本文详细介绍了Windows内核中的SECTION_OBJECT_POINTERS结构,包括DataSectionObject、SharedCacheMap和ImageSectionObject三个部分,揭示了它们在文件数据流、缓存管理和可执行文件加载中的作用。通过解析这些字段,理解了文件对象与文件流之间的关系及其在内存管理中的角色。
typedef struct _SECTION_OBJECT_POINTERS {
PVOID DataSectionObject;
PVOID SharedCacheMap;
PVOID ImageSectionObject;
} SECTION_OBJECT_POINTERS,*PSECTION_OBJECT_POINTERS;
DataSectionObject:
指向一个不透明的结构用于跟踪一个文件数据流的状态。内存管理器在第一次缓存数据流时设置这个值。如果这个值为NULL则表明当前文件的数据流不在内存中。这个值可以在任何时间被改变。其实这个值是一个nt!_CONTROL_AREA结构。
+0x000 Segment : Ptr32_SEGMENT
+0x004 DereferenceList :_LIST_ENTRY
+0x00c NumberOfSectionReferences : Uint4B
+0x010 NumberOfPfnReferences : Uint4B
+0x014 NumberOfMappedViews : Uint4B
+0x018 NumberOfUserReferences : Uint4B
+0x01cu : <unnamed-tag>
+0x020 FlushInProgressC
最低0.47元/天 解锁文章
扫一扫
329
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
