![](https://img-blog.csdnimg.cn/20201014180756927.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
Windows内核
文章平均质量分 79
ProgrammingRing
这个作者很懒,什么都没留下…
展开
-
静态分析nt!KiFastCallEntry
转载: http://bbs.pediy.com/showthread.php?t=89407在XP系统中, 系统服务在内核的入口是KiFastCallEntry,我们从该入口开始,分析这一段代码都做了什么工作。 由于水平有限和背景知识不够,本人没有完全读懂它们,作为抛砖引玉,我先将我所看懂的和大家分享,希望大家多多指教! KiFastCallEn转载 2014-07-26 10:19:32 · 1715 阅读 · 0 评论 -
页表项(PTE)地址计算公式的解释
转自: 在《JIURL玩玩Win2k内存篇 分页机制 (三)》中提到计算虚拟地址对应PTE地址的公式,如下:代码:PTE_Addr = (VirtualAddr >> 12) * 4 + 0xC0000000从虚拟地址转换到物理地址的过程来看,计算PTE需要虚拟地址的高10位做页目录索引,还需要第12 - 21位做页表索引,上面的公式晃眼看起来,貌似是错的转载 2014-07-27 19:19:43 · 4489 阅读 · 1 评论 -
Windows系统调用架构分析—也谈KiFastCallEntry函数地址的获取
原文地址:点击打开链接为什么要写这篇文章1. 因为最近在学习《软件调试》这本书,看到书中的某个调试历程中讲了Windows的系统调用的实现机制,其中讲到了从Ring3跳转到Ring0之后直接进入了KiFastCallEntry这个函数。2. 碰巧前天又在网上看到了一篇老文章介绍xxx安全卫士对Windows系统调用的Hook,主要就是Hook到这个函数3.转载 2013-04-13 23:34:16 · 1201 阅读 · 0 评论 -
关于句柄表的一些文章
wrk1.2中ExpLookupHandleTableEntry的内部流程1) 取 Handle(EXHANDLE类型) 值为tHandle,并将TagBit(低两位)置02) 取 HandleTable->NextHandleNeedingPool为MaxHandle , 如果 tHandle大于等于MaxHandle,则返回NULL,查询失败 (由此可见, Next转载 2014-08-09 23:51:57 · 1576 阅读 · 0 评论 -
PAE ( Physical Address Extension )
首先,内存访问和管理是一个跨越应用程序,操作系统,硬件平台的一个复杂过程,不能单纯的讲32bit系统就支持4G内存,从而认为这个过程只是OS和内存两者之间的关系 理论上:32位系统,32bit的地址总线位数,寻址空间2^32B=4GB。 64位系统,寻址空间2^64。至于在实际应用环境中,对于有4G物理内存而OS最多只能识别3G的情况,主要是主板的问题,丢掉的内存被PCI设转载 2014-10-26 22:06:38 · 2850 阅读 · 0 评论 -
PAE下的虚拟内存映射 实践
转自:http://user.qzone.qq.com/31731705/blog/1323426728转载 2014-10-26 22:31:53 · 1502 阅读 · 0 评论 -
Windows下的分页模式- 页目录和页表从物理内存到虚拟映射求值
标 题: 【原创】Windows下的分页模式- 页目录和页表从物理内存到虚拟映射求值作 者: hrpirip时 间: 2012-12-06,12:45:36链 接: http://bbs.pediy.com/showthread.php?t=159554昨天在网上看到一段代码令大为不解,大家都知道一个虚拟地址到物理地址的转换伪公式为:*(*(*PD[(VirtualAd转载 2014-10-26 22:05:49 · 2703 阅读 · 0 评论 -
PAE下的虚拟内存映射 分析
转自:http://user.qzone.qq.com/31731705/blog/1323414733PAE 即为物理地址扩展(Physical Address Extension),详细的内容请Google。 我的电脑是Win7,CPU是双核处理器,信息如下,0: kd> !sysinfo cpuinfo [CPU Information]~MHz =转载 2014-10-26 22:29:33 · 1505 阅读 · 0 评论 -
Win7中的页目录
转自:http://user.qzone.qq.com/31731705/blog/1324046552文章 PAE下的虚拟内存映射 分析 ( http://user.qzone.qq.com/31731705/blog/1323414733 ) 和 PAE下的虚拟内存映射 实践 (http://user.qzone.qq.com/31731705/blog/1323426转载 2014-10-26 22:47:31 · 2203 阅读 · 0 评论