Windows分页管理机制的学习(一)实践2

最新推荐文章于 2022-10-18 00:32:19 发布
最新推荐文章于 2022-10-18 00:32:19 发布
阅读量908 收藏
点赞数
分类专栏: 内核学习笔记 文章标签: 内核 内存 分页 intel
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zfdyq0/article/details/40954721
版权

(二)针对开启PAE模式来进行分析

测试机器Win7 32位系统:(Dbgview.exe程序的线性(虚拟)地址与物理地址的对应)

根据读INTEL手册可知,开启了PAE模式后线性(虚拟)地址的结构发生了变化(开启PAEPDE4*4kb,每项8byte )

 

30~31位变成了PDPTE

 

首先在虚拟机中打开OD,加载Dbgview.exe记录下入口点地址:00415757

 

 

将线性(虚拟)地址转化为二进制后:00000000 01000001 01010111 01010111

根据INTEL手册进行分段:

00       000000010     000010101     011101010111

PDPTE    PDE      PTE          物理地址

 

打开WindDbg,查看DebugView EPROCESS==>KPROCESS==>DirectoryTableBase

 

为0x7ed17600

 

PDPTE:00 ==》 0 ==》 5bc8e801 ==》 起始地址:5bc8e000

由于PDE000000010 ==》 0x2 所以有:

 

403dc867 ==》 起始地址: 403dc000

由于PTE 000010101 ==》 0x15 所以有:

 

3d7f2005 ==》 起始地址: 3d7f2000

由于物理地址:011101010111 ==》 0x757 

所以:

 

对比OD加载的虚拟机地址处的机器码:

 

一致!接下来修改物理地址:!eb 3d7f2757 80 执行完毕后查看OD~

 

 

对应的也修改了,说明找到物理地址是正确的!

 

zfdyq0
关注
专栏目录
Windows分页管理机制学习(一)实践1
zfdyq
11-08 1888
一)先来针对未开启PAE模式来进行分析 测试机器XP 32位系统:(Dbgview.exe程序的线性(虚拟)地址与物理地址的对应)     这里关闭了PAE模式。   我先用OD载入Dbgview.exe程序,并且运行, 看到程序入口点的线性(虚拟)地址:004153B7==> 00000000 01000001 01010011 10110111   根据INTEL手册中的定义
Windows分页管理机制学习(一)理论部分
zfdyq
11-08 2001
PAE模式 什么是PAE模式:PAE,物理地址扩展,是基于x86 的服务器的一种功能,它使运行 Windows Server 2003, Enterprise Edition 和 Windows Server 2003,Datacenter Edition 的计算机可以支持4GB 以上物理内存。物理地址扩展 (PAE) 允许将最多64GB 的物理内存用作常规的4 KB 页面,并扩展内核能使用的位
Linux_分页管理机制(线性地址转换到物理地址)
weixin_30362801的博客
03-30 285
80386开始支持存储器分页管理机制分页机制是存储器管理机制的第3二部分。段管理机制实现虚拟地址(由段和偏移构成的逻辑地址)到线性地址的转换,分页管理机制实现线性地址到物理地址的转换。如果不启用分页管理机制,那么线性地址就是物理地址。本文将介绍80386的存储器分页管理机制和线性地址如何转换为物理地址。 <一>存储器分页管理机制 在保护模式下,控制寄存器CR0...
Windows x86 内存管理及分页机制
Henzox_sun的专栏
07-12 1159
在如今的计算机体系结构中,如果直接让进程使用物理地址来访问内存,将使得进程的动态分配难以有效实施,因为进程直接使用物理内存的地址,因而,若要动态地申请内存和释放内存,也可能会使得进程中使用的内存可能会移动,这些都会受到限制。若使用虚拟内存技术,可以给每一个应用程序都提供一个相对较
请求分页管理实验报告 (2).pdf
最新发布
11-28
【请求分页管理】是一种虚拟存储管理技术,用于解决计算机内存有限而程序占用空间过大的问题。本实验的目的是让学生理解和掌握虚拟存储技术的核心——请求页式管理的页面置换算法,通过模拟不同的算法来分析其性能,...
Windows内存管理机制及C++内存分配
06-21
Windows内存管理机制负责有效地分配、使用和回收系统资源,以确保程序的稳定运行。同时,C++作为一种强大的编程语言,其内存管理策略是程序员必须理解的核心概念。本文将深入探讨Windows内存管理机制以及C++中的内存...
Nachos内存管理:多线程调度与虚拟分页机制
"Nachos内存管理涉及了多线程并发、优先级调度以及虚拟分页式存储管理机制。实验目的是在Nachos操作系统模拟器中改进内存管理,以支持多个线程并行执行,并通过虚拟页表实现分页机制。实验环境包括Intel Core 2 Duo...
Windows内核安全编程从入门到实践[代码]
01-02
Windows内核安全编程从入门到实践》是一本深度探讨Windows操作系统内核安全编程的教程,结合实际代码实例,旨在帮助读者理解并掌握如何在Windows内核层面上编写安全、高效的程序。内核安全编程是计算机系统开发中...
实验--编程实现请求分页存储管理页面Optimal、FIFO、LRU置换算法.docx
07-08
实验目标是通过编程实践,让学生深入理解这些算法的运作机制,并了解它们在实际操作系统中的应用,如Windows 2000/XP。同时,实验要求学生使用VC、VB、Java或C等编程语言,模拟这些算法的行为,以加深对虚拟内存管理...
Windows操作系统 分页文件 | 九七的Windows开发
九七的博客
06-19 8064
Windows 分页文件 环境 Windows7 64位 一、定义介绍   分页一词由Paging翻译而来。所谓的分页,其本质是对页的一种操作。页是磁盘和内存间传输数据块最小单位
Windows保护模式(六)10-10-12分页
sky123博客
10-18 1445
判断 PDE 中的 PS 位是否为 1 ,如果 PS 为 1 则 PDE 直接指向一个 4MB 大小的物理页的基址,直接将线性地址的低 22 位加上该物理页的基址即可得到物理地址。字节,因此可以将线性地址划分为 10bit ,10bit ,12bit 三部分,前两部分按照 4 字节寻址,后一部分按照 1 字节寻址,这样便可以通过 10-10-12 分页将线性地址转换为物理地址。代码如下,调用门提权后判断 0 地址对应 PDE 和 PTE 是否有效,若无效则将 buf 对应结构的内容写入。
Windows XP x86分页机制分析
weixin_30876945的博客
02-27 352
前言 32位的x86 CPU支持两种分页方式,分别是10 10 12分页和2 9 9 12分页,其中2 9 9 12分页模式称为PAE分页。10 10 12分页模式下,PDE和PTE的每一项只占用4字节,此模式下CPU不支持数据执行保护。而PAE分页中PAPTE、PDE、PTE中的每一项都占用8字节,这8字节能够拿出更多的位作为页保护属性和物理地址访问。所以PAE分页模式相对10 10 12分页...
详解Windows内存分页机制
Amao_come_on 的专栏
05-30 1238
偶的博客: http://hi.baidu.com/hu3167343 大家支持下,谢谢了. 昨天新买了两本书, 看到了内存分页部分, 特此记录下, 没什么技术含量, 错误之处还请大牛指点. 大多数现代的操作系统都支持虚存, 这使得系统上的每个程序都拥有自己的地址空间. 每当程序读取内存时, 都必须指定一个地址. 对于每个进程, 该地址必须转换为实际的物理内存地址.  例如, 若我们
推动Windows的限制:分页和非分页
swartz_lubel的专栏
01-31 7036
在之前的“极限”帖子中,我描述了两个最基本的系统资源,即物理内存和虚拟内存。这一次我将描述两个基本的内核资源,分页池和非分页池,它们是基于这些资源的,并且直接负责包括最大进程数,同步对象和句柄在内的许多其他系统资源限制。这是整个推动限制系列的索引。虽然他们可以独立存在,但他们认为你是按顺序阅读的。推动Windows的限制:物理内存推动Windows的限制:虚拟内存推动Windows的限制:分页和非...
Windows保护模式下的分页机制(PART1:10-10-12模式)
tutucoo
12-03 1326
1.概述 一个进程的虚拟地址空间是4GB,它的物理大小并不是真的4GB,如果真的是4GB,那运行中的所有进程都加起来占用的空间是一个天文数字,事实上系统会对这4GB的地址空间进行转换,然后映射到物理内存中。换句话说虚拟地址本身并不是真实存在的。 将虚拟地址转换为物理地址依赖的规则就是分页机制。 物理地址也并不是内存条地址,物理地址需要再进行一层转换才能找到真正的内存条地址。 我们只要会转换到物理地...
透过MmIsAddressValid看Windows分页机制
求索
10-28 1826
标 题: 【原创】透过MmIsAddressValid看Windows分页机制作 者: combojiang时 间: 2008-03-16,00:53链 接: http://bbs.pediy.com/showthread.php?t=61327这两天在逆向分析MmIsAddressValid这个函数,学习了下PAE分页机制,并且也发现了一个问题。就是本机ntoskrnl中导出的MmIsAddre
Windows x64内核学习笔记(四)—— 9-9-9-9-12分页
qq_41988448的博客
03-02 4088
Windows x64内核学习笔记(四)—— 9-9-9-9-12分页前言9-9-9-9-12分页实验一:线性地址转物理地址页表基址PTE to PXE实验二:通过页表基址定位各级页表的物理页参考资料 前言 在学习VT虚拟化技术的EPT物理地址转换时,我们简单提到过9-9-9-9-12分页的概念,即支持48位物理地址转换。 9-9-9-9-12分页 描述:随着计算机技术的发展,64位系统逐渐占据主流地位,那么也就表示CPU的最大寻址范围为64位。但实际上,CPU实际使用只使用了其中的48位用于寻址,寻址方式
分页机制
热门推荐
ProgrammingRing的专栏
03-15 1万+
本文为 第16章笔记 因为段的长度不定, 在分配内存时, 可能会发生内存中的空闲区域小于要加载的段, 或者空闲区域远远大于要加载的段. 在前一种情况下, 需要另外寻找合适的空闲区域; 在后一种情况下, 分配会成功, 但太过于浪费. 为了解决这个问题, 从80386处理器开始, 引入了分页机制. 分页功能从总体上来说, 是用长度固定的页来代替长度不一定的段, 藉此解决因段长度不同而带来的内
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值