ca,pte,sectionpointers 2

最新推荐文章于 2024-07-17 17:53:42 发布
最新推荐文章于 2024-07-17 17:53:42 发布
阅读量84 收藏
点赞数
文章标签: 大数据 数据结构与算法 操作系统
原文链接:http://www.cnblogs.com/kkindof/archive/2012/06/08/2542343.html
版权

 

 

nt!_SECTION_OBJECT_POINTERS

   +0x000 DataSectionObject : 0x84b38388 Void

   +0x004 SharedCacheMap   : 0x84e52458 Void

   +0x008 ImageSectionObject : 0x84a1a228 Void

 

DataSectionObject和SharedCacheMap里面对应的cache物理地址一样。ImageSectionObject的独立

 

 

   

 

 

 

 

kd> !ca 84b38388   

ControlArea  @ 84b38388

  Segment      e168ed98  Flink      00000000  Blink        00000000

  Section Ref         2  Pfn Ref           e  Mapped Views        2

  User Ref            2  WaitForDel        0  Flush Count         0

  File Object  84c8c818  ModWriteCount     0  System Views        1

  WritableRefs        0  

  Flags (8008080) File WasPurged Accessed 

 

      File: \WINDOWS\system32\mys.dll

 

Segment @ e168ed98

  ControlArea     84b38388  ExtendInfo    00000000

  Total Ptes            40

  WriteUserRef           0  SizeOfSegment    40000

  Committed              0  PTE Template  a3373cd0

  Based Addr             0  Image Base           0

 

 

Subsection 1 @ 84b383c0

  ControlArea  84b38388  Starting Sector        0  Number Of Sectors   33

  Base Pte     e1743e48  Ptes In Subsect       33  Unused Ptes          0

  Flags              60  Sector Offset          0  Protection           6

  Flink        00000000  Blink           8504ac00  MappedViews          2

  SubsectionDataFlags        1

 

Subsection 2 @ 846b8578

  ControlArea  84b38388  Starting Sector       33  Number Of Sectors    d

  Base Pte     e1d0b000  Ptes In Subsect        d  Unused Ptes        3f3

  Flags              60  Sector Offset          0  Protection           6

  Flink        00000000  Blink           00000000  MappedViews          1

  SubsectionDataFlags        1

kd> !fileobj 84c8c818  

 

\WINDOWS\system32\mys.dll

 

Device Object: 0x84aa8850   \Driver\Ftdisk

Vpb: 0x847581d8

Event signalled

Access: Read SharedRead 

 

Flags:  0x1c0042

Synchronous IO

Cache Supported

Handle Created

Fast IO Read

Random Access

 

FsContext: 0xe167b800FsContext2: 0xe1d01230

Private Cache Map: 0x84e52530

CurrentByteOffset: e7f0

Cache Data:

  Section Object Pointers: 84705b44

  Shared Cache Map: 84e52458         File Offset: e7f0 in VACB number 0 //_FILE_OBJECT->CurrentByteOffset ==e7f0

  Vacb: 84fb21e8

  Your data is at: d5fce7f0

kd> dt _file_object 84c8c818  

nt!_FILE_OBJECT

   +0x000 Type             : 0n5

   +0x002 Size             : 0n112

   +0x004 DeviceObject     : 0x84aa8850 _DEVICE_OBJECT

   +0x008 Vpb              : 0x847581d8 _VPB

   +0x00c FsContext        : 0xe167b800 Void

   +0x010 FsContext2       : 0xe1d01230 Void

   +0x014 SectionObjectPointer : 0x84705b44 _SECTION_OBJECT_POINTERS

   +0x018 PrivateCacheMap  : 0x84e52530 Void

   +0x01c FinalStatus      : 0n0

   +0x020 RelatedFileObject : (null) 

   +0x024 LockOperation    : 0 ''

   +0x025 DeletePending    : 0 ''

   +0x026 ReadAccess       : 0x1 ''

   +0x027 WriteAccess      : 0 ''

   +0x028 DeleteAccess     : 0 ''

   +0x029 SharedRead       : 0x1 ''

   +0x02a SharedWrite      : 0 ''

   +0x02b SharedDelete     : 0 ''

   +0x02c Flags            : 0x1c0042

   +0x030 FileName         : _UNICODE_STRING "\WINDOWS\system32\mys.dll"

   +0x038 CurrentByteOffset : _LARGE_INTEGER 0xe7f0

   +0x040 Waiters          : 0

   +0x044 Busy             : 0

   +0x048 LastLock         : (null) 

   +0x04c Lock             : _KEVENT

   +0x05c Event            : _KEVENT

   +0x06c CompletionContext : (null) 

 

 

 kd> dt _PRIVATE_CACHE_MAP 0x84e52530 //这个结构只是描述下ahead read

nt!_PRIVATE_CACHE_MAP

   +0x000 NodeTypeCode     : 0n766

   +0x000 Flags            : _PRIVATE_CACHE_MAP_FLAGS

   +0x000 UlongFlags       : 0x2fe

   +0x004 ReadAheadMask    : 0xffff

   +0x008 FileObject       : 0x84c8c818 _FILE_OBJECT

   +0x010 FileOffset1      : _LARGE_INTEGER 0xe400

   +0x018 BeyondLastByte1  : _LARGE_INTEGER 0xe408

   +0x020 FileOffset2      : _LARGE_INTEGER 0xe7e0

   +0x028 BeyondLastByte2  : _LARGE_INTEGER 0xe7f0

   +0x030 ReadAheadOffset  : [2] _LARGE_INTEGER 0x0

   +0x040 ReadAheadLength  : [2] 0

   +0x048 ReadAheadSpinLock : 0

   +0x04c PrivateLinks     : _LIST_ENTRY [ 0x84e524f0 - 0x84e524f0 ]

   

   

 

kd> dt 84705b44 _SECTION_OBJECT_POINTERS

nt!_SECTION_OBJECT_POINTERS

   +0x000 DataSectionObject : 0x84b38388 Void

   +0x004 SharedCacheMap   : 0x84e52458 Void

   +0x008 ImageSectionObject : 0x84a1a228 Void

kd> dt _SHARED_CACHE_MAP 0x84e52458

nt!_SHARED_CACHE_MAP

   +0x000 NodeTypeCode     : 0n767

   +0x002 NodeByteSize     : 0n304

   +0x004 OpenCount        : 1

   +0x008 FileSize         : _LARGE_INTEGER 0x33000

   +0x010 BcbList          : _LIST_ENTRY [ 0x84e52468 - 0x84e52468 ]

   +0x018 SectionSize      : _LARGE_INTEGER 0x40000

   +0x020 ValidDataLength  : _LARGE_INTEGER 0x33000

   +0x028 ValidDataGoal    : _LARGE_INTEGER 0x33000

   +0x030 InitialVacbs     : [4] 0x84fb21e8 _VACB

   +0x040 Vacbs            : 0x84e52488  -> 0x84fb21e8 _VACB

   +0x044 FileObject       : 0x84c8c818 _FILE_OBJECT

   +0x048 ActiveVacb       : (null) 

   +0x04c NeedToZero       : (null) 

   +0x050 ActivePage       : 0

   +0x054 NeedToZeroPage   : 0

   +0x058 ActiveVacbSpinLock : 0

   +0x05c VacbActiveCount  : 0

   +0x060 DirtyPages       : 0

   +0x064 SharedCacheMapLinks : _LIST_ENTRY [ 0x84caf984 - 0x84e4c06c ]

   +0x06c Flags            : 0x1000

   +0x070 Status           : 0n0

   +0x074 Mbcb             : (null) 

   +0x078 Section          : 0xe1d057a0 Void

   +0x07c CreateEvent      : (null) 

   +0x080 WaitOnActiveCount : (null) 

   +0x084 PagesToWrite     : 0

   +0x088 BeyondLastFlush  : 0n0

   +0x090 Callbacks        : 0xf725c62c _CACHE_MANAGER_CALLBACKS

   +0x094 LazyWriteContext : 0xe167b800 Void

   +0x098 PrivateList      : _LIST_ENTRY [ 0x84e5257c - 0x84e5257c ]

   +0x0a0 LogHandle        : (null) 

   +0x0a4 FlushToLsnRoutine : (null) 

   +0x0a8 DirtyPageThreshold : 0

   +0x0ac LazyWritePassCount : 0

   +0x0b0 UninitializeEvent : (null) 

   +0x0b4 NeedToZeroVacb   : (null) 

   +0x0b8 BcbSpinLock      : 0

   +0x0bc Reserved         : (null) 

   +0x0c0 Event            : _KEVENT

   +0x0d0 VacbPushLock     : _EX_PUSH_LOCK

   +0x0d8 PrivateCacheMap  : _PRIVATE_CACHE_MAP

kd> dt 0x84fb21e8  _VACB

nt!_VACB

   +0x000 BaseAddress      : 0xd5fc0000 Void

   +0x004 SharedCacheMap   : 0x84e52458 _SHARED_CACHE_MAP

   +0x008 Overlay          : __unnamed

   +0x010 LruList          : _LIST_ENTRY [ 0x84fb1460 - 0x84fb1ef8 ]

 

kd> !pte e1743e48 1

                 VA e1743e48

PDE at E1743E48         PTE at E1743E48

contains 13083921       contains 13083921

pfn 13083 -G--A--KREV   pfn 13083 -G--A--KREV//13083物理地址

 

kd> !db 13083 <<c

#13083000 4d 5a 90 00 03 00 00 00-04 00 00 00 ff ff 00 00 MZ..............

#13083010 b8 00 00 00 00 00 00 00-40 00 00 00 00 00 00 00 ........@.......

#13083020 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................

#13083030 00 00 00 00 00 00 00 00-00 00 00 00 f8 00 00 00 ................

#13083040 0e 1f ba 0e 00 b4 09 cd-21 b8 01 4c cd 21 54 68 ........!..L.!Th

#13083050 69 73 20 70 72 6f 67 72-61 6d 20 63 61 6e 6e 6f is program canno

#13083060 74 20 62 65 20 72 75 6e-20 69 6e 20 44 4f 53 20 t be run in DOS 

#13083070 6d 6f 64 65 2e 0d 0d 0a-24 00 00 00 00 00 00 00 mode....$.......

kd> !pte d5fce7f0

                 VA d5fce7f0

PDE at C0300D5C         PTE at C0357F38

contains 17C6A963       contains 13084921

pfn 17c6a -G-DA--KWEV   pfn 13084 -G--A--KREV  //13084物理地址

 

kd> !pte d5fce7f0-e7f0

                 VA d5fc0000

PDE at C0300D5C         PTE at C0357F00

contains 17C6A963       contains 13083921

pfn 17c6a -G-DA--KWEV   pfn 13083 -G--A--KREV //13083物理地址13083

 

//image ca 

kd> !ca 0x84a1a228   

 

ControlArea  @ 84a1a228

  Segment      e167cda8  Flink      00000000  Blink        00000000

  Section Ref         0  Pfn Ref          26  Mapped Views        1

  User Ref            1  WaitForDel        0  Flush Count         0

  File Object  84a1a1b0  ModWriteCount     0  System Views        0

  WritableRefs        0  

  Flags (80000a0) Image File Accessed 

 

      File: \WINDOWS\system32\mys.dll

 

Segment @ e167cda8

  ControlArea     84a1a228  BasedAddress  5ffb0000

  Total Ptes            36

  WriteUserRef           0  SizeOfSegment    36000

  Committed              0  PTE Template  a2192c38

  Based Addr      5ffb0000  Image Base           0

  Image Commit           2  Image Info    e167cebc

  ProtoPtes       e167cde0

 

 

Subsection 1 @ 84a1a260

  ControlArea  84a1a228  Starting Sector        0  Number Of Sectors    2

  Base Pte     e167cde0  Ptes In Subsect        1  Unused Ptes          0

  Flags              11  Sector Offset          0  Protection           1

 

Subsection 2 @ 84a1a280

  ControlArea  84a1a228  Starting Sector        2  Number Of Sectors   6d

  Base Pte     e167cde4  Ptes In Subsect        e  Unused Ptes          0

  Flags              31  Sector Offset          0  Protection           3

 

Subsection 3 @ 84a1a2a0

  ControlArea  84a1a228  Starting Sector       6f  Number Of Sectors    2

  Base Pte     e167ce1c  Ptes In Subsect        2  Unused Ptes          0

  Flags              51  Sector Offset          0  Protection           5

 

Subsection 4 @ 84a1a2c0

  ControlArea  84a1a228  Starting Sector       71  Number Of Sectors  118

  Base Pte     e167ce24  Ptes In Subsect       23  Unused Ptes          0

  Flags              11  Sector Offset          0  Protection           1

 

Subsection 5 @ 84a1a2e0

  ControlArea  84a1a228  Starting Sector      189  Number Of Sectors    f

  Base Pte     e167ceb0  Ptes In Subsect        2  Unused Ptes          0

  Flags              11  Sector Offset          0  Protection           1

kd> !pte e167cde0 1

                 VA e167cde0

PDE at E167CDE0         PTE at E167CDE0

contains 15F20121       contains 15F20121

pfn 15f20 -G--A--KREV   pfn 15f20 -G--A--KREV//15f20物理地址

 

 

 kd> dt _PRIVATE_CACHE_MAP 0x84e52530 //这个结构只是描述下ahead read

nt!_PRIVATE_CACHE_MAP

   +0x000 NodeTypeCode     : 0n766

   +0x000 Flags            : _PRIVATE_CACHE_MAP_FLAGS

   +0x000 UlongFlags       : 0x2fe

   +0x004 ReadAheadMask    : 0xffff

   +0x008 FileObject       : 0x84c8c818 _FILE_OBJECT

   +0x010 FileOffset1      : _LARGE_INTEGER 0xe400

   +0x018 BeyondLastByte1  : _LARGE_INTEGER 0xe408

   +0x020 FileOffset2      : _LARGE_INTEGER 0xe7e0

   +0x028 BeyondLastByte2  : _LARGE_INTEGER 0xe7f0

   +0x030 ReadAheadOffset  : [2] _LARGE_INTEGER 0x0

   +0x040 ReadAheadLength  : [2] 0

   +0x048 ReadAheadSpinLock : 0

   +0x04c PrivateLinks     : _LIST_ENTRY [ 0x84e524f0 - 0x84e524f0 ]

   

 

kd> dd ccvacbs //ccvacbs是系统的vacb数组

8089d268  84fb1000 00000000 00000000 00000000

 kd> dd CcBeyondVacbs

8089d258  84fcdc50    //这是结尾

 

kd> dd CcNumberVacbs

8089d28c  0000132e  //个数

 

CcNumberVacbs = (MmSizeOfSystemCacheInPages >> (VACB_OFFSET_SHIFT - PAGE_SHIFT)) - 2;

 

 

CcVacbFreeList  把ccvacbs里面所有空闲的vacb连接起来

CcVacbLru  链表就把正在使用的连接起来

 

CcGetVacbMiss {}//当没vacb时

{

 

    if (!IsListEmpty(&CcVacbFreeList)) {

    

        Vacb = CONTAINING_RECORD( CcVacbFreeList.Flink, VACB, LruList );

        CcMoveVacbToReuseTail( Vacb ); //将VAC从原来的链表(CcVacbLru)中拿出来,加入CcVacbLru链表

 

    } else {使用LRU算法找出一个vacb释放掉来使用}

 

}

 

 

 

 PS:在ccopyread中发现要读的buffer还没cache时,就会调用MmMapViewInSystemCache ,但在这个函数调用完了后

那个内存还是可能不能使用的,里面指向原型pte,对应subsection.最后访问还是依靠page fault来把内容读到内存来。。

 

//84fb21e8这个是上面fileobject->_SECTION_OBJECT_POINTERS->SharedCacheMap->InitialVacbs[0]的值

 

 

 

kd> dt _vacb 84fb21e8

nt!_VACB

   +0x000 BaseAddress      : 0xd5fc0000 Void

   +0x004 SharedCacheMap   : 0x84e52458 _SHARED_CACHE_MAP

   +0x008 Overlay          : __unnamed

   +0x010 LruList          : _LIST_ENTRY [ 0x84fb1460 - 0x84fb1ef8 ]//链表链起来

转载于:https://www.cnblogs.com/kkindof/archive/2012/06/08/2542343.html

weixin_30338743
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
C++ 从入门到入土(English Version)Section 6: Pointers and Call by Reference
weixin_42455006的博客
11-17 334
获取Kernel32基地址的几种方法-相关结构
wowolook的专栏
04-01 4612
一、几个重要的数据结构,可以通过windbg的dt命令查看其详细信息 _PEB、_PEB_LDR_DATA、_LDR_DATA_TABLE_ENTRY 二、技术原理 1、通过fs:[30h]获取当前进程的_PEB结构 2、通过_PEB的Ldr成员获取_PEB_LDR_DATA结构 3、通过_PEB_LDR_DATA的InMemoryOrderModuleList成员获取_LIST_ENT
PE结构讲解--section table 和 section
weixin_33739523的博客
08-25 787
本文为转载文章,整理自小甲鱼老师讲的PE结构课程; 一、PE文件到内存的映射: 在执行一个PE文件的时候,windows 并不在一开始就将整个文件读入内存的,而是采用与内存映射文件类似的机制。也就是说,windows 装载器在装载的时候仅仅建立好虚拟地址和PE文件之间的映射关系。当且仅当真正执行到某个内存页中的指令或者访问某一页中的数据时,这个页面才...
windows内存管理2(做双缓存透明加密驱动必看)
异次元小强
04-25 3480
这些东西我整理出来很久了,由于各种原因一直没放出来,引用的图来自网络或者书籍,如果你看的不错想要转载请注明本空间。 接上文: *文件缓存分析 一个典型文件创建缓存过程: 1.当文件对象第一次被缓存读写时,文件系统调用CcInitializeCacheMap初始化缓存 2.如果FileObject->SectionObjectPointer->SharedCacheMa
windows内核中Section/Segment/ControlArea/Subsection/MMVAD之间的关系
lixiangminghate的专栏
03-26 1920
Section/Segment/ControlArea/Subsection/MMVAD之间的关系不知道能不能这么理解: Section是内存映射的管理结构,内含Segment。当文件的内容被映射到内存后,Segment中的原型pte是指向 已经被映射到内存中的文件页面。而ControlArea也是一个管理结构,其后的Subsection中有大量的原型pte 这些原型pte指向即将被映射
pte模拟考试_PTE模拟题
weixin_32028739的博客
12-28 2119
小编今天给大家准备了PTE的模拟试题,希望大家可以有所收获,对PTE的了解更有收获哦!A、The date line is necessary toavoid a confusion that would otherwise result.B、The same problem would arise iftwo travelers journeyed in opposite directions ...
linux 内核参数 pte,Linux下通过线性地址得到页表项pte(X86和龙芯2F下)
weixin_33603331的博客
05-12 1240
在Linux中,内核的页面映射机制分为三层,页面目录和页面表中间设有一个“中间目录”。中间目录是为了对64位CPU兼容而设计的。在内核代码中,页面目录称为PGD,中间目录称为PMD,页面表成为PT, PT中的表项称为PTE, 是“page table entry的缩写”。一个进程的线性地址从高位到低位划分为4个段,各占若干位,分别作用为目录PGD中的下标,中间目录PMD的下标、页面表的下标以及物理...
PTE两周速成指南及江西考点初体验
拔牙不打麻药
04-06 1350
目录一些乱七八糟的话备考计划模考C卷Read aloud(RA)Descirbe Image(DI)Retell Sentence(RS)Summarize Spoken Text(SST)Write Essay(WE)Write From Dictation(WFD)南昌考点初体验 一些乱七八糟的话 本来我是打算考雅思的,十一月报了一个口语班,打算十二月去杭州考点考试,结果因为疫情,十二月和一月的都取消了,又报了二月的杭州的考试,那会又有疫情,又取消了,我的同学和我说可以报上海的考试,三月我就报了上海南丰
linux 内核参数 pte,linux内核中的PTE结构
weixin_39701768的博客
05-12 779
我一直试图在linux源代码中查看一个结构/联合,它与禁用PAE的x86系统上的PTE相对应.到目前为止,我在arch / x86 / include / asm / page_32.h中只找到了以下内容typedef union {pteval_t pte;pteval_t pte_low;} pte_t;我现在有点困惑,因为我在我面前打开了英特尔参考手册第3A卷,并且该联合中的任何内容都与手册...
CISP-PTE Win2008 R2靶机综合实战
GDL1411983801的博客
12-10 1459
CISP-PTE win2008
PTE讲课PPT
11-29
2. **信息收集**:使用工具如Nmap、Shodan等获取目标系统的信息,包括IP地址、开放端口、服务版本等。 3. **漏洞扫描**:利用Nessus、OpenVAS等工具对目标进行自动化漏洞扫描,发现潜在的安全弱点。 4. **漏洞利用...
CISP-PTE模拟环境
12-13
CSIP-PTE模拟环境镜像下载
CISP-PTE介绍
03-13
简单介绍什么是CISP-PTE(国家注册注册信息安全人员-渗透测试工程师)
CISP PTE-PTS白皮书.pdf
08-12
CISP-PTE
CISP-PTE讲义PPT.zip
02-03
谷安的CISP-PTE的培训资料,象征性收点搬运费
Python机器学习、深度学习技术提升气象、海洋、水文领域实践技术
weixin_58566962的博客
07-15 292
Python是功能强大、免费、开源,实现面向对象的编程语言,能够在不同操作系统和平台使用,简洁的语法和解释性语言使其成为理想的脚本语言。除了标准库,还有丰富的第三方库,Python在数据处理、科学计算、数学建模、数据挖掘和数据可视化方面具备优异的性能。上述优势使得Python在气象、海洋、地理、气候、水文和生态等地学领域的科研和工程项目中得到广泛应用。人工智能和大数据技术在许多行业都取得了颠覆式的成果,气象和海洋领域拥有海量的模式和观测数据,是大数据和人工智能应用的天然场景。
RTI DDS大数据碎片
qq_33089547的博客
07-17 874
PublicationBuiltingTopicData或SubscriptionBuiltnTopicData样本较大的最常见原因是序列化的TypeCode或TypeObject,但您也可能发送了大量属性(通过7.5.19 PROPERTY QosPolicy(DDS扩展))或具有较大的ContentFilteredTopic筛选器表达式,以及其他大小可变的字段,这可能会导致样本大小较大。如果您尝试发送一个大小大于MTU的DDS样本,但尚未设置DDS级碎片,您将看到IP级碎片。
2024年大数据高频面试题(下篇)
最新发布
program哲学
07-17 1130
本文详细介绍大数据岗位热门高频面试题并附有详细答案说明,下篇包含scala、即席查询、分区、分桶、分片、调度系统、数据倾斜等内容的常见面试题
第二届大数据、计算智能与应用国际会议(BDCIA2024)
爱思德学术
07-15 225
EI会议论文集:本届会议的论文均会安排严格的同行评审,接收论文将集结出版,出版后送交EI Compendex, Scopus等数据库收录。大会邀请到来自美国、英国、加拿大、新加坡、意大利、越南等10余位领域内学术大咖作主题报告,并与参会人员互动交流。知网收录期刊:投稿后3-5天即可返回审稿结果,录用率高,一般2周左右见刊。EI期刊:正刊版面,JA检索类型,3-6个月发表。SCI期刊:欧洲国家出版,IF=5+,二区期刊。会议日期:2024年11月15-17日。会议地点:中国-湖北省-黄冈市。
提升PTE Academic技巧:正确标点与任务专注
2. 遵守字数限制:对于写作部分,考生必须严格控制在规定的字数范围内,避免冗长或偏离主题。这要求考生精确提炼信息,有效地传达观点。 3. 快速响应与持续发言:在口语任务中,考生需要迅速反应并保持连贯性。如果...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值