使用WinDbg查看保护模式分页机制下的物理地址

最新推荐文章于 2023-09-21 16:30:58 发布
最新推荐文章于 2023-09-21 16:30:58 发布
阅读量2.2k 收藏 9
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42486644/article/details/80747462
版权
本文介绍了如何利用WinDbg工具,在保护模式下的分页机制中,通过虚拟地址追踪到实际的物理地址。通过设置调试环境,定位到记事本进程,搜索字符串并解析虚拟地址的组成部分,最终成功找到内存中对应的物理地址。
摘要由CSDN通过智能技术生成

    我们知道,当今主流的x86/x64 Intel处理器默认都使用了保护模式,不同于8086时代的实模式机制,保护模式和分页机制实现了内核层与用户层隔离,进程间执行环境隔离。

    对Win32系统比较熟悉的人都知道系统为每一个进程都分配了4GB的进程空间,其中低2GB是用户层空间,而高2GB是内核层空间,而内存地址使用的分页机制下的虚拟地址,而虚拟地址需要通过分页机制的层层转换,才能找到映射该内存地址的物理地址,下面让我们使用WinDbg工具来看一下系统如何通过虚拟地址找到真正的物理地址:

    首先要构建一个双机调试环境(见另一篇文章看,本文使用的虚拟机为Win7 x86 sp1),我使用的WinDbg和virtualKD,将virtualKD的插件装到虚拟机中,然后重启虚拟机:

    

选择window 7 [virtualKD] [启用调试程序]:

然后等虚拟机进入桌面后,打开记事本,输入一串字符串(那就”Hello World!“吧。。。)


然后点击WinDbg的break按钮,使操作系统断下来

最低0.47元/天 解锁文章
Fear1ess_
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
《格蠹汇编》读书笔记—windbg使用
u012138730的专栏
05-25 5355
1.注册表设置 注册表设置 要调试的exe的 debugger 为 x86的windbg 打开注册表,在[运行] (win+ R)中输入 regedit,找到下面这个路径: 比如想要调试test.exe, 就新建一个test.exe 文件夹,并新建 一个 字符串值的键,名称为 Debugger,值为 windbg所在的路径 2.打开windbg,需要设置这三个路径,但是这个...
机制(段描述符)和页机制(内存分页
u012138730的专栏
05-17 4985
前面说道操作系统的每个进程都拥有自己的虚拟地址空间,对于这个32位操作系统,虚拟内存空间大小为4G。现代操作系统都使用分页来管理内存,把4G分成每一页为2^12 = 4K大小的页,一共有1M个的页(虚拟页VP,VirtualPage)。每一个虚拟页映射到物理内存空间的一个页——物理内存地址空间也划分4K大小的页(物理页PP,PhysicalPage)。这个映射关系的数据结构称为页表。当进程的虚拟页...
windbg找到一个虚拟地址的物理地址.doc
07-31
windbg找到一个虚拟地址的物理地址.doc
windbg由虚拟地址查找对应物理地址(内核调试)
wesley2005的专栏
07-31 1850
(1)虚拟地址通过pte指令,找到pfn 假设虚拟地址为0xfffff880`00d5e9e0 0: kd> !pte 0xfffff880`00d5e9e0                                            VA fffff88000d5e9e0 PXE at FFFFF6FB7DBEDF88    PPE at FFFFF6FB7DBF1000  ...
Windbg解析程序运行时虚拟地址对应的物理地址
weixin_44922845的博客
03-02 2099
分析虚拟地址 本次实验使用 Windbg 解析 hello25.exe 程序运行时虚拟地址 0x00403000h 对应的物理地址,那么首先我们先对虚拟地址 0x00403000h 进行分析。 在 64 位操作系统下,虚拟地址的 63-48 位是符号扩展位,在虚拟地址到物理地址的转换过程中没有实际作用,所以我们重点关注剩下的 48 位,其中,47-39 位表示 PML4E,38-30位表示PDPT...
windbg:虚拟地址转换为物理地址
shuishan_lmy的博客
06-07 557
Windbg验证物理地址
最新发布
m0_62601763的博客
09-21 171
【代码】Windbg验证物理地址
x64下隐藏可执行内存
hongduilanjun的博客
09-14 2346
我们如果想要实现进程隐藏在3环通常会使用到PEB断链去达到隐藏进程的效果,但是那只是表面上的进程隐藏,所有内存的详细信息都会被储存在vad树里面,这里我们就来探究在64位下如何隐藏可执行内存。
Bochs源码分析 - 15:bochs对于call far(tss_sel)指令的实现机制
WriteAnything_的博客
07-24 508
前言 所谓“保护模式”,重点是“保护”,可保护的是什么呢?答案是:内存中的数据与代码。有几种保护手段呢?段保护与页保护。这篇文章我尝试结合intel手册来重新梳理一下intel保护模式中的段保护有关机制保护模式的两种保护机制 The memory management facilities of the IA-32 architecture are divided into two parts: segmentation and paging. Segmentat...
实践使用WinDBG从虚拟地址转换到物理地址
梵·烈火的专栏
01-26 3736
正在逐章学习《调试软件》一书,看到2.7分页机制。仿照书上的例子,试着手工把虚拟地址转换到物理地址。 由于书中的例子是针对未开启PAE的情况,而我的XP SP2默认开启了PAE,所以白白浪费了大半天时间。话说以前还真不知道启动参数里面/noexecute=optin也会开启PAE。 后来在网上找到了作者针对开启PAE后如何转换的文章,重新实验了一下。原文地址:http://advdbg.org
windbg显示特定进程虚拟地址的方法
享受开发,颠倒银河
07-03 1712
1 必须使用Livekd.exe启动
Windows获取模块基地址
langshanglibie的专栏
05-29 7909
获取模块的基地址有如下几种方法: 1. 模块句柄就是模块基地址(或称模块加载地址),直接将模块句柄转换为模块基地址 2. 根据模块中的地址得到模块句柄,模块句柄就是基地址 GetModuleHandleEx 3. 根据模块中的地址得到这个地址所属模块的基地址 但是 SymGetModuleInfoW64 总是运行失败 4. 使用 VirtualQueryEx 函数 5. 根据进程句...
使用windwow windbg 吃透64位分页内存管理
不会写代码的丝丽
02-26 898
分页基础概念是操作系统基础知识,网上已经有太多太多了。所以本文记录具体可以参阅的章节。CR0.PG = 0表示不开启分页.并且根据CR4各种标志开启不同类别的分页模式,大致有四种模式。开启物理地址扩展 简单点理解就是用于启用64位模式(本文讨论范围)CR4.LA57是一个控制寄存器的位,用于启用或禁用所谓的5级分页模式,启用57位线性地址。(本文不讨论,因为现在基本没有使用)是CR4的第12位,在window10 64位都没有启用(也没有必要启用)本位讨论的分页机制是原文中的分页机制
windbg常用命令
qq_41490873的博客
06-22 768
!pool +va 可以分析出一个地址是不是通过ExAllocatePool分配的 以及是分页内存还是非分页内存 ba e1 +va 硬件断点 dps rsp 查看堆栈 会显示出相应的函数名 !pte + va 可以找出一个虚拟地址的pte 通过PTE知道这个地址读写以及可执行属性 !address +va 获得虚拟地址所在区域 .thread 列出当前线程结构体 !thread 当前线程信息 dt _KTHREAD TrapFrame+ 结构体地址 可以
[windows内核]PDE&PTE
r250414958的博客
08-10 2275
Cr3 描述: 在所有的寄存器中,只有Cr3存储的是物理地址,其它寄存器存的都是线性地址 Cr3所存储的物理地址指向了一个页目录表(PDT) 在Windows中,一个页的大小通常为4KB,即一个页可以存储1024个页目录表项(PDE) 下面是手册中的描述在第3卷2.5 CONTROL REGISTERS 物理页结构图: 注意:但其实上面这种结构方式是错误的,这个以后再解释,先这样理解 PDE(页目录表项) 描述: 页目录表(PDT)的每一项元素称为页目录表项(PDE) 每个页目录表项指向一个页表(
难译 | windbg 乐趣之道(上)
dotNET跨平台
02-28 171
前言 Yarden Shafir 分享了两篇非常通俗易懂的,关于 windbg 新引入的调试数据模型的文章。链接如下:part1:https://medium.com/@yardenshafir2/windbg-the-fun-way-part-1-2e4978791f9bpart2:https://medium.com/@yardenshafir2/windbg-the-fun-way-part...
12_通过 CR3 切换_读取指定进程数据
leibso的博客
10-22 1558
注意: cr3 切换 ,导致eip 指向的页面,改变为对应cr3 的页面;所以代码也变了;这里需要将这部分代码放入公共区域。 解决: 使用 类似前面 山寨 systemfastcallentry 的方法;使用 int 20 将代码拷贝到 高2gb 公共区域。 注册到 int 21,然后中断调用即可。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值