页帧的寻找

已于 2022-03-30 21:14:15 修改
阅读量809 收藏 1
点赞数 1
分类专栏: 驱动 滴水中级 文章标签: c语言
于 2022-03-30 21:07:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35129925/article/details/123856656
版权

一、内核对物理内存的管理(MmPfnDatabase)

Windows通过几个全局变量来对物理内存进行管理:

MmPfnDatabase,页帧数据库(也叫FPN数据库),是MMPFN结构体类型的数组,它的索引是物理地址页帧号。

1: kd> dq mmpfndatabase
fffff800`04119228  fffffa80`00000000 000001f4`00000040
fffff800`04119238  00000000`00000390 00000000`00000000
fffff800`04119248  00080000`00000001 00000001`ffffffff
fffff800`04119258  fffffa80`18de7000 01d84429`7d237fba
fffff800`04119268  fffffa80`18e41580 fffffa80`18e725c0
fffff800`04119278  00000000`00006c00 00000000`5c7f8000
fffff800`04119288  fffffa80`18d47b50 00000000`00000001
fffff800`04119298  fffffa80`18eaa870 00026161`00000000

ffffa80`00000000 则是存放物理地址0,大小一个页(0x1000)的物理地址信息

nt!_MMPFN
   +0x000 u1               : <unnamed-tag>
   +0x008 u2               : <unnamed-tag>
   +0x010 PteAddress       : Ptr64 _MMPTE
   +0x010 VolatilePteAddress : Ptr64 Void
   +0x010 Lock             : Int4B
   +0x010 PteLong          : Uint8B
   +0x018 u3               : <unnamed-tag>
   +0x01c UsedPageTableEntries : Uint2B
   +0x01e VaType           : UChar
   +0x01f ViewCount        : UChar
   +0x020 OriginalPte      : _MMPTE
   +0x020 AweReferenceCount : Int4B
   +0x028 u4               : <unnamed-tag>

假设我们要找第三个物理地址,也就是物理地址是3000;页帧数据库+_MMPFN大小*第几个

ffffa80`00000000+0x30*3

1: kd> dt _mmpfn fffffa80`00000000+30*3
nt!_MMPFN
   +0x000 u1               : <unnamed-tag>
   +0x008 u2               : <unnamed-tag>
   +0x010 PteAddress       : 0xfffff6ff`ffffe838 _MMPTE
   +0x010 VolatilePteAddress : 0xfffff6ff`ffffe838 Void
   +0x010 Lock             : 0n-6088
   +0x010 PteLong          : 0xfffff6ff`ffffe838
   +0x018 u3               : <unnamed-tag>
   +0x01c UsedPageTableEntries : 0
   +0x01e VaType           : 0 ''
   +0x01f ViewCount        : 0 ''
   +0x020 OriginalPte      : _MMPTE
   +0x020 AweReferenceCount : 0n0
   +0x028 u4               : <unnamed-tag>
1: kd> !pte 0xfffff6ff`ffffe838
                                           VA ffffffffffd07000
PXE at FFFFF6FB7DBEDFF8    PPE at FFFFF6FB7DBFFFF8    PDE at FFFFF6FB7FFFFFF0    PTE at FFFFF6FFFFFFE838
contains 000000000020F063  contains 00000000001FF063  contains 00000000001FE063  contains 0000000000003163
pfn 20f       ---DA--KWEV  pfn 1ff       ---DA--KWEV  pfn 1fe       ---DA--KWEV  pfn 3         -G-DA--KWEV

换而言之,物理地址/0x1000=页帧数据库所在位置

老白_
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
arnold代码matlab-Camera_Motion_Detection:全局运动估计基本上是为了检测和提取摄像机运动而进行的,因为它是视
05-28
arnold代码matlab H.264压缩域中的实时Camera_Motion_Detection 基本上执行全局运动估计(GME)以检测和提取相机运动。 作为视频处理领域中最重要的工具之一,它具有许多应用,主要在像素或压缩域中进行。 由于基于像素的像素具有诸如计算复杂度高的缺点,因此大多数研究都针对利用运动矢量的压缩域。 另一方面,由于噪声或前景影响,在基于运动矢量的全局运动估计中存在许多不需要的异常值。 在这项工作中,提出的运动矢量相异性度量用于消除异常值,从而提供快速,准确的基于运动矢量的全局运动估计。 要下载yuv序列,请点击链接 我们的出版物: 使用代码时请注明。 谢谢 B.Yıldırım和HAIlgın,“使用相异度度量去除运动矢量离群值”,数字。 信号处理,第一卷2015年11月,第46,第1-9。 可变块大小运动矢量 在H.264中,在间编码中使用了多个参考和可变块大小。 可以将大小为16x16的宏块划分为大小为16x8、8x16或8x8的分区。 然后,可以将每个8x8块进一步划分为子分区8x4、4x8或4x4,如上所示。 在编码步骤(先前完成)中,如果大小
JIURL玩玩Win2k内存篇 Page Frame Number Database
jiurl的专栏
08-18 1833
JIURL玩玩Win2k内存篇 Page Frame Number Database作者: JIURL                 主: http://jiurl.yeah.net     日期: 2003-7-30 引子     当系统需要提供一个物理给应用程序,来满足应用程序要求
Windows11_22H2下的内存管理分析
最新发布
lkylky123789的博客
01-28 946
内存管理机制分析
【弄nèng - Grafana】入门篇(十三)—— Polystat panel使用
司马缸砸缸了
04-10 1894
文章目录简介1. General2. Metrics3. Options4. Overrides5. Composites6. Time range项目推荐 Polystat详解 Polystat需要安装额外的插件才能使用,地址传送门 简介 Polystat将为接收到的每个度量创建一个六边形,并具有将度量分组为复合度量并显示复合触发状态的能力 1. General 面属性同graph一样,...
Windows内存管理—内存映射、PAE、MmPfnDatabase
qq_42814021的博客
10-14 2436
Windows内存管理 内存有两种,一种是由内存条构成的所谓的物理内存,这种内存读取速度快; 还有一种是虚拟内存,由硬盘构成,也就是把硬盘的一部分容量拿来当作内存用,但是速度没有内存条那么快。 两者的关系: 每个进程都有4GB的虚拟内存,但不是所有的虚拟内存都有对应的物理内存,它其实是在物理内存和磁盘之间进行倒换的。 虚拟内存在用的时候,会从磁盘倒入物理内存,不用的时候就还是存在磁盘上。因此,同一个物理内存在不同的时间可以被用于不同进程的不同虚拟内存。 基于面映射的虚拟内存机制: 在硬件上:由CPU芯片内
windows内核学习-内存管理
weixin_45880501的博客
09-29 1177
内存管理 使用virtualkd+windbg+winxp sp3 进行双机调试, kd> ! process 0 0 查看所有进程 查看notepad.exe进程EPROCESS结构体 kd> dt _EPROCESS 81c502a0 0x11c VADRoot :是一个搜索二叉树的入口点 ,树的每一个节点记录了被占用的虚拟内存地址空间,这个搜索二叉树就是VAD树。 VAD的属性以及遍历 VAD是管理虚拟内存的,每一个进程有自己单独的一个VAD树 使用VirtualAlloca
x64内核内存空间结构
weixin_30872733的博客
12-21 334
0x00 前言 本文主要是讨论Windows 7 x64下的内核虚拟地址空间的结构,可以利用WiinDBG调试的扩展命令"!CMKD.kvas"来显示x64下的内核虚拟地址空间的整体布局。了解内核的地址布局在某些情况下是很有的,比如说在研究New Blue Pill的源码和虚拟化的时候。 0x01 基本结构 X64的CPU的地址为64位,但实际上只支持48位的虚拟地址空间供软件使用。虚拟地址...
Windows x64隐藏可执行内存
鬼手的博客
12-04 6015
Windows x64隐藏可执行内存
地址转译的相关问题(五)
商少
03-28 711
PFN数据库的概念 前面我们看到,有效的PTE 中有一个编号,此编号为20 位,指向一个物理内存中的面,而且我们在前面的介绍中看到了利用MiRemoveAnyPage 或 MiRemoveZeroPage 函数申请物理内存面的用法,其返回值也是一个。   所谓PFN 数据库,就是一个数组,每一项都描述了一个物理面的状态,大小为8字节*6。 如下:   typed
Don't Starve Wiki Searcher-crx插件
04-04
你打开Chrome,去不要挨饿wiki,搜索“猪”,然后寻找你需要的部分。好吧,现在你可以尽可能快地尽可能快地完成 - 字面上的单击纽扣!只需按下右上角的按钮,输入一些文本和中提琴!你找到了你的面!**更改日志**...
SingleFile-crx插件
03-20
- SingleFile使用“数据URI”方案将图像和内容嵌入到面中:生成的格式不是MHT / MHTML。 - 右键单击​​SingleFile图标并选择“Options”打开选项面 3 - 更多信息 有关选项,技术说明和已知问题的更多详细...
初级程序员在线刷题-Flutterland:EcomilhasMVPbeta的FlutterWorld参考
07-01
程序员在线刷题飘飘之地 ...寻找脚手架上下文的问题 创建构建器 无障碍 主题化 本土化 风格 材料 库比蒂诺 资产 字体 图片 SVG 音频和视频 静态用户界面 看法 文本 按钮 图像 视图组 容器 排 柱子 展开 约束
15.PDE和PTE属性
qq_35129925的博客
03-12 1462
一、PDE PTE 结构 低12位是权限位。 低1位是P位,P=1代表有效,P=0代表无效 低2位是RW位,RW=0表示只读,RW=1表示可读可写。 二、修改常量区数据 C语言中,修改常量区的字符串是不允许的,原因是物理不具有写权限。 按10-10-12模式拆好了线性地址,现在只要在windbg中找到PDE和PTE,将低2位改成1即可。 0x415818 1 (1*4) 0000010101 (0x15*4) 100000011000 (0x818) ...
28.探秘_OBJECT_TYPE结构
qq_35129925的博客
08-03 1349
首先,每个进程/线程对象上面都有个_OBJECT_HEADER结构,而句柄结构在这个结构的后面,64位下这个结构大小为0X30 以进程结构体举例: nt!_OBJECT_HEADER +0x000 PointerCount : Int8B +0x008 HandleCount : Int8B +0x008 NextToFree : Ptr64 Void +0x010 Lock : _EX_PUSH_LOCK +0x018 T
6.JMP FAR段间跳转(长跳)
qq_35129925的博客
03-02 1252
一、知识点回顾 在前面的课程中我们学习了MOV和LES等修改段寄存器的指令,当时老师说过,CS寄存器比较特殊,不能用MOV和"LCS"进行修改,原因是CS和EIP共同决定下一条指令的地址,要修改CS,就必须同时修改EIP,这也是X86没有提供"LCS"指令的原因。 ...
19.x64下算出PTE
qq_35129925的博客
04-05 1144
X64下用的是9-9-9-9-12的分模式,PML4E-PDPTE-PDE-PTE-偏移,线性地址的前16位是作符号扩展,后48位是分模式. 1.PTE是直接指向物理内存的,X86下有个固定的目录表0xc0000000可得到所有地址信息,X64下为了安全起见,目录表随机了,文章末有分析如何得到。 一、PTE的算法: 1.已一个线性地址为例0xfffffa801a628b30,下面先拆分 PML4E:1111 1010 1 1F5 PDPTE:000 000...
2.GDT全局描述符表,段描述符P,G位,段寄存器结构体的理解
qq_35129925的博客
02-25 1116
WINDOWS只有了GDT表 gdtr是寄存器,共48位, 里面包含了GDT表的地址(32位)和大小(16位) WINDBG :r是查看寄存器指令{ r gdtr:查看GDT表地址 r gdtl:查看GDT表大小} 2.段描述符 P位:值为1-段描述符有效,值为0段描述符无效 G位:值为0 Limit高12位是0,值为1 Limit低12位为FFF 3.段选择子(段寄存器里的Selector成员) 总结: 段寄存器是96位由以下结构组成 { ...
26.全局句柄表PspCidTable
qq_35129925的博客
07-22 826
https://www.cnblogs.com/kuangke/p/5761615.html
面卡了会不调接口吗
08-25
面卡一般与接口调用无关。面卡通常是由于浏览器渲染过程中遇到大量的计算或者 DOM 操作,导致面性能下降,无法流畅渲染。此时可以优化代码或者利用 Web Worker 等技术来解决面卡问题,而不需要调整...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值