20170805Windows12_3_虚拟内存页面区块/内存信息

最新推荐文章于 2023-09-22 08:55:36 发布
最新推荐文章于 2023-09-22 08:55:36 发布
阅读量365 收藏
点赞数 1
分类专栏: Po
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31622605/article/details/76408235
版权

虚拟内存页面区块/内存信息:

如何提高内存扫描的效率:

1:之前做的,都是直接扫描进程内存的前面2G内存空间,要扫描完,需要一定的时间,而且,可能扫描出来的重复数据比较多,后面,提到了先获取进程的堆块空间,然后扫描,但是实际上,这样提高效率的可能性不高,Windows的内存管理,是按照页面管理的,大部分CPU的页面大小都是64KB。
2:为了提高内存扫描的速度,需要获取Windows里面页面区域的属性,我们可以使用VirtualQueryEx这个函数来获取。 
VirtualQueryEx(
    _In_ HANDLE hProcess,
    _In_opt_ LPCVOID lpAddress,
    _Out_writes_bytes_to_(dwLength, return) PMEMORY_BASIC_INFORMATION lpBuffer,
    _In_ SIZE_T dwLength
    );

参数:
    1:HANDLE,制定进程的句柄,这表明其拥有查询其他进程的能力。
    2:addr:内存地址
    3:回写的参数,调用成功后,他会对lpBuffer进行填充。
    4:MEMORY_BASIC_INFORMATION的大小,size。
3:回写内容: 
typedef struct _MEMORY_BASIC_INFORMATION {
    PVOID BaseAddress;
    PVOID AllocationBase;
    DWORD AllocationProtect;
    SIZE_T RegionSize;
    DWORD State;
    DWORD Protect;
    DWORD Type;
} MEMORY_BASIC_INFORMATION, *PMEMORY_BASIC_INFORMATION;

内容:
    1:BaseAddress:回写的首地址,即页面的首地址
    2:RegionSize:页面的大小,从基址开始,的大小
    3:State,虚拟内存的状态:总共有三种可能的状态:MEM_COMMIT(0x1000):代表已经进行提交,MEM_FREE(0x10000):内存还未使用,MEM_RESERVE(0x2000):保留,已经有人用了,但是未加载进物理内存。
    4:Protect:page的一个操作权限,这个操作权限是作用于物理内存,虚拟内存没有这样的权限,包括读写,执行等。
    5:Type:MEM_IMAGE:印象,映射,是exe或者dll加载时候的状态,MEM_MAPPED:映射的一个区段,虚拟内存往物理内存映射的时候,存在一个区段,区目。目前还未学习到。MEM_PRIVATE:
4:获取页面属性示例: 
#include <windows.h>
#include <tchar.h>

int main()
{
	DWORD hProcessID = GetCurrentProcessId();
	HANDLE hProcess = OpenProcess(PROCESS_QUERY_INFORMATION, FALSE, hProcessID);
	MEMORY_BASIC_INFORMATION mbi;

	DWORD dwAddr = 0x0;
	while (sizeof(mbi) == VirtualQueryEx(hProcess, (LPVOID)dwAddr, &mbi, sizeof(mbi)))
	{
		_tprintf(TEXT("BaseAddr:0x%x Size:0x%x State:0x%x\r\n"), mbi.BaseAddress, mbi.RegionSize, mbi.State);
		dwAddr += (DWORD)mbi.RegionSize;
	}

	return 0;
}


5:从上面可以看出,很多的State都是0x10000,标识其没有被使用过,排除这些未使用的内存区块,就可以大大提高内存扫描的速度。

动态获取系统内存信息:

1:所有的内存是和我们系统相关的,当需要使用的时候,虚拟内存就加载到物理内存。
2:除了前面学的页面大小,分配颗粒之外,在SystemInfo里面还存储了用户区域的开始以及结束的地址,用户区域的开始以及结束地址可以被获取出来。动态获取会使程序的收缩性变得更强。
3: 
#include <iostream>
#include <windows.h>
#include <tchar.h>

int main()
{
	setlocale(LC_ALL, "chs");
	SYSTEM_INFO sysInfo;
	GetSystemInfo(&sysInfo);
	_tprintf(TEXT("页面大小:%d\r\n"), sysInfo.dwPageSize);
	_tprintf(TEXT("分配颗粒:%d\r\n"), sysInfo.dwAllocationGranularity);
	_tprintf(TEXT("用户区开始地址:0x%x\r\n"), sysInfo.lpMinimumApplicationAddress);
	_tprintf(TEXT("用户区最大地址:0x%x\r\n"), sysInfo.lpMaximumApplicationAddress);

	return 0;
}

4:在32位下和64位下,我们可以发现四个数据都是一样的,在MSDN里面有说明,如果要获取64位实现同样的功能,需要调用GetNativeSystemInfo()函数。在这之前,也必须辨别当前程序是32位韩式64位。






蒲公英24
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows和Linux下排查C++软件异常的常用调试器与内存检测工具详细介绍
dvlinker的技术专栏
08-17 2万+
本文详细介绍了Windows和Linux下排查C++软件异常的常用调试器与内存监测工具。
虚拟内存实现---分页相关工作、缺页中断处理、指令备份、锁定内存中的页面、后备存储、 策略和机制的分离
Unique-You的博客
05-04 1386
3.6   有关实现的问题实现虚拟内存系统要在主要的理论算法(如第二次机会算法与老化算法,局部页面分配与全局页面分配,请求调页与预先调页)之间进行选择。但同时也要注意一系列实际的实现问题。3.6.1   与分页有关的工作操作系统要在下面的四段时间里做与分页相关的工作:进程创建时,进程执行时,缺页中断时和进程终止时。当在分页系统中创建一个新进程时,操作系统要确定程序和数据在初始时有多大,并为它们创建...
Windows内存管理与结构体MEMORY_BASIC_INFORMATION
07-23 3534
基于32位Windows,摘自http://blog.csdn.net/yeming81/archive/2008/01/16/2046193.aspx 1. 进程地址空间 软件的进程运行于32位系统上,其寻址位也是32位,能表示的空间是2的32 =4G,范围从0x0000 0000~0xFFFF FFFF。 ·        NULL指针分区范围:0x0000 0
MEMORY_BASIC_INFORMATION结构
11-23 5348
MEMORY_BASIC_INFORMATION这个结构中的两个成员的区别: typedef struct _MEMORY_BASIC_INFORMATION { PVOID BaseAddress; PVOID AllocationBase; DWORD AllocationProtect; SIZE_T RegionSize; DWORD State; DWORD P
linux windows 结构体,Windows内存管理与结构体MEMORY_BASIC_INFORMATION
weixin_39890708的博客
05-04 243
注:基于32位Windows1. 进程地址空间软件的进程运行于32位系统上,其寻址位也是32位,能表示的空间是2的32 =4G,范围从0x0000 0000~0xFFFF FFFF。· NULL指针分区范围:0x0000 0000~0x0000 FFFF作用:保护内存非法访问例子:分配内存时,如果由于某种原因分配不成功,则返回空指针0x0000 0000;当用户继续使用比如改写数据时...
MEMORY_BASIC_INFORMATION中 BaseAddress 和 AllocationBase 区别
asfdasfdsf的专栏
12-01 3140
地址空间在运行中映射为实际的物理页面。   ·        区域 区域指的是上述地址空间中的一片连续地址。区域的大小必须是粒度(64k) 的整数倍,不是的话系统自动处理成整数倍。不同CPU粒度大小是不一样的,大部分都是64K。 区域的状态有:空闲、私有、映射、映像。 在你的应用程序中,申请空间的过程称作保留(预订),可以用VirtualAlloc;删除空间的过程为释
Windows内存管理---3
For Geek
05-19 492
虚存页面的映射 有了对一个虚存空间的管理和对物理页面的分配管理。下一步自然就是建立二者之间的映射了。页面映射,指从虚存页面到物理页面的映射。多个虚存页面可以映射到同一个物理页面上(例如系统那里,SharedUserData就是内核和用户空间的一块虚拟空间映射到了同一物理页面上),但是同一时间内不可能会有多个物理页面对应于同一个空间的同一个虚存页面上。 虚存页面顾名思义是“虚”的,必须通过映射落实到...
深入理解Windows内存管理---1
For Geek
05-17 1157
内存管理简介 作为一个合格的操作系统,为不同进程之间及用户和内核之间要提供隔离机制。 实现这些基本要求的手段,就是采用基于页面映射的**“虚拟内存”机制,或者说提供“页管理机制”**。 硬件上,这是由CPU内部的“存储管理单元”MMU(Memory Manage Unit)支持的。现代的处理器一般都带有MMU。 软件上,则是由系统内核中的内存管理模块来实现的。 内存管理的解释 广义的内存管理,指...
matlab 代码分析 内存溢出,matlab内存溢出的解决方案
weixin_31524201的博客
03-22 1126
(1) 增加虚拟内存:cmd -> taskmgr 打开任务管理器,查看物理内存虚拟内存,可观察matlab在运行过程中是否超过物理内存虚拟内存。若超过,增加虚拟内存的方法是不可行的。物理内存不足的时候可以通过将电脑的虚拟内存设置得大一点,可一定程度上缓解内存不足的压力,但缓解是非常有限,核心还是增加物理内存。查看虚拟内存方法:(1a)右击“我的电脑”–属性–高级系统设置—-系统属性—–...
用VC写的内存修改器
05-11
用法和金山游侠大致相同,主要使用VirtualQueryEx和ReadProcessMemory还有WriteProcessMemory等api函数实现。功能简洁,很适合参考学习。
C/C++ 遍历进程内存
CSDN
07-16 1万+
它使用了Windows API函数来遍历指定进程的所有内存块,并输出每个内存块的相关信息。该代码可以帮助了解目标进程的内存布局,以及各个内存块的属性。的函数,用于枚举指定进程的所有内存块。该代码使用Windows API函数实现了遍历指定进程的内存块的功能,并输出了每个内存块的地址、大小和保护属性等信息。使用循环遍历内存块的向量,并输出每个内存块的相关信息,包括基地址、分配基地址、内存块大小、内存块状态、内存保护属性等。在主函数中,创建了一个进程快照句柄,用于获取当前系统中的进程信息
再谈计算机内存访问之2:虚拟内存访问
偶尔e网事
06-15 3247
每个进程都拥有自己的虚拟地址空间,那么怎样才能访问这个空间呢?这就需要用到Windows API函数。这些函数直接与编写程序相关,因而更受软件工程师的关注。有关这方面的函数较多,这里介绍几个重要的函数。 1 .获取系统信息 在一个程序中不能直接应用某个系统的设备参数,否则将不利于程序的移植。因此,如果确实需要用到这样的设备参数,则需要一个系统信息函数来获得。VC++ 编译器所提供这样的函数
游戏外挂基本原理及实现
热门推荐
小虫的专栏
01-25 2万+
  1、游戏外挂的原理   外挂现在分为好多种,比如模拟键盘的,鼠标的,修改数据包的,还有修改本地内存的,但好像没有修改服务器内存的哦,呵呵。其实修改服务器也是有办法的,只是技术太高一般人没有办法入手而已。(比如请GM去夜总会、送礼、收黑钱等等办法都可以修改服务器数据,哈哈)   修改游戏无非是修改一下本地内存的数据,或者截获API函数等等。这里我把所能想到的方法都作一个介绍,希望大家
虚拟内存分析
lk_HIT的博客
03-14 557
本篇文章主要目的是对进程的用户地址空间进行一个分析。 先来了解一些概念: 区域,块,页面。 用户地址空间划分为不同的区域,然后区域划分为不同的块,块由页面组成。(如果区域是MEM_FREE,则不存在块的概念) 区域中的块是该区域内连续的页面,并且具有相同的保护属性以及以相同类型的物理存储器作为后备存储器。 分析用户地址空间区域,主要要用到VirtualQueryEx函数,该函数声明如下: DWORD VirtualQueryEx ( HANDLE hProcess, LPCVOID pv.
7.1 实现进程内存块枚举
最新发布
CSDN
09-22 4590
在`Windows`操作系统中,每个进程的虚拟地址空间都被划分为若干内存块,每个内存块都具有一些属性,如内存大小、保护模式、类型等。这些属性可以通过`VirtualQueryEx`函数查询得到。该函数可用于查询进程虚拟地址空间中的内存信息的函数。它的作用类似于`Windows`操作系统中的`Task Manager`中的进程选项卡,可以显示出一个进程的内存使用情况、模块列表等信息。使用`VirtualQueryEx`函数,可以枚举一个进程的所有内存块。该函数需要传入要查询的进程的句柄、基地址和一个`ME
windows内存管理
qq_33168924的博客
11-22 464
windows内存管理 1.虚拟内存 我们在程序开发中,需要进行程序调试,或者程序在运行时,都需要接触内存的概念,这里的内存说的都是虚拟内存,不是真实的物理内存windows采用虚拟内存的技术,使得每个程序运行在自己独立的空间中,进程之间不会相互干扰,程序开发时也只需要程序员管理自己进程的内存,使得开发变得相对简单。虚拟内存又使用分段和分页的机制进行管理。 在虚拟内存的技术可以实现下面的需求: ...
基于Windows Mobile 6的VirtualQueryEx函数实现。
weixin_33860528的博客
04-06 305
VirtualQueryEx这个函数很有用,可以用于查询目标进程地址空间中内存地址的信息。但此函数在Win CE 6.0以前是不被支持的(Windows Mobile 6是基于WinCE 5.2的)。 不过也不是没有办法的,WinCE中有一未公开API:PerformCallBack4。函数声明如下: extern "C" DWORD WINAPI PerformCallBack4(CALLB...
CE搜索内存数据的原理
12-04 1825
最近发现有朋友在玩游戏时,使用一款工具来修改游戏的部分数据,作弊的效果,也就是CE(CheatEngine),这款工具是delphi编写的,于是好奇,然后瞬间想到APIOpenProcess,ReadProcessMemory,WriteProcessMemory,VirtualQueryEx这几个API, OpenProcess是必须的(不讲R0),M...
linux查看进程虚拟内存各个区块
08-26
总而言之,通过使用`pmap`命令或者查看`/proc/[pid]/maps`文件,你可以查看进程的虚拟内存各个区块的详细信息。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值