虚拟内存分析

最新推荐文章于 2023-09-22 08:55:36 发布
最新推荐文章于 2023-09-22 08:55:36 发布
阅读量497 收藏 2
点赞数
分类专栏: Windows C++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lk_HIT/article/details/114796428
版权
C++ 同时被 2 个专栏收录
18 篇文章 0 订阅
订阅专栏
Windows
5 篇文章 0 订阅
订阅专栏

 

本篇文章主要目的是对进程的用户地址空间进行一个分析。

先来了解一些概念:

区域,块,页面。

用户地址空间划分为不同的区域,然后区域划分为不同的块,块由页面组成。(如果区域是MEM_FREE,则不存在块的概念)

区域中的块是该区域内连续的页面,并且具有相同的保护属性以及以相同类型的物理存储器作为后备存储器。

分析用户地址空间区域,主要要用到VirtualQueryEx函数,该函数声明如下:

DWORD VirtualQueryEx
(
HANDLE hProcess,
LPCVOID pvAddress,
PMEMORY_BASIC_INFORMATION pmbi,
DOWRD dwLength
);

要想正确使用该函数,对MEM_BASIC_INFORMATION的准确理解不可少。

typedef struct _MEMORY_BASIC_INFORMATION 
{
    /*
    将VirtualQueryEx中的参数pvAddres向下用页面大小取整得到的地址(所在页面的起始地址)
    */
    PVOID BaseAddress;

    /*
    标识出pvAddres所在区域的基地址,如果该区域state为MEM_FREE,该值无意义(一般是0)
    */
    PVOID AllocationBase;

    /*
    标识出区域最开始预定的时候指定的保护属性
    */
    DWORD AllocationProtect;

    /*
    标识出以BaseAddress起始,然后连续的拥有相同保护属性,状态和类型的页面的大小总和。
    (我觉得这个变量名取得不好,RegionSize容易让人理解为区域的大小.
    当BaseAddress为一个块的起始地址的时候,该大小为块的大小。
    当state为MEM_FREE时,为整个区域的大小
    这个字段要重点理解,理解好了后面的就简单了)
    */
    SIZE_T RegionSize;

    /*
    BaseAddress所在页面的状态,值为下列三个值之一:MEM_FREE,MEM_RESERVE,MEM_COMMIT。
    */
    DWORD State;

    /*
    BaseAddress所在页面的保护属性(PAGE_*)
    */
    DWORD Protect;

    /*
    BaseAddress所在页面的类型(MEM_IMAGE,MEM_MAPPED,MEM_PRIVATE)
    */
    DWORD Type;
} MEMORY_BASIC_INFORMATION, *PMEMORY_BASIC_INFORMATION;

有了这个函数,我们只需要从0开始调用这个函数,然后累加地址重复调用这个函数即可。

本来用户地址空间可以看做,区域,块,页面三级去理解。但是这里面MEM_FREE状态的区域是一个异类,没有块的概念。因此我这做一些特殊处理,将MEM_FREE也看做有块的概念,里面只有一个块。这样能保证区域,块和页面的层级关系。

为了便于调试,我们为页面的状态(State),保护属性(protect),类型(type)定义三个枚举:

enum class PageState
{
  INVALID = 0,
  FREE = MEM_FREE,
  RESERVE = MEM_RESERVE,
  COMMIT = MEM_COMMIT,
};

enum class PageType
{
   INVALID = 0,
   IMAGE = MEM_IMAGE,
   MAPPED = MEM_MAPPED,
   PRIVATE = MEM_PRIVATE,
};

enum class PageProtect
{
   INVALID = 0,
   NOACCESS = PAGE_NOACCESS,
   READONLY = PAGE_READONLY,
   READWRITE = PAGE_READWRITE,
   EXECUTE = PAGE_EXECUTE,
   EXECUTE_READ = PAGE_EXECUTE_READ,
   EXECUTE_READWRITE = PAGE_EXECUTE_READWRITE,
   WRITECOPY = PAGE_WRITECOPY,
   EXECUTE_WRITECOPY = PAGE_EXECUTE_WRITECOPY,
};

然后我们需要定义个结构体,表示块信息:

struct MemBlkInfo
{
   PVOID pReginAllocationBase;         /* 块所在区域的基地址 */
   PageProtect allocationProtect;      /* 最开始预定区域时指定的保护属性 */
   SIZE_T dwSize;                      /* 块的大小 */
   PageState state;                    /* 块内页面的状态 */
   PageProtect protect;                /* 块内页面的保护属性 */
   PageType blkType;                   /* 块内页面的类型 */
};

然后我们实现一个函数,给定块的基地址,获取块的信息:

BOOL VMQueryBlks
(
HANDLE hProcess,              /* i: 进程句柄 */
LPCVOID pvBlkBaseAddress,     /* i: 块起始地址(需要调用者保证为块起始地址,该函数没有做校验,如果不是块起始地址,信息可能会错误)*/
MemBlkInfo& zBlkInfo          /* o: 块信息 */
)
{
zBlkInfo = {};
MEMORY_BASIC_INFORMATION mbi{};
if (!(VirtualQueryEx(hProcess, pvBlkBaseAddress, &mbi, sizeof(mbi)) == sizeof(mbi)))
   return FALSE;

zBlkInfo.pReginAllocationBase = mbi.AllocationBase;
zBlkInfo.allocationProtect = static_cast<PageProtect> (mbi.AllocationProtect);
zBlkInfo.dwSize = mbi.RegionSize;
zBlkInfo.state = static_cast<PageState>(mbi.State);
zBlkInfo.protect = static_cast<PageProtect>(mbi.Protect);
zBlkInfo.blkType = static_cast<PageType>(mbi.Type);

//当当前页状态为FREE时候需要特殊处理
if (zBlkInfo.state == PageState::FREE)
{
   zBlkInfo.pReginAllocationBase = mbi.BaseAddress;         /*对MEM_FREE区域而言,里面只有一个块,因此块起始地址就是区域起始地址*/
}

return TRUE;
}

基于该函数,我们可以实现一个给定区域起始地址获取该区域所有块的信息的函数:

BOOL VMQueryReginBlkInfos
(
HANDLE hProcess,                          /* i: 进程句柄 */
LPCVOID pvRegionAddr,                     /* i: 区域基地址 */
std::vector<MemBlkInfo>& vecBlkInfo       /* o: 块信息 */
)
{
vecBlkInfo.clear();

LPCVOID pvBlkBaseAddr = pvRegionAddr;

for (;;)
{
   MemBlkInfo blkInfo{};
   if (!(VMQueryBlks(hProcess, pvBlkBaseAddr, blkInfo)))
      return FALSE;

   //如果当前块的基地址与区域的基地址不相同,表明当前块不属于当前区域
   if (blkInfo.pReginAllocationBase != pvRegionAddr)
      break;

   pvBlkBaseAddr = (PVOID)((PBYTE)pvBlkBaseAddr + blkInfo.dwSize);

   vecBlkInfo.push_back(blkInfo);
}

return (TRUE);
}

 

然后我们获取区域信息,我们首先定义一个表示区域的结构体:

struct VMRegion
{
   LPCVOID pvRgnBaseAddress;        /* 区域起始地址 */
   PageProtect allocationProtect;   /* 最开始预定区域时候指定的保护属性 */
   std::wstring wstrDisp;           /* 描述 */
   SIZE_T dwReginSize;              /* 区域大小 */

   std::vector<MemBlkInfo> vecMemBlkInfo;       /* 区域中块的信息*/
};

然后我们写一个函数完成获取区域的信息

BOOL VMQueryRegion
(
HANDLE hProcess,
LPCVOID pvAddress,            /* i: 区域基地址 */
VMRegion* pVMRegion
)
{
if(!pVMRegion)
   return FALSE;

pVMRegion->allocationProtect = PageProtect::INVALID;
pVMRegion->dwReginSize = 0;
pVMRegion->pvRgnBaseAddress = NULL;
pVMRegion->wstrDisp.clear();
pVMRegion->vecMemBlkInfo.clear();

pVMRegion->pvRgnBaseAddress = pvAddress;

//获取区域内块信息
if (!VMQueryReginBlkInfos(hProcess, pvAddress, pVMRegion->vecMemBlkInfo))
   return FALSE;

if(pVMRegion->vecMemBlkInfo.size() == 0)
   return FALSE;

pVMRegion->allocationProtect = pVMRegion->vecMemBlkInfo[0].allocationProtect;

//计算区域的总大小
for (auto& blkInfo : pVMRegion->vecMemBlkInfo)
{
   pVMRegion->dwReginSize += blkInfo.dwSize;
}

//尝试获取区域关联的文件信息
if (pVMRegion->vecMemBlkInfo[0].blkType == PageType::MAPPED || pVMRegion->vecMemBlkInfo[0].blkType == PageType::IMAGE)
{
   WCHAR pszFilename[MAX_PATH]{};
   if (GetMappedFileName(hProcess, (LPVOID)pVMRegion->pvRgnBaseAddress, pszFilename, MAX_PATH) <= 0)
      return TRUE;

   pVMRegion->wstrDisp = pszFilename;

   static BOOL bLoadLogicDosDeviceMap = FALSE;
   static std::map<std::wstring, std::wstring> mapLogicDosDeviceMap;
   if (!bLoadLogicDosDeviceMap)
   {
      bLoadLogicDosDeviceMap = TRUE;
      if (!GetLogicDosDeviceMap(mapLogicDosDeviceMap))
         return FALSE;
   }

   for (auto& pair : mapLogicDosDeviceMap)
   {
      if (pVMRegion->wstrDisp.compare(0, pair.first.length(), pair.first) == 0)
      {
         pVMRegion->wstrDisp = pVMRegin->wstrDisp.replace(0, pair.first.length(), pair.second);
      }
   }
}

return TRUE;
}

 这里面有个函数GetLogicDosDeviceMap,该函数是获取设备卷名和盘符名的对应关系:

BOOL GetLogicDosDeviceMap
(
std::map<std::wstring, std::wstring>& mapDosDeviceLogicDrive
)
{
   #define BUFSIZE 1024
   TCHAR szLogicalDriveName[BUFSIZE];     
   szLogicalDriveName[0] = '\0';

   if (GetLogicalDriveStrings(BUFSIZE - 1, szLogicalDriveName))
   {
      TCHAR szDosDevice[MAX_PATH];
      TCHAR szDrive[3] = TEXT(" :");
      TCHAR* p = szLogicalDriveName;

      do
      {
         // Copy the drive letter to the template string
         *szDrive = *p;

         /*
         Look up each device name
         将各个盘符以'\0'隔开连在一起,最后是两个终止符
         */
         if (QueryDosDevice(szDrive, szDosDevice, MAX_PATH))  
         {
            mapDosDeviceLogicDrive[szDosDevice] = szDrive;
         }

         // Go to the next NULL character.
         while (*p++);
      } while (*p); // end of string
   }

   return TRUE;
}

最后,写一个函数从NULL地址开始遍历整个用户地址空间:

BOOL GetRegionInfos(DWORD processID, std::vector<VMRegion>& vecRegion)
{
   BOOL bOk = TRUE;
   PVOID pvAddress = NULL;

   HANDLE hProcess = OpenProcess(PROCESS_QUERY_INFORMATION |
      PROCESS_VM_READ,
      FALSE, processID);
   if (NULL == hProcess)
      return FALSE;

   PVOID pvAddressTmp = NULL;
   while (bOk)
   {
      VMRegion zVMRegion{};
      bOk = VMQueryRegion(hProcess, pvAddress, &zVMRegion);

      pvAddress = ((PBYTE)zVMRegion.pvRgnBaseAddress + zVMRegion.dwReginSize);
      vecRegion.push_back(zVMRegion);
   }

   return TRUE;
}

 

当type为MEM_MAPPED或者MEM_IMAGE时,调用了GetMappedFileName来获取该区域关联的文件。这点我不确定这样子对不对,如果有懂的,可以留言。

lk_HIT
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅析虚拟内存管理
Shreck66的专栏
07-23 1162
1.进程各段在内存中的分布在谈虚拟内存管理之前,我想先介绍一下进程在执行时各内存段(这里不做具体介绍,读者可自行了解)在X86体系下的分布情况: 内核映射到程序虚拟内存,但程序无法访问 argv,environ 栈 未分配的内存 堆 未初始化的数据(bss) 初始化的数据 文本(程序代码) 上图为我们形象的展示了进程各段在内存中的详细分布情况2.虚拟内存管理(1)概述在前
内存分析
bjgaocp的博客
11-01 237
1 vmstat是虚拟内存统计信息命令 r 当前正在执行的队列 b 当前等待队列阻塞 等待I/O swpd 已使用的swap大小 单位KB free 剩余物理内存大小单位KB buff 物理内存用来缓冲大小 cache 物理内存用来缓存大小 si 数据从swap读取到RAM(内存)大小 so 数据从RAM写到swap大小 bi 磁盘块从文件系统或swa...
VirtualQueryEx详解
热门推荐
baidu_25539425的博客
11-30 1万+
DWORD VirtualQueryEx( HANDLE hProcess, // 想要查询的地址空间所属的进程的句柄 LPCVOID lpAddress, // 区域地址 PMEMORY_BASIC_INFORMATION lpBuffer, // 结构缓冲区 SIZE_T dwLength
7.1 实现进程内存块枚举
最新发布
CSDN
09-22 4518
在`Windows`操作系统中,每个进程的虚拟地址空间都被划分为若干内存块,每个内存块都具有一些属性,如内存大小、保护模式、类型等。这些属性可以通过`VirtualQueryEx`函数查询得到。该函数可用于查询进程虚拟地址空间中的内存信息的函数。它的作用类似于`Windows`操作系统中的`Task Manager`中的进程选项卡,可以显示出一个进程的内存使用情况、模块列表等信息。使用`VirtualQueryEx`函数,可以枚举一个进程的所有内存块。该函数需要传入要查询的进程的句柄、基地址和一个`ME
使用VirtualQuery查看内存页面信息
lcr312的专栏
09-07 6210
<br />本文介绍了使用VirtualQuery函数查看进程内存地址空间的页面分配情况,并给出了一个例程。<br /><br />1 Win32内存布局简介<br /><br />在16位CPU的时代,受寻址范围的限制,系统所能使用的内存空间是非常少的。据说当年Bill Gates曾说过“640K内存对任何人来说都够用了”,现在看来似乎很好笑,不过做过DOS编程的人大概都还会怀念那个时代。后来有了386,有了保护模式,有了虚拟内存,多任务终于成为现实。<br /><br />在Win32环境下,寻址不再需
windows内存管理
qq_33168924的博客
11-22 426
windows内存管理 1.虚拟内存 我们在程序开发中,需要进行程序调试,或者程序在运行时,都需要接触内存的概念,这里的内存说的都是虚拟内存,不是真实的物理内存。windows采用虚拟内存的技术,使得每个程序运行在自己独立的空间中,进程之间不会相互干扰,程序开发时也只需要程序员管理自己进程的内存,使得开发变得相对简单。虚拟内存又使用分段和分页的机制进行管理。 在虚拟内存的技术可以实现下面的需求: ...
vmmap虚拟内存分析工具
09-29
VMMap是一个免费的工具,可以用来分析应用程序使用虚拟和物理内存的情况。
虚拟内存1
08-03
虚拟内存是一种计算机内存管理技术,它使得应用程序可以使用比实际物理内存大得多的地址空间。在iOS系统中,虚拟内存同样被广泛运用,确保应用程序能够高效地运行,即使实际可用的物理内存有限。 在这个问题中,...
虚拟内存
07-26
4. **数据处理**:数据分析、计算密集型任务等需要快速读写大量数据的场景,虚拟内存盘能提供显著的性能提升。 创建和管理虚拟内存盘通常需要借助第三方软件,如“Ramdisk”等工具。用户可以根据需求设定虚拟内存盘...
用VC写的内存修改器
05-11
用法和金山游侠大致相同,主要使用VirtualQueryEx和ReadProcessMemory还有WriteProcessMemory等api函数实现。功能简洁,很适合参考学习。
Linux虚拟内存管理分析
03-16
Linux虚拟内存管理分析。大概介绍了内存管理的几个模块。
内存虚拟硬盘软件
10-08
内存虚拟硬盘 VSuite Ramdisk 广泛应用于多个领域,尤其应用于服务器系统,2D/3D图像图形处理系统,实时监控分析系统等要求快速处理海量数据的应用环境。 特性: 几乎完全等效真实物理硬盘,可被Windows硬盘管理器或...
基于Windows Mobile 6的VirtualQueryEx函数实现。
weixin_33860528的博客
04-06 294
VirtualQueryEx这个函数很有用,可以用于查询目标进程地址空间中内存地址的信息。但此函数在Win CE 6.0以前是不被支持的(Windows Mobile 6是基于WinCE 5.2的)。 不过也不是没有办法的,WinCE中有一未公开API:PerformCallBack4。函数声明如下: extern "C" DWORD WINAPI PerformCallBack4(CALLB...
Windows核心编程笔记(十四)探索虚拟内存
春暖花开
01-20 1135
在编程中对由于每个系统中页面大小,分配粒度等系统参数是不同的,因此在代码中不能将这些值写死,应该通过系统API动态获取这些值。 GetSystemInfo可以获取一些基本的系统信息 void WINAPI GetSystemInfo( __out LPSYSTEM_INFO lpSystemInfo ); 需要传入一个被写的SYSTEM_INFO结构体 typedef st
C/C++ 扫描特定进程内存状态
m0_46135508的博客
09-03 879
C/C++ 扫描特定进程内存状态 扫描内存分页情况: #include <iostream> #include <windows.h> VOID ScanMemory(HANDLE hProc) { SIZE_T stSize = 0; PBYTE pAddress = (PBYTE)0; SYSTEM_INFO sysinfo; MEMORY_BASIC_INFORMATION mbi = { 0 }; //获取页的大小 ZeroMemory(&sysinf
WINDOWS核心编程——Windows内存管理
pokeyode的专栏
07-18 8820
想要了解Windows内存体系结构首先要对系统的内存的分段分页和进程隔离机制要有所了解。系统为了对进程进行隔离,使得每个进程只能访问自己申请的内存而不能访问其他进程的内存资源,对每个进程的内存使用线性地址编制,在通过内存的分页机制在进程需要访问物理内存时通过进程的页表找到世界的物理内存的地址通过系统读写内存中的数据。在早期总线(20位寻址1M)大于寄存器(16位寻址64k)的情况下为了表示更多的物
内存监视
野狼
05-28 8396
一、实验目的 熟悉Windows存储器管理中提供的各种机制和实现的请求调页和群集技术。 Windows提供给应用程序的内存方式具有统一的简明和保护性的特点。另外,用户不需要知道操作系统如何分配内存,只需要知道应用程序如何分配内存即可。 通过实验,了解Windows内存结构和虚拟内存的管理,学习如何在应用程序中管理内存,体会Windows应用程序使用内存的简单性。了解当前系统中内存的使用情况,
C++构造函数和析构函数中调用虚拟函数
lk_HIT的博客
01-16 1888
C++ 析构函数 构造器 虚拟函数
clickhouse使用虚拟内存
08-16
ClickHouse 是一个开源的分布式列式数据库管理系统,它可以处理大规模的数据并提供高性能的查询和分析。在 ClickHouse 中,虚拟内存是一种用于管理和分配内存的机制。 虚拟内存是操作系统提供的一种内存管理技术,它将计算机的物理内存和磁盘上的部分空间结合起来,形成一个统一的地址空间。通过虚拟内存,操作系统可以将当前正在使用的数据和指令加载到物理内存中,并在需要时将不常用的数据换出到磁盘上,以便为其他进程或数据腾出空间。 在 ClickHouse 中,使用虚拟内存有以下好处: 1. 提高整体性能:通过使用虚拟内存,ClickHouse 可以将数据压缩并存储在磁盘上,只在需要时才将其加载到内存中。这样可以减少内存的使用量,提高整体性能。 2. 节省内存:虚拟内存允许 ClickHouse 将数据分页加载到内存中,只加载当前查询所需的部分数据。这样可以节省内存的使用,特别是在处理大规模数据时尤为重要。 3. 支持大规模数据处理:ClickHouse 可以处理大规模的数据集,虚拟内存的使用使得 ClickHouse 能够将更多的数据存储在磁盘上,从而支持更大规模的数据处理。 总的来说,ClickHouse 使用虚拟内存可以提高性能、节省内存,并支持大规模数据处理。这是 ClickHouse 在处理大规模数据时的一个重要特性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值