从DbgView探究Windows内存管理笔记

最新推荐文章于 2025-03-07 21:57:28 发布
最新推荐文章于 2025-03-07 21:57:28 发布
阅读量936 收藏 4
点赞数 6
分类专栏: windows 文章标签: windows 内存管理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_46362499/article/details/105783085
版权
本文通过探究DbgView的内存分布,深入理解Windows内存管理,涉及线性地址管理、Private Memory(VirtualAlloc与malloc的区别)、Mapped Memory(包括写拷贝特性)、物理内存管理及缺页异常机制。通过实例分析了VirtualAlloc的内存分配方式,展示了如何跟踪和理解线性地址、物理页与文件映射的关系。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x00 前言

  讲内存管理单纯的理论比较空洞,所以本文从探究DbgVeiw的内存分布开始,来探究windows系统的内存管理,讨论malloc和VirtualAlloc的差别,和缺页异常。

参考文章

https://blog.youkuaiyun.com/weixin_42052102/article/details/83757538

https://blog.youkuaiyun.com/weixin_42052102/article/details/83722047

https://blog.youkuaiyun.com/weixin_42052102/article/details/83751896

0x01 线性地址的管理

首先在虚拟机中打开一个.exe的文件,这里选择了DbgView,之后到Windbg里查看对应的进程

 

看一下_KPROCESS结构体

在0x11c的位置的VadRoot处是一个搜索二叉树的入口点,每一个节点都记录被占用的线性地址空间,每一个节点的结构,都是_MMVAD结构体

接下来,先手动找一下这个搜索二叉树的节点  

观察一下1)Parent:因为是根节点所以没有父节点了

               2)LeftChild / RightChild:左子树/右子树,一个是往左边拓展的线,一个是往右边拓展

重复这一过程就可以找到所有的节点选择二叉树而并非链表是因为搜索二叉树查找的效率比链表高很多

               3)StartingVpn && EndingVpn: 这两个值是以页(4kb)为单位的,所以各把这两个数后面添上3个0,就是当前节点的起始位置与结束位置,也此两者之间就是已经被占用的位置,所以想找到那些已被占用和未被占用的线性地址,遍历这个二叉树就可以了。

             4)ControlArea:看一下结构体

     其中的FilePointer如果其中的值是NULL则线性地址对应的是真正的物理页

 

    而如果指向一个_FILE_OBJECT(如上图),那线性地址对应的是某文件影射的内存,我们继续跟下去

         5)_MMVAD+0x14成员u,我们不妨参考一下 ReactOS 里的说明


union {
   ULONG_PTR   LongFlags
 
   MMVAD_FLAGS   VadFlags
 
} u

主要使用的是MMVAD_FLAGS这个结构,跟进这个结构(和实际windows还是有一定差别的,但是主要成员没问题,其中Protection的偏移为0x14)

typedef struct _MMVAD_FLAGS
{
    ULONG_PTR CommitCharge:19
    ULONG_PTR NoChange:1
    ULONG_PTR VadType:3
    ULONG_PTR MemCommit:1
    ULONG_PTR Protection:5//规定文件属性
                          // 1 READONLY  2  EXECUTE  3  EXECUTE _READ  4 READWITER  
	                  // 5 WRITECOPY  6  EXECUTE _READWITER   7 EXECUTE_WRITECOPY  

    ULONG_PTR Spare:2
    ULONG_PTR PrivateMemory:1//是实际物理页(1:private)还是文件映射(0:mapped)
} MMVAD_FLAGS,*PMMVAD_FLAGS;

 

遍历所有节点,在windbg里也存在这样的指令! vad 0x89473968(这个是根节点的线性地址)

一下列举4种不同的情况

1. 其中的Level就是二叉树中的层级,

2. start和end 后面再加3个0(因为单位为4kb)就是每个节点线性地址的起始与终点位置

3.Private是指线性地址对应真实

最低0.47元/天 解锁文章
windbg+Dbgview.rar
10-16
教程:https://www.cnblogs.com/fang-beny/p/3582653.html
dbgview windbg的帮助文件
12-30
dbgview windbg的帮助文件,学习windbg的好帮手
DbgView使用
wyyy2088511的博客
07-06 4899
DbgView简介 Sysinternals公司的系列调试工具。 debugview 可以捕获程序中由TRACE(debug版本)和OutputDebugString输出的信息。 Debug信息捕获软件 可以很方便的捕获系统实时输出的Debug信息,并保存为日志文件。可以远程捕获服务器上的Debug信息。 比较方便开发人员在系统发布前监控一些系统流程和异常,甚至在系统不大的情况下,更能在部署后进行远程监控功能。 二 实际操作 Computer菜单下可选择连接的计算机,默认连接本机; 输..
调试工具 - DebugView
最新发布
dxf1971738522的博客
03-07 343
基于DebugView的内核驱动调试信息捕获
Dbgview调试工具的使用
technologyleader的专栏
08-21 3898
1介绍:DebugView是一个系统调试信息输出的捕获工具。debugview是 Sysinternals 公司的系列调试工具。debugview 可以捕获程序中由 TRACE(debug版本)和 OutputDebugString 输出的信息。debugview也是一个 Debug 信息捕获软件,可以很方便的捕获系统实时输出的Debug信息,并保存为日志文件。可以远程捕获服务器上的Debug信息。 比较方便开发人员在系统发布前监控一些系统流程和异常,甚至在系统不大的情况下,更能在部署后进行远程监控功...
Dbgview(调试信息查看器)
03-19
DbgView调试信息查看器。可以查看调试打印信息,诸如MFC中的TRACE输出。类似于Android开发工具中的DDMS。DbgView调试信息查看器不仅仅能作为调试信息输出,而且可以作为一个信息输出软件,监视您的软件运行,目前支持mfc和windows下dos信息输出。
Dbgview 显示windows下的软件打印
05-25
总的来说,DbgviewWindows下不可或缺的诊断工具,尤其对于软件开发者和系统管理员来说,它提供了查看和分析应用程序内部行为的强大功能,有助于快速定位和解决问题。通过熟练掌握Dbgview的使用,可以显著提升工作...
windows下调试工具dbgview.exe
10-23
windows下调试工具dbgview.exe
DbgViewWindows平台下的高效打印信息调试工具
DbgView是一款在Windows操作...综上所述,DbgView是一个强大的Windows平台调试工具,它能够有效地辅助开发者和IT管理人员进行软件开发和系统维护。通过理解和掌握DbgView的使用,可以大大提升问题诊断和解决的效率。
dbgviewwindows 10 中关闭后再次打开时无法“capture kernel”-附件资源
03-05
dbgviewwindows 10 中关闭后再次打开时无法“capture kernel”-附件资源
32位/64位WINDOWS驱动之windbg双机调试
a756598009的博客
06-24 4232
windbg双机调试环境配置第一步关掉虚拟机如果有打印机请移除打印机(打印机会占用端口)添加-添加串行端口-完成选择使用命名的通道-名字为 \.\pipe\abc123(对应下面的COM1) -确定-在开启虚拟机在虚拟机命令行里面输入 msconfig 来到系统配置 -引导-第二个高级选项 -勾选调试-勾选调试窗口-选择COM1;-确认-重新启动-启动的时候选择下面的调试系统来到自己电脑系统搜索windbg
windows超级内核级调试工具WINDBG
03-01
windbg,系统级超级调试工具,可以调试进程,还原dump文件的具体环境,特别针对调试微软蓝屏的一款相当棒的微软提供的系统内核级调试工具!
Windows 中输出到DbgView中的函数实现
Jackxin Xu IT技术专栏
12-26 2517
在进行Windows开发中,大家经常需要将自己程序的运行时信息输出到一个调试窗口中,让系统的调试着可以随时监控程序的实际运行状态,如下的函数可以将程序运行时数据输出到DbgView中(DbgView由Sysinternals开发,该公司已被微软收购),并且调用工具直接查看输出值;void DEBUG_PRINT(IN TCHAR *format, ...){ va_list   argList; TCHAR   szFormat[256], szContent[1024];    //maximum buf
DebugView的使用
weixin_38526093的博客
06-07 5714
DebugView是windows下的一款调试工具,可以捕获程序输出的日志,分为64位和32位,支持应用层和内核层的日志捕获,利用它排除bug是个不错的选择。本文主要关注应用层面的使用。一般程序日志记录可以输出到文件进行查看,但是使用DebugView不会自动输出到文件,它的日志信息是驻留在进程内存中。
DbgView工具&远程调试
优快云博客
06-20 4666
1. DebugView: DebugView is an application that lets you monitor debug output on your local system, or any computer on the network that you can reach via TCP/IP. It is capable of displaying both kernel...
dbgview打印不显示问题解决方法
noteblock的博客
09-11 941
3.把kdprint换成dbgprintEx即可,大部分人用的都是kdprint,可是这个函数对个别电脑不友好,尤其是AMD,换成dbgprintEx就不会出现这个问题,而且不会对你的调试结果造成影响,还可以更灵活的使用。很多朋友在使用dbgview对自己的驱动进行调试,会发现在dbgview里面无法看到自己输出的调试信息,在网上看了许多教程,也无法解决,即使按照网上的教程将内核调试打开,注册注册表,仍然无法解决,其实解决方法很简单。1.检查是否打开内核调试模式。2.检查是否注册了注册表。
实用工具
feixi7358的博客
10-18 156
平台:Windows procexp 可以看进程之间的关系 PChunter 强制结束进程 dbgview 看打印日志 windbg 调试 process monitor 监控进程调了哪些模块 api monitor 监控进程调了哪些API everything 按文件名搜索本地的文件 grepWin.exe 按内容搜...
Windows驱动开发必备工具
成功的方式只有一个,按自己的方式,度过人生。欢迎共赴知识与乐趣的探索之旅!
08-03 777
Windows驱动开发必备书籍、工具
VAD 虚拟内存
Misaka10046的博客
04-20 3288
Windows中的虚拟地址分配 使用指令dt _EPROCESS 874ed030 观察EPROCESS结构体偏移为0x278的地方,这个地方就是系统拿来存放每个进程的虚拟地址空间的分配情况 输入!vad 874ed030+278 查看该平衡二叉树 Level是二叉树的层数 start是该块虚拟地址空间的起始地址 end为结束地址 commit为请求次数 写一段程序测试下 #include<stdio.h> #include<Windows.h> int main() {
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值