【软件安全】查看可执行文件4G内存的分布,PDE&PTE与文件节属性关联

最新推荐文章于 2022-12-04 15:16:06 发布
最新推荐文章于 2022-12-04 15:16:06 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: 软件安全 文章标签: 软件安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/li_jiaqian/article/details/69649369
版权

执行编写的“Hello world,查看其4G内存的分布及其PDEPTE内容:


1.安装windbg调试器:


Install Debugging Tools for Windows 32-bit Version:
http://www.microsoft.com/whdc/devtools/debugging/installx86.mspx
Install Debugging Tools for Windows 64-bit Versions:
http://www.microsoft.com/whdc/devtools/debugging/install64bit.mspx


2.配置windbg:


(1)从微软官网上下载Symbols:

     http://msdl.microsoft.com/download/symbols

     解压到相应文件夹,此处解压到f:/symbols

 

(2)添加环境变量_NT_SYMBOL_PATH:

    

    


(3)打开windbgFile->Symbol File Path,填上Symbols下载安装的地址:



(4)File->OpenExecutable->可以选择一个可执行文件进行调试:


 !address -summary:



(5)若要进入内核调试,重启windbg,管理员模式运行,File->Kernel Debug


a.找到目标可执行文件:



b . 页目录基地址:

方法一:

方法二:


(6)节属性与PDE&PTE的关联:


a.使用!address查看:




b.使用PEView打开hello4.exe

此处以查看.text节为例:



我们可以看到.text节开始于00401000,属性为60500020:可读+可执行+16字节对齐+包含代码


在!address里截取相关信息:


保护属性为PAGE_EXECUTE_READ(执行并可读),于.text节属性一致


(7)手动修改hello4”可执行文件的节属性(RWX),然后执行该程序,分析其PDEPTE内容的变化


a.在winhex中修改.text节属性:

 

原属性:60500020,对应于PAGE_EXECUTE_READ



修改为:80500020,可写+16字节对齐+包含代码:



b.重新在windbg中打开hello4.exe,输入!address



可以看到,保护属性变成了PAGE_WRITECOPY(写时拷贝)。


另:保护模式:Protect值,所有可用的保护包括:PAGE_NOACCESS(不可访问),PAGE_READONLY(只读),PAGE_READWRITE(读写),PAGE_EXECUTE(可执行), PAGE_EXECUTE_READ(执行并可读),PAGE_EXECUTE_READWRITE(执行并可读写),PAGE_WRITECOPY(写时拷贝),PAGE_EXECUTE_WRITECOPY(执行,并写时拷贝), PAGE_GUARD(保护)。







Li_JiaQian
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PDE,PTE,页目录表,页表的内存管理.docx
07-31
PDE,PTE,页目录表,页表的内存管理.docx
oracle安装与pde文件导入
06-06
表空间一直就可以,无须建表,不明白可留言!
理解内存分页机制
向往大海专栏
03-23 783
在8086时期,寄存器是16位,无法存放20位的物理地址,为了解决这问题,人们提出了分段机制,分段机制就是将内存分段,每段大小64kb,在段寄存器中放入段基址,然后+上段偏移量就成了物理地址或者线性地址,为什么说是或呢?因为在采用分页基址的系统中,线性地址加上页偏移量才是真正的物理地址,如果没有用分页机制,计算出来的就是物理地址。windows NT引入了内存分页机制,此种内存管理
透过MmIsAddressValid看Windows分页机制
求索
10-28 1788
标 题: 【原创】透过MmIsAddressValid看Windows分页机制作 者: combojiang时 间: 2008-03-16,00:53链 接: http://bbs.pediy.com/showthread.php?t=61327这两天在逆向分析MmIsAddressValid这个函数,学习了下PAE分页机制,并且也发现了一个问题。就是本机ntoskrnl中导出的MmIsAddre
c语言查看exe运行内存,c++ 运行时如何在C中查看我的程序的内存布局?
weixin_39903538的博客
05-25 446
在Linux中,对于进程PID,请查看/ proc / PID / maps和/ proc / PID / smaps伪引用. (进程本身可以使用/ proc / self / maps和/ proc / self / smaps.)以下是一个示例,说明如何将内容读入地址范围结构的链表.MEM-stats.h:#ifndef MEM_STATS_H#define MEM_STATS_H#i...
保护模式 x86 页保护机制
挖树
01-06 755
页的机制 目录 文章目录页的机制目录分页物理地址-线性地址-有效地址分页机制2 9 9 1210 10 12设置分页方式实验:通过线性地址找到物理地址(10-10-12)PDE PTEPDE_PTE属性P位 [0]R/W位 [1]U/S [2]P/S PDE[7] pte没有A位D位页目录表基址 0xc0300000页表基址 0xc0000000线性地址转物理地址公式 分页 物理地址-线性地址-...
保护模式 x86 PDE-PTE中的PWT_PCD位
挖树
01-10 622
PDE-PTE中的PWT_PCD位 目录 文章目录目录CPU缓存PWT 位 [3]PCD 位 [4] CPU缓存 1>CPU缓存是位于CPU与物理内存之间的临时存储器,他的容量比内存小得多,但是交换速度却比内存要快得多. 2>CPU缓存可以做的很大,有几K,几十K,几百K甚至上M的也有. CPU缓存与TLB的区别: TLB : 线性地址<----->物理地址 CP...
图像处理与分析-变分、PDE、小波及随机方法
07-22
资源名称:图像处理与分析-变分、PDE、小波及随机方法资源截图: 资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
康佳智能电视数据 LED32R5200PDE 物料号99010417 V1.0.02 升级软件数据 引导程序 mboot
最新发布
02-07
康佳智能电视数据 LED32R5200PDE 物料号99010417 V1.0.02 升级软件数据 引导程序 mboot
PDE数值解参考资料.7z
05-11
ODE&PDE数值解法用到的资料,数学类专业专用,偏理论的东西多些,有需要者下载。
Windows x64隐藏可执行内存
鬼手的博客
12-04 5961
Windows x64隐藏可执行内存
物理内存映射 获取PTE
xDragonx的专栏
02-19 3837
IA-32的分页机制灰常给力的。弄几个函数玩typedef struct _HARDWARE_PTE_X86 { ULONG Valid : 1; ULONG Write : 1; ULONG Owner : 1; ULONG WriteThrough : 1; ULONG CacheDisable : 1; ULONG Accessed : 1; ULONG Dirty : 1; ULONG LargePage : 1;
PDEPTE
qq_41490873的博客
05-03 2508
PDT 页目录表(大小4KB),4GB内存被分成1024*1024个页,每一页的大小是4kb。 PTT 页表 (大小4KB),页表里面是页表项,记录的是页的开始位置。 PDE就是页表的基址。 PTD是页的基址。 CR3里面存放的PDT是物理地址,代码无法访问,要访问PDT的基址用C0003000 实验 向0地址写入数据 实验代码 #include "stdafx.h" #include &...
19-PDE-PTE
进击的小学生
10-02 6655
不知在第14篇《分页》文章里,你有没有搞懂什么是页,同时还延伸出了页表的概念。另外,还解释了逻辑地址、线性地址和物理地址之间的关系。我知道你脑子可能是一团浆糊,这只能怪我的语言表达能力还不够强。大段大段的文字让人读起来有时候很恼火,可是为了阐释问题,大段大段文字有时候又避免不了。所以,有时候不得不砍去细支末,压缩篇幅。为了能够强化分页的知识,本篇扼要回顾前两篇内容,精简总结几个概念之间的关系。页、
windbg查看文件PTEPDE
小雅的博客
04-13 2679
1、下载好windbg,设置好变量symbols(去官网下载对应版本的symbols)2、进入kernel debug模式的本机调试(内核调试模式),我是在xp虚拟机下进行的。3、用!process 0 0命令打印当前所有的进程信息,找到我们的exe信息(这里是hello.exe) 4、先.process 81c39020进入进程5、!pte 81c39020打印此处的PTEPDE 6、得
进程探寻之内存分布
pk_20140716的专栏
04-30 240
UNIX系统中进程都会占用4G虚拟内存4G虚拟内存又被分成不同的内存区域,用于完成不同的程序功能。本文将详细介绍进程中不同区域的功能,既内存分布情况。 用户空间与内核空间 4G虚拟内存可分为两大部分——用户空间与内核空间。用户空间占用3G内存空间,是0x00000000到0xbfffffff的内存区域。内核空间占用1G内存空间,是0xc0000000到0xffffffff的内存区域。内核空间保
plsql导入pde文件
09-19
3. 执行以上命令后,SQL*Plus会读取并执行PDE文件中的PL/SQL代码。 无论是使用SQL Developer还是SQL*Plus,导入PDE文件的过程都是将文件中的PL/SQL代码加载到数据库中。在导入完成后,可以通过数据库工具或者命令行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值