从DbgView探究Windows内存管理笔记

最新推荐文章于 2023-06-24 21:41:22 发布
最新推荐文章于 2023-06-24 21:41:22 发布
阅读量886 收藏 4
点赞数 6
分类专栏: windows 文章标签: windows 内存管理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46362499/article/details/105783085
版权
本文通过探究DbgView的内存分布,深入理解Windows内存管理,涉及线性地址管理、Private Memory(VirtualAlloc与malloc的区别)、Mapped Memory(包括写拷贝特性)、物理内存管理及缺页异常机制。通过实例分析了VirtualAlloc的内存分配方式,展示了如何跟踪和理解线性地址、物理页与文件映射的关系。
摘要由CSDN通过智能技术生成

0x00 前言

  讲内存管理单纯的理论比较空洞,所以本文从探究DbgVeiw的内存分布开始,来探究windows系统的内存管理,讨论malloc和VirtualAlloc的差别,和缺页异常。

参考文章

https://blog.csdn.net/weixin_42052102/article/details/83757538

https://blog.csdn.net/weixin_42052102/article/details/83722047

https://blog.csdn.net/weixin_42052102/article/details/83751896

0x01 线性地址的管理

首先在虚拟机中打开一个.exe的文件,这里选择了DbgView,之后到Windbg里查看对应的进程

 

看一下_KPROCESS结构体

在0x11c的位置的VadRoot处是一个搜索二叉树的入口点,每一个节点都记录被占用的线性地址空间,每一个节点的结构,都是_MMVAD结构体

接下来,先手动找一下这个搜索二叉树的节点  

观察一下1)Parent:因为是根节点所以没有父节点了

               2)LeftChild / RightChild:左子树/右子树,一个是往左边拓展的线,一个是往右边拓展

重复这一过程就可以找到所有的节点选择二叉树而并非链表是因为搜索二叉树查找的效率比链表高很多

               3)StartingVpn && EndingVpn: 这两个值是以页(4kb)为单位的,所以各把这两个数后面添上3个0,就是当前节点的起始位置与结束位置,也此两者之间就是已经被占用的位置,所以想找到那些已被占用和未被占用的线性地址,遍历这个二叉树就可以了。

             4)ControlArea:看一下结构体

     其中的FilePointer如果其中的值是NULL则线性地址对应的是真正的物理页

 

    而如果指向一个_FILE_OBJECT(如上图),那线性地址对应的是某文件影射的内存,我们继续跟下去

         5)_MMVAD+0x14成员u,我们不妨参考一下 ReactOS 里的说明


union {
   ULONG_PTR   LongFlags
 
   MMVAD_FLAGS   VadFlags
 
} u

主要使用的是MMVAD_FLAGS这个结构,跟进这个结构(和实际windows还是有一定差别的,但是主要成员没问题,其中Protection的偏移为0x14)

typedef struct _MMVAD_FLAGS
{
    ULONG_PTR CommitCharge:19
    ULONG_PTR NoChange:1
    ULONG_PTR VadType:3
    ULONG_PTR MemCommit:1
    ULONG_PTR Protection:5//规定文件属性
                          // 1 READONLY  2  EXECUTE  3  EXECUTE _READ  4 READWITER  
	                  // 5 WRITECOPY  6  EXECUTE _READWITER   7 EXECUTE_WRITECOPY  

    ULONG_PTR Spare:2
    ULONG_PTR PrivateMemory:1//是实际物理页(1:private)还是文件映射(0:mapped)
} MMVAD_FLAGS,*PMMVAD_FLAGS;

 

遍历所有节点,在windbg里也存在这样的指令! vad 0x89473968(这个是根节点的线性地址)

一下列举4种不同的情况

1. 其中的Level就是二叉树中的层级,

2. start和end 后面再加3个0(因为单位为4kb)就是每个节点线性地址的起始与终点位置

3.Private是指线性地址对应真实

最低0.47元/天 解锁文章
0xDQ
关注
专栏目录
Dbgview 显示windows下的软件打印
05-25
总的来说,DbgviewWindows下不可或缺的诊断工具,尤其对于软件开发者和系统管理员来说,它提供了查看和分析应用程序内部行为的强大功能,有助于快速定位和解决问题。通过熟练掌握Dbgview的使用,可以显著提升工作...
windbg+Dbgview.rar
10-16
教程:https://www.cnblogs.com/fang-beny/p/3582653.html
DbgView使用
wyyy2088511的博客
07-06 4654
DbgView简介 Sysinternals公司的系列调试工具。 debugview 可以捕获程序中由TRACE(debug版本)和OutputDebugString输出的信息。 Debug信息捕获软件 可以很方便的捕获系统实时输出的Debug信息,并保存为日志文件。可以远程捕获服务器上的Debug信息。 比较方便开发人员在系统发布前监控一些系统流程和异常,甚至在系统不大的情况下,更能在部署后进行远程监控功能。 二 实际操作 Computer菜单下可选择连接的计算机,默认连接本机; 输..
Dbgview调试工具的使用
technologyleader的专栏
08-21 3110
1介绍:DebugView是一个系统调试信息输出的捕获工具。debugview是 Sysinternals 公司的系列调试工具。debugview 可以捕获程序中由 TRACE(debug版本)和 OutputDebugString 输出的信息。debugview也是一个 Debug 信息捕获软件,可以很方便的捕获系统实时输出的Debug信息,并保存为日志文件。可以远程捕获服务器上的Debug信息。 比较方便开发人员在系统发布前监控一些系统流程和异常,甚至在系统不大的情况下,更能在部署后进行远程监控功...
dbgview windbg的帮助文件
12-30
dbgview windbg的帮助文件,学习windbg的好帮手
Dbgview(调试信息查看器)
03-19
DbgView调试信息查看器。可以查看调试打印信息,诸如MFC中的TRACE输出。类似于Android开发工具中的DDMS。DbgView调试信息查看器不仅仅能作为调试信息输出,而且可以作为一个信息输出软件,监视您的软件运行,目前支持mfc和windows下dos信息输出。
windows下调试工具dbgview.exe
最新发布
10-23
windows下调试工具dbgview.exe
dbgviewwindows 10 中关闭后再次打开时无法“capture kernel”-附件资源
03-05
dbgviewwindows 10 中关闭后再次打开时无法“capture kernel”-附件资源
32位/64位WINDOWS驱动之windbg双机调试
a756598009的博客
06-24 3817
windbg双机调试环境配置第一步关掉虚拟机如果有打印机请移除打印机(打印机会占用端口)添加-添加串行端口-完成选择使用命名的通道-名字为 \.\pipe\abc123(对应下面的COM1) -确定-在开启虚拟机在虚拟机命令行里面输入 msconfig 来到系统配置 -引导-第二个高级选项 -勾选调试-勾选调试窗口-选择COM1;-确认-重新启动-启动的时候选择下面的调试系统来到自己电脑系统搜索windbg
windows超级内核级调试工具WINDBG
03-01
windbg,系统级超级调试工具,可以调试进程,还原dump文件的具体环境,特别针对调试微软蓝屏的一款相当棒的微软提供的系统内核级调试工具!
Dbgview-Mark Russinovich
12-01
Sysinternals DebugView Copyright © 1999-2004 Mark Russinovich Sysinternals DebugView is an application that lets you monitor debug output on your local system, or any computer on the network that you can reach via TCP/IP. It is capable of displaying both kernel-mode and Win32 debug output generated by standard debug print APIs, so you don’t need a debugger to catch the debug output your applications or device drivers generate, and you don't need to modify your applications or drivers to use non-Windows debug functions in order to view its debug output.
Dbgview.exe
11-04
在dll工程中,我们use windows。 需要输出内容的地方,使用OutputDebugString,例如 OutputDebugString(PChar('处理HookProc,Code值:'+intToStr(Code))); 打开Dbgview.exe,可以看到输出值。
Windows 中输出到DbgView中的函数实现
Jackxin Xu IT技术专栏
12-26 2477
在进行Windows开发中,大家经常需要将自己程序的运行时信息输出到一个调试窗口中,让系统的调试着可以随时监控程序的实际运行状态,如下的函数可以将程序运行时数据输出到DbgView中(DbgView由Sysinternals开发,该公司已被微软收购),并且调用工具直接查看输出值;void DEBUG_PRINT(IN TCHAR *format, ...){ va_list   argList; TCHAR   szFormat[256], szContent[1024];    //maximum buf
DebugView的使用
weixin_38526093的博客
06-07 4327
DebugViewwindows下的一款调试工具,可以捕获程序输出的日志,分为64位和32位,支持应用层和内核层的日志捕获,利用它排除bug是个不错的选择。本文主要关注应用层面的使用。一般程序日志记录可以输出到文件进行查看,但是使用DebugView不会自动输出到文件,它的日志信息是驻留在进程内存中。
DbgView工具&远程调试
CSDN博客
06-20 4481
1. DebugView: DebugView is an application that lets you monitor debug output on your local system, or any computer on the network that you can reach via TCP/IP. It is capable of displaying both kernel...
实用工具
feixi7358的博客
10-18 122
平台:Windows procexp 可以看进程之间的关系 PChunter 强制结束进程 dbgview 看打印日志 windbg 调试 process monitor 监控进程调了哪些模块 api monitor 监控进程调了哪些API everything 按文件名搜索本地的文件 grepWin.exe 按内容搜...
【弄nèng - Grafana】入门篇(十三)—— Polystat panel使用
司马缸砸缸了
04-10 1974
文章目录简介1. General2. Metrics3. Options4. Overrides5. Composites6. Time range项目推荐 Polystat详解 Polystat需要安装额外的插件才能使用,地址传送门 简介 Polystat将为接收到的每个度量创建一个六边形,并具有将度量分组为复合度量并显示复合触发状态的能力 1. General 页面属性同graph一样,...
地址转译的相关问题(五)
商少
03-28 757
PFN数据库的概念 前面我们看到,有效的PTE 中有一个页面帧编号,此页面帧编号为20 位,指向一个物理内存中的页面,而且我们在前面的介绍中看到了利用MiRemoveAnyPage 或 MiRemoveZeroPage 函数申请物理内存页面的用法,其返回值也是一个页面帧。   所谓PFN 数据库,就是一个数组,每一项都描述了一个物理页面的状态,大小为8字节*6。 如下:   typed
如何卸载dbgview
06-22
另外,如果您不希望DbgView在计算机上自动运行,则需要从启动项中删除它: 第一步:按下Win + R键组合,打开“运行”对话框。 第二步:输入msconfig并按下Enter键。 第三步:在“系统配置”窗口中,选择“启动”...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值