AMD CPU X64位模式下4-kbyte虚拟地址到物理地址的转换

最新推荐文章于 2023-06-24 19:11:10 发布
最新推荐文章于 2023-06-24 19:11:10 发布
阅读量568 收藏
点赞数
分类专栏: 软件调试 文章标签: amd x64 虚拟地址 物理地址 windbg
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lazyforest/article/details/104133484
版权

 

 

        初学调试技术,记录一下X64位模式下4-kbyte虚拟地址转换到物理地址的验证流程,该模式下虚拟地址包含了4个表的索引以及一个地址偏移,其中的47到0这个48个位分段对应了PML4E,PDPE,PDE,PTE这4个表的索引值,以及地址偏移,对应的位置和位数下图:

 

 

 

这里只是示意一下,我是看了AMD64 Architecture Programmer’s Manual Volume 2 System Programming这本手册中的Page Translation and Protection 这一章才对相关的模式的细节有所了解,需要说明的是Intel和AMD的CPU的实现是不同的所以如果你和我一样是AMD的CPU,要想搞懂在没有其它的资料的情况下是需要看一遍的,欢迎各位同学推荐其它相关资料。

 

 

我的环境是windows10 , CPU 是AMD Ryzen 7 1700X,工具用到了vc++,windbg,livekd。

首先用vc++写个小程序用来调试代码如下:

 

#include<Windows.h>

#include<stdio.h>

 

int main()

{

Sleep(1);

char c[10] = "123456789";

return 0;

 }  

 

调用Sleep(1) 这个函数用来在windbg调试的时候下断点确定代码位置,用于定位语句char c[10] = "123456789";的位置。c[10] = "123456789"这个变量的数字可以稍微长点有规律点,这样容易在内存中识别出来。

 

然后用windbg 在用户模式打开这个这个小程序进行调试,下断点:  

 

0:000> bp KERNELBASE!Sleep

 

运行遇到断点停下,跳出sleep函数,在我的环境下再走几步就到了这句:

 

00007ff7`95b41812 f3a4  rep movs byte ptr [rdi],byte ptr [rsi]

 

这句应该是char c[10] = "123456789"; 的汇编语句,这时查看了rdi的包含的地址

是7ff795b49bb0,然后执行赋值的语句,接着用命令查看这个位置:

 

0:000> dd 7ff795b49bb0

 

00007ff7`95b49bb0  34333231 38373635 00000039 00000000

00007ff7`95b49bc0  00000000 00000000 00000000 00000000

00007ff7`95b49bd0  00000000 00000000 00000000 00000000

00007ff7`95b49be0  00000000 00000000 00000000 00000000

00007ff7`95b49bf0  00000000 00000000 00000000 00000000

00007ff7`95b49c00  00000000 00000000 00000000 00000000

00007ff7`95b49c10  00000000 00000000 00000000 00000000

00007ff7`95b49c20  00000000 00000000 00000000 00000000

 

这个地址中值已经赋上了,接下来把这个地址翻译成二进制格式,以便获取索引值和偏移:

 

0:000> .formats 00007ff7`95b49bb0

Evaluate expression:

  Hex:     00007ff7`95b49bb0

  Decimal: 140701345291184

  Octal:   0000003777362555115660

  Binary:  00000000 00000000 01111111 11110111 10010101 10110100 10011011 10110000

  Chars:   .......

  Time:    Wed Jun 13 04:22:14.529 1601 (UTC + 8:00)

  Float:   low -7.29471e-026 high 4.59051e-041

  Double:  6.95157e-310

 

进程不要关了,接下来用livekd进入内核模式,首先通过进程id找出前面程序的DirBase目录表的地址,通过这个地址可以找到PML4E,然后结合虚拟地址中获得的索引值找对应项,这里DirBase3ec228000

 

 

 0: kd> !process 22a8

 

Searching for Process with Cid == 22a8

PROCESS ffffe703ba3cb280

    SessionId: 1  Cid: 22a8    Peb: bd605d6000  ParentCid: 4070

FreezeCount 1

DirBase: 3ec228000  ObjectTable: ffff9c85f9b75b40  HandleCount:  42.

 

 

下面的命令是找PML4E中对应的项目,其中 0x7f8 是虚拟地址中39到47位二进制表示的数字乘以8字节得出的,因为PML4E中的项目在该模式下是8字节一项,这项的值是0a000002`8ab38867 根据前面手册中的描述,该值二进制12到51位表示下一级表的地址,取得了这个地址再加上虚拟地址中对应的索引值就可以找到下一个表中对应的项目:

 

 

0: kd> !dq 3ec228000 + 0x7f8

#3ec2287f8 0a000002`8ab38867 00000000`00000000

#3ec228808 00000000`00000000 00000000`00000000

#3ec228818 00000000`00000000 00000000`00000000

#3ec228828 00000000`00000000 00000000`00000000

#3ec228838 00000000`00000000 00000000`00000000

#3ec228848 00000000`00000000 00000000`00000000

#3ec228858 00000000`00000000 00000000`00000000

#3ec228868 00000000`00000000 00000000`00000000

 

 

 

上一步找到的值取12到51位是028ab38000加上对应的索引值找PDPE中对应的项目:

 

0: kd> !dq 028ab38000 + 0xef0

#28ab38ef0 0a000003`46d39867 00000000`00000000

#28ab38f00 00000000`00000000 00000000`00000000

#28ab38f10 00000000`00000000 00000000`00000000

#28ab38f20 00000000`00000000 00000000`00000000

#28ab38f30 00000000`00000000 00000000`00000000

#28ab38f40 00000000`00000000 00000000`00000000

#28ab38f50 00000000`00000000 00000000`00000000

#28ab38f60 00000000`00000000 00000000`00000000

 

 

 

同理找PDE中对应的项目:

 

0: kd> !dq 346d39000 + 0x568

#346d39568 0a000002`6ef3a867 00000000`00000000

#346d39578 00000000`00000000 00000000`00000000

#346d39588 00000000`00000000 00000000`00000000

#346d39598 00000000`00000000 00000000`00000000

#346d395a8 00000000`00000000 00000000`00000000

#346d395b8 00000000`00000000 00000000`00000000

#346d395c8 00000000`00000000 00000000`00000000

#346d395d8 00000000`00000000 00000000`00000000

 

 

同理找PTE中对应的项目:

 

0: kd> !dq 346d39000 + 0x568

#346d39568 0a000002`6ef3a867 00000000`00000000

#346d39578 00000000`00000000 00000000`00000000

#346d39588 00000000`00000000 00000000`00000000

#346d39598 00000000`00000000 00000000`00000000

#346d395a8 00000000`00000000 00000000`00000000

#346d395b8 00000000`00000000 00000000`00000000

#346d395c8 00000000`00000000 00000000`00000000

#346d395d8 00000000`00000000 00000000`00000000

 

 

最后加上偏移找到物理内存地址:

 

0: kd> !dq 26dacb000 + 0xbb0

#26dacbbb0 38373635`34333231 00000000`00000039

#26dacbbc0 00000000`00000000 00000000`00000000

#26dacbbd0 00000000`00000000 00000000`00000000

#26dacbbe0 00000000`00000000 00000000`00000000

#26dacbbf0 00000000`00000000 00000000`00000000

#26dacbc00 00000000`00000000 00000000`00000000

#26dacbc10 00000000`00000000 00000000`00000000

#26dacbc20 00000000`00000000 00000000`00000000

 

可以看到内核模式下该物理地址的值和用户模式下虚拟地址的值是一致,欢迎各位同学指正,共同进步。

lazyforest
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
虚拟地址物理地址的映射(二)
chensong_2000的博客
09-27 518
总结起来,一个变量的寻址过程就是,在编译或运行时被分配虚拟地址物理内存,内核为该虚拟地址物理内存的地址以该进程的PGD表为基础,建立映射关系,并将PGD的物理地址交给MMU,MMU根据映射关系通过虚拟地址找到物理地址,并按照程序的要求读写其中的内容。1)编译和链接filemap-addr:0x7fc3d3e4c000 内存映射文件虚拟地址g-addr:0x4c82f0 全局变量虚拟地址stack-addr:0x7ffe03a8ef1c 栈内变量虚拟地址
amd64下的几种地址形式
lokeli的博客
07-26 271
1、虚拟地址虚拟地址并不是特指某一种类型的地址,而是泛指一类,所有的非物理地址都可以称为称为虚拟地址。 2、逻辑地址: 逻辑地址分两部分,基址和偏移地址,偏移地址就是我们编程中使用的地址,比如一个指针变量记录的记录就是逻辑地址中点偏移地址,基址在编程中是不能被直接使用,而是通过段选择子(cs、ds等)当作GDT表或LDT表的下标计算出基址 3、线性地址: 通过逻辑地址的基址加偏移地址
Windows x64内核学习笔记(四)—— 9-9-9-9-12分页
qq_41988448的博客
03-02 3551
Windows x64内核学习笔记(四)—— 9-9-9-9-12分页前言9-9-9-9-12分页实验一:线性地址物理地址页表基址PTE to PXE实验二:通过页表基址定位各级页表的物理页参考资料 前言 在学习VT虚拟化技术的EPT物理地址转换时,我们简单提到过9-9-9-9-12分页的概念,即支持48位物理地址转换。 9-9-9-9-12分页 描述:随着计算机技术的发展,64位系统逐渐占据主流地位,那么也就表示CPU的最大寻址范围为64位。但实际上,CPU实际使用只使用了其中的48位用于寻址,寻址方式
64位驱动相对偏移的计算E8call
yufengly1984的专栏
12-02 1634
fffff800`041720bc e83b010000      call    nt!PsLookupProcessByProcessId (fffff800`041721fc) fffff800`041720c1 8bd8            mov     ebx,eax tempPsOpenProcess = (PBYTE)g_NtOpenProcessAddress +
PE偏移
weixin_43229322的博客
09-13 214
±--------±--------±--------±--------±--------±--------+ | 段名称 虚拟地址 虚拟大小 物理地址 物理大小 标志 | ±--------±--------±--------±--------±--------±--------+ | Name VOffset VSize ROffset RSiz...
64位汇编跳转,64位HOOK
qq_36570644的博客
04-22 3288
传统JMP 只支持32位的程序, 64位程序的地址有 8个字节 ,直接JMP只支持4个字节,跳转的地址和HOOK地址相减超过4个字节 就会出错了 在64位 可以这样跳, push rax 保存寄存器 mov rax,目标绝对地址 jmp rax pop rax 还原寄存器 很简单,如果你分配的内存地址是64位的话。如: 504BEA0000, 根据我帖子里的回复,你可以这样 方...
88E6390X-88E6190X-Datasheet
07-11
这意味着88E6390X和88E6190X内部集成了一个200 MHz的Z80兼容CPU,这是一种经典的微处理器架构,能够处理复杂的网络协议和管理任务,确保了芯片的高效运行和快速响应。 2. **集成60 Kbyte零等待状态RAM**: 零等待...
Atmel为受欢迎的8O51闪存微控制器家族新增128Kbyte闪存器件
11-29
该设备是对现存的16Kbyte、32Kbyte和64Kbyte的包括AT89C51RB2/RC2/RD2/ED2的8O51闪存微控制器家族的补充,而这些微处理器已经成为行业标准。 AT89C51RE2具有一全套的功能,其中包括:8Kbyte的RAM、2个UART(通用非...
MIPSI指令集32位CPU 设计实例
01-15
此外,CPU内置了4KByte的L1 Cache,用于指令和数据的快速访问,并通过硬件初始化,简化了系统的配置。虽然MIPSI指令集不包含TLB(Translation Lookaside Buffer),但CP0协处理器提供基本的页面映射功能。 MIPSI...
CPU设计实例.pdf
11-30
CPU还具有静态流水线(3~5级)、Forwarding技术、片内L1 Cache、指令和数据各4KByte的硬件初始化。 MIPS指令格式介绍: * R类型指令(寄存器):OP rs rt rd shamt funct * I类型指令(立即数):OP rs rt Imm ...
UM3102-RT-Thread-W60X-SDK 介绍1
08-03
4. **固件打包功能**:帮助开发者将编译好的程序代码打包成可烧录到开发板上的固件,简化了发布流程。 此外,SDK还包括详尽的文档资料,不仅介绍了SDK本身,还详细讲解了WM_Library的使用方法,为初学者和经验丰富...
Debugging Tools for Windows中Livekd的设置。
sunwear的专栏
10-25 6746
记得安全焦点上曾经有一个帖子问到过相关的问题,说是缺少livekd.sys。主要就是由于设置不对导致livekd无法使用。有些人是直接把livekd.exe放到windbg目录下运行,当然没有符号文件白费的,今天又有个人遇到了同样的问题。其实设置起来很简单。第一步当然要保证livekd在Debugging Tools for Windows的安装目录下。然后右击我的电脑→属性→高级→环境变量。在用
地址与整形转化(64bit/32bit)
戴子天的博客
09-29 566
static inline uint32_t LL2L(void *addr) { union { void *addr; uint32_t u32; } temp; temp.addr = addr; return temp.u32; } static inline void* L2LL(uint32_t data) { union { void *addr; uint32_t u
内存管理:物理地址虚拟地址、逻辑地址
热门推荐
一个搬运知识的笨小孩
07-11 1万+
简要介绍物理地址,虚拟地址,逻辑地址及其关系
【Linux从入门到精通】进程地址空间(虚拟地址 vs 物理地址
weixin_67596609的博客
06-24 2038
本篇文章会围绕三个问题(什么是地址空间?地址空间是如何设计的?为什么要有地址空间?)进行展开讲述。其中主要是了解虚拟地址物理地址的区别。希望本篇文章会对你有所帮助。
【linux--->虚拟地址空间】
kk1125778230的博客
03-14 1059
要了解地址空间,我们首先要打破在学习C语言时,对于地址的片面的见解,只是简单的认为我们看见的指针变量中存储的,或者是&变量名而得到的地址就是物理地址。其实不然,我们平时使用和看到的地址只是一个存在于虚拟地址空间的虚拟地址。下面一段C语言代码可以验证从这一段代码可以看出相同地址下存储的值是不一样的,如果这是物理地址的话,那么这是不符合常理的,所以我们在高级语言中使用的不是物理地址,而是虚拟地址
虚拟地址
大象
08-09 2443
http://blog.sina.com.cn/s/blog_a46817ff0101hjzp.html概念 每个程序拥有自己的地址空间,这个地址空间被分割成多个块,每一块称作一页或页面。每一页有连续的地址范围。这些页被映射到物理内存,但并不是所有的地址空间必须在内存中才能运行程序。当程序引用一部分在物理内存中的地址空间时,有硬件立刻执行必要的映射。当程序引用的到一部分不在物理内存中的地址空间时
K-means聚类.py ACM比赛常用算法k-means算法
最新发布
07-14
K-means聚类.py ACM比赛常用算法k-means算法

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值