞数
分类专栏: 调试

转载自:https://blog.csdn.net/wesley2005/article/details/81303435

(1)虚拟地址通过pte指令,找到pfn

假设虚拟地址为0xfffff880`00d5e9e0

0: kd> !pte 0xfffff880`00d5e9e0
                                           VA fffff88000d5e9e0
PXE at FFFFF6FB7DBEDF88    PPE at FFFFF6FB7DBF1000    PDE at FFFFF6FB7E200030    PTE at FFFFF6FC40006AF0
contains 000000007FF84863  contains 000000007FF83863  contains 000000007FF8C863  contains 8000000000BE0963
pfn 7ff84     ---DA--KWEV  pfn 7ff83     ---DA--KWEV  pfn 7ff8c     ---DA--KWEV  pfn be0       -G-DA--KW-V

找到pte对应的pfn为0xbe0,单位是4k(4096)。

(2)根据pfn和相对地址,找到虚拟地址对应物理地址位置

pfn为0xbe0,则物理页地址是0xbe0000(0xbe0 × 0x1000)。

页内偏移为0x9e0(0xfffff880`00d5e9e0)

那么 物理地址=物理页地址+页内偏移 = 0xbe0000+0x9e0 = 0xbe09e0

(3)打印物理内存和虚拟内存

打印物理内存

0: kd> !dc 0xbe09e0
#  be09e0 00000114 00000006 00000001 00001db1 ................
#  be09f0 00000002 00000000 00000000 00000000 ................
#  be0a00 00000000 00000000 00000000 00000000 ................

打印虚拟内存

0: kd> dc 0xfffff880`00d5e9e0
fffff880`00d5e9e0  00000114 00000006 00000001 00001db1  ................
fffff880`00d5e9f0  00000002 00000000 00000000 00000000  ................
fffff880`00d5ea00  00000000 00000000 00000000 00000000  ................

 

发现两者相同
 

Oo璀璨星海oO
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用WinDbg查看保护模式分页机制下的物理地址
weixin_42486644的博客
06-20 2208
    我们知道,当今主流的x86/x64 Intel处理器默认都使用了保护模式,不同于8086时代的实模式机制,保护模式和分页机制实现了内核层与用户层隔离,进程间执行环境隔离。    对Win32系统比较熟悉的人都知道系统为每一个进程都分配了4GB的进程空间,其中低2GB是用户层空间,而高2GB是内核层空间,而内存地址使用的分页机制下的虚拟地址,而虚拟地址需要通过分页机制的层层转换,才能找到映射...
Windbg验证物理地址
最新发布
m0_62601763的博客
09-21 167
【代码】Windbg验证物理地址
windbg找到一个虚拟地址物理地址.doc
07-31
windbg找到一个虚拟地址物理地址.doc
使用Windbg调试内核
kendyhj9999的专栏
01-16 1009
使用Windbg调试内核      [原文:http://blog.pfan.cn/xman/44320.html] Windbg是微软开发的免费源码级调试工具。Windbg可以用于Kernel模式调试和用户模式调试,还可以调试Dump文件。 1.从http://www.microsoft.com/whdc/devtools/debugging/installx86.mspx
xp+WinDBG+VMware调试内核
weixin_34415923的博客
12-14 260
原文地址:http://hi.baidu.com/1ian9yu/blog/item/96e29bb357acbfa2d8335a25.html根据此文,很顺利的完成了源码级调试设置。    呵呵,搞点突兀的标题而已。其实说的还是如何使用WinDBG和VMware来搭建调试内核的环境而已,这些网上已经有数不清的教程了,不过我喜欢自己亲手写一下。第一,把这个过程写一遍能加深印象,就算以后忘记了也可...
windows 内核调试工具 Windbg
03-16
Windbg是一款强大的Windows操作系统调试工具,尤其在内核调试领域具有广泛的用途。它由Microsoft开发,被广泛应用于系统开发者、驱动程序开发者以及系统管理员之中,以解决各种复杂的系统问题,如性能瓶颈、崩溃...
使用WinDbg内核调试
05-05
本文介绍的是在windows系统下进行C代码开发时的一种借助于WinDbg 工具进行代码调试的工具。
win7 64bit下windbg本地内核调试方法
08-19
win7 64bitwindbg本地内核调试,网上提到的不能是实现的本地内核调试的解决方案,纯摸索得到方法。
WINDBG内核调试工具
07-20
Windbg是在windows平台下,强大的用户态和内核调试工具。相比较于Visual Studio,它是一个轻量级的调试工具,所谓轻量级指的是它的安装文件大小较小,但是其调试功能,却比VS更为强大。它的另外一个用途是可以用来...
windbg虚拟地址转换为物理地址
shuishan_lmy的博客
06-07 543
Windbg解析程序运行时虚拟地址对应物理地址
weixin_44922845的博客
03-02 2065
分析虚拟地址 本次实验使用 Windbg 解析 hello25.exe 程序运行时虚拟地址 0x00403000h 对应物理地址,那么首先我们先对虚拟地址 0x00403000h 进行分析。 在 64 位操作系统下,虚拟地址的 63-48 位是符号扩展位,在虚拟地址物理地址的转换过程中没有实际作用,所以我们重点关注剩下的 48 位,其中,47-39 位表示 PML4E,38-30位表示PDPT...
WinDBG 配置内核双机调试
weixin_30790841的博客
09-19 572
WinDBG 是在 windows 平台下,强大的用户态和内核调试工具,相比较于 Visual Studio 它是一个轻量级的调试工具,所谓轻量级指的是它的安装文件大小较小,但是其调试功能,却比VS更为强大,WinDBG由于是微软的产品所以能够调试Windows系统的内核,另外一个用途是可以用来分析dump数据,本笔记用于记录WinDBG内核调试的配置过程,并附有常用命令的使用方法。 ...
搭建Windbg和Hyper-V第二代虚拟机,双机调试内核环境
赫的BLOG
09-20 4126
VMware太重了,4G内存笔记本跑起来好吃力,我的另外一台E3+16G电脑,装上VMware开机速度变得很慢,于是研究下,用windows原生的虚拟机配合Windbg双机调试 系统最低win10,记得开启bios上的虚拟化支持 第一步: 首先需要安装Windbg运行环境,访问visualstudio.com 下载最新版的VisualStudio,如果你是学习和个人研究用途,就使用社区版吧,
实践使用WinDBG虚拟地址转换到物理地址
梵·烈火的专栏
01-26 3726
正在逐章学习《调试软件》一书,看到2.7分页机制。仿照书上的例子,试着手工把虚拟地址转换到物理地址。 由于书中的例子是针对未开启PAE的情况,而我的XP SP2默认开启了PAE,所以白白浪费了大半天时间。话说以前还真不知道启动参数里面/noexecute=optin也会开启PAE。 后来在网上找到了作者针对开启PAE后如何转换的文章,重新实验了一下。原文地址:http://advdbg.org
恶意代码分析实战 --- 第十章 使用Windbg调试内核
abelxu
05-31 969
一、安装内核调试 1.配置虚拟机 编辑C:\boot.ini ,该文件为隐藏文件,将文件按下面方式进行修改 /debug表示开启内核调试 /debugport=COM1表示使用哪个端口来连接调试系统与被调试系统 /baudrate=115200表示指定串口数据传输速率。 [boot loader] timeout=30 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] multi(0)disk(0)rdisk(
CPU 如何根据虚拟内存地址找到真实的内存地址
小菜的OnePiece的博客
04-13 1349
1. 确定页目录基址 每一个CPU都有一个页目录基址寄存器,最高级页表的基地址就存在这个寄存器里。在X86上,这个寄存器是CR3.每一次计算物理地址时,MMU都会从CR3寄存器中取出页目录所在的物理地址。 2. 定位页目录项(PDE) 一个32位的虚拟地址可以拆成10位,10位和12位3段,上一步找到的页目录表基址加上高10位的值乘以4,就是页目录项的位置。这是因为,一个页目录项正好是4字节,所以1024个页目录项共占据4096个字节,即是4M,刚好组成1页,而1024个页目录项需要10位进行编码。这样,我
Windbg学习----地址地址范围语法
weixin_30300523的博客
06-14 166
1.在MASM表达式中,你可以用poi来取任意指针指向的值 0:000> .expr Current expression evaluator: MASM - Microsoft Assembler expressions 0:000> dd eip L1 77ce054e fc7589cc 0:000> dd poi(77ce054e) L1 fc7589cc ?...
windbg根据堆内存地址查找分配内存的代码位置
omage的专栏
02-14 4964
废话少说,用例子介绍 1. 写一个最简单的程序,编译生成 test.exe程序 int _tmain(int argc, _TCHAR* argv[]) { char* a = new char[1000]; return 0; } 2. 命令行窗口输入:  gflags -i test.exe +ust 这步操作的意义在于为这个test.exe程序单独建立堆栈
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值