windows平台下虚拟地址转换到物理地址

最新推荐文章于 2021-10-03 22:36:53 发布
最新推荐文章于 2021-10-03 22:36:53 发布
阅读量232 收藏
点赞数
原文链接:http://www.cnblogs.com/tieyan/p/4547773.html
版权

1 打开windbg. 用windbg打开notepad.exe, g

4c4517219ffffcff.jpg

2 随便输入几个字符。 例如 952795279527

c9cebd8b4d54e712.jpg

3 搜索记事本里面的字符串, 可知输入的字符在记事本的虚拟地址是 000a93f0

abe2ffd3cb36384e.jpg

4 再打开一个 windbg, 选择本地调试 clrl+k , 确定,输入 !process 0 0 notepad.exe
得到notepad的DirBase, 也就是CR3寄存器

24f176f13da681cd.jpg


lkd> !process 0 0 notepad.exe
PROCESS 88c6d020  SessionId: 0  Cid: 0b54    Peb: 7ffdf000  ParentCid: 1d58
    DirBase: 0b902b80  ObjectTable: eb072c08  HandleCount:  47.
    Image: notepad.exe

865e445460737951.jpg
189cb75813f04cbd.jpg
7a8ecfaf4356776c.jpg

dda6cf1cc42791be.jpg

cr4的第5位标示是否开启PAE, 可以用livekd查看cr4寄存器


lkd> .formats 000a93f0  
Evaluate expression:
  Hex:     000a93f0
  Decimal: 693232
  Octal:   00002511760
  Binary:  00000000 00001010 10010011 11110000
  Chars:   ....
  Time:    Fri Jan 09 08:33:52 1970
  Float:   low 9.71425e-040 high 0
  Double:  3.42502e-318

我的电脑开启了pae。 根据上图intel指令手册32位地址分为 2 9 9 12


2    9           9            12
00   000000 000  01010 1001   0011 11110000

对应的16进制
0    0           A9          3f0


lkd> !dd 0b902b80  
# b902b80 8dcf9801 00000000 ddaba801 00000000
# b902b90 7727b801 00000000 9dcb8801 00000000
# b902ba0 b32ae801 00000000 adfaf801 00000000
# b902bb0 97fb0801 00000000 3dbed801 00000000
# b902bc0 7a9e2801 00000000 3e963801 00000000
# b902bd0 67324801 00000000 1b321801 00000000
# b902be0 d5df8801 00000000 7ee79801 00000000
# b902bf0 63d3a801 00000000 ab077801 00000000

lkd> !dd 8dcf9000
#8dcf9000 81ed8867 00000000 56871867 00000000
#8dcf9010 89bce867 00000000 d37bf867 00000000
#8dcf9020 83d72867 00000000 339c5867 00000000
#8dcf9030 00000000 00000000 00000000 00000000

lkd> !dd 81ed8000+a9*8
#81ed8548 8e1ba867 80000000 c583e867 80000000
#81ed8558 7e643867 80000000 b9f84867 80000000
#81ed8568 89d05867 80000000 1c2c6867 80000000
#81ed8578 87987867 80000000 10688867 80000000

lkd> !dd 8e1ba000+3f0
#8e1ba3f0 00350039 00370032 00350039 00370032
#8e1ba400 00350039 00370032 00000000 00000000
#8e1ba410 00000000 00000000 00000000 00000000
#8e1ba420 00000000 00000000 00000000 00000000



lkd> !du 8e1ba3f0 
#8e1ba3f0 "952795279527"

得知地址内存8e1ba3f0 对应notepad虚拟内存000a93f0
注意显示物理内存的!dd, 并且取到的 目录项要去掉低 12的标志位
文章示例的是开启PAE,页面大小是4k的情况,其他的分页方式命令有所不同
具体看intel指令手册 3a的介绍

转载于:https://www.cnblogs.com/tieyan/p/4547773.html

weixin_30449453
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Windows虚拟地址物理地址(原理+源码实现,附简单小工具)
08-21 310
      ByLthis 上个月就想写了,一直没时间...网上大概搜了一下,原理与操作倒是一大堆,一直没看到源码实现,总得有人动手,这回轮到我了。东西写得很烂,请大牛勿喷。一直...
Window中虚拟地址物理地址之间的转化
leo115的专栏
10-08 5196
如上所述,在确保访问的数据已在物理内存中后,还需要先将虚拟地址转换物理地址,即"地址映射",才能够真正访问此数据。本节讲述Win32中虚拟内存管理器如何将虚拟地址映射为物理地址。 Win32通过一个两层表结构来实现地址映射,因为4 GB虚拟地址空间为每个进程私有,相应地,每个进程都维护一套自己的层次表结构用来实现其地址映射。第一层表称为"页目录"(page directory),实际上就是
X64下的虚拟地址物理地址转换
zz_strive_2012的专栏
05-12 1018
参考链接:https://bbs.pediy.com/thread-203391.htm 早就知道传上来排版会全乱掉,把pdf直接传上来吧x64结构体系寻址.pdf 发现安大的关于x86启用PAE下的虚拟地址物理地址的帖子,大家可以参考一下http://bbs.pediy.co/showthread.php?t=180989 X64结构体系内存寻址 在阅读NewBluePill源码的时候,看内存的那一块简直头疼,全是x64下的寻址,之前根本就没有接触过x64的内存寻址上的内容,看的晕头转向,决定先把x6
虚拟地址物理地址
weixin_30588729的博客
09-27 127
参考资料:《X64结构体系内存寻址》《x86 系列 CPU 内存寻址模式总结》最好的两篇,对各个位都讲的很清楚, 刚开始容易陷入其中,整整看了两天,最后才发现主要框架, 查细节很有用。win7 x64位,4级索引,看了两天,最后发现虚拟地址实现就是 4个数组坐标, 到物理地址就索引了4次数组, 或者是 [ [ [ [ [dirBae] ] + 0x8] + 0x8f*8] +...
windbg:虚拟地址转换物理地址
shuishan_lmy的博客
06-07 531
页式虚拟存储管理中地址转换和缺页中断55
03-19
在页式虚拟存储管理中,每个进程都有自己的虚拟地址空间,而物理内存是有限的,因此需要将虚拟地址转换物理地址,以便访问正确的物理内存单元。地址转换的过程可以分为两步:首先,根据逻辑地址的页号查找页表,...
虚拟偏移地址转换 工具
07-05
在计算机科学领域,虚拟偏移地址转换是一种关键的技术,它涉及到操作系统如何管理内存,特别是针对保护模式下的现代操作系统,如Windows、Linux或macOS。这个技术的核心目标是为了解决程序在内存中的定位问题,确保...
模拟设计段页式虚拟存储管理中地址转换
01-28
总的来说,段页式虚拟存储管理通过地址转换实现了逻辑地址物理地址的映射,有效地支持了程序的动态加载、共享和内存保护。这种机制在现代操作系统中广泛应用,如Windows、Linux等。在模拟设计过程中,理解并实现...
windows虚拟串口创建工具
最新发布
06-18
"windows虚拟串口创建工具"就是这样的解决方案,它可以帮助用户在计算机上创建虚拟的串行端口,以模拟物理串口的功能。 本篇将详细介绍如何使用虚拟串口驱动程序VSPD6.9来创建Windows上的虚拟串口以及其工作原理。 ...
cvi 解析PE文件获取导出函数表和虚拟地址
09-01
虚拟地址则是程序在内存中的实际地址,它不同于磁盘上的物理地址。在PE文件中,每个节都有自己的虚拟地址,当文件被加载到内存时,函数的虚拟地址就是其在进程地址空间中的位置。通过解析PE头,我们可以得到每个节的...
win7 x64 windbg 手动虚拟地址物理地址
zhangxuejiao1的专栏
11-19 520
win7 x64系统手动查找物理内存 x64 结构体系下的内存寻址 别人写的 intel EPT 机制详解 别人写的 win764位下,32位进程与64位进程,通过PML4T,PDPT,PDT和PT 四级页转化物理内存是一样的 每一级table entry的12~35位提供下一级table物理地址的高24位,此时36~51是保留位,必须置0,低12位补零 首先看 64位的 31fc88 -> 000000000 000000000 ...
用windbg实现虚拟地址物理地址转换(Converting Virtual Addresses to Physical Addresses)
Stay Hungry , Stay Foolish
06-12 4015
原文地址:http://blog.csdn.net/hjl243632044/article/details/7656685         本文将用一个小例子说明如何在32位cpu下手工将虚拟地址转换内存中的物理地址。(32位xp下测试通过,32位win7不知何因就是不行。大牛若知,请指点,不胜感激。)         首先补充下理论知识:         验证思
windows 虚拟地址映射到物理地址
dida4700的博客
08-08 165
windows 虚拟地址映射到物理地址 1. The CPU’s MMU locates the page directory for the process usingthe special register mentioned above.2. The page...
Windows虚拟地址物理地址的映射——Windows内存管理
weixin_43742894的博客
04-26 1833
Windows内存管理知识总结 本篇文章主要是理解32位Windows操作系统下的虚拟地址物理地址的映射。 首先我们对Windows的内存管理机制做简要介绍。 Windows为每个进程分配了4GB的虚拟地址空间,让每个进程都认为自己拥有4GB的内存空间。 然后Windows系统把这4GB大小的空间划分为进程和系统两个部分,每个进程可以获得2GB的虚拟内存,根据可用的容量。分配给所有进程的虚拟内...
操作系统虚拟地址转换物理地址
Pang
01-03 2451
十进制转换为二进制 0000 0 0001 1 0010 2 0011 3 0100 4 0101 5 0110 6 0111 7 1000 8 1001 9 1010 10 1011 11 1100 12 11...
1.线性地址、逻辑地址物理地址的区别?
weixin_34206899的博客
07-14 380
出处:http://my.chinaunix.net/space.php?uid=25564882&do=blog&id=192261 虚拟地址、线性地址物理地址转换 一、 虚拟地址 即逻辑地址,是指由程序产生的与段相关的偏移地址部分。例如,你在进行C语言指针编程中,可以读取指针变量本身值(&操作),实际上这个值就是逻...
虚拟地址物理地址转换 笔记
最初的梦想
10-03 2327
逻辑地址--->线性地址又称虚拟地址--->物理地址 代码段是只读的、数据段是可写的、堆栈段是可增长的 回顾相关概念 在进程中,我们不直接对物理地址进行操作。CPU在运行时,指定的地址要经过MMU转换后才能访问到真正的物理内存。地址转换的过程分为两部分,分段和分页。分段机制简单点来讲就是将进程的代码、数据、栈分在不同的虚拟地址段上。从而避免进程间的互相影响,分段之前的地址我们称之为逻辑地址。 逻辑地址由两部分组成,高位的段选择符和低位的端内偏移。在分段时先用段选择符在相应的段描...
WindowsCE的虚拟内存模型.pdf
07-14
内存管理单元(MMU)是实现这一功能的关键硬件,它负责将虚拟地址转换物理地址,并执行内存保护。不同于有硬盘的桌面系统,Windows CE设备通常没有硬盘,因此无法使用页面交换机制来释放RAM。因此,Windows CE必须...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值