Windows 核心编程研究系列之二:读取指定物理内存地址中的内容

最新推荐文章于 2024-02-03 09:30:00 发布
最新推荐文章于 2024-02-03 09:30:00 发布
阅读量8.5k 收藏 5
点赞数
分类专栏: Asm 文章标签: windows 编程 attributes caching 汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/mydo/article/details/1449536
版权
本文探讨了在Windows NT中,如何通过MmMapIoSpace函数、操作物理内存对象以及关闭分页机制等三种方法,读取已知物理内存地址的内容。详细介绍了每种方法的实现步骤和注意事项。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 

[原创/讨论]Windows核心编程研究系列之二:

了解本专栏 订阅专栏 解锁全文 超级会员免费看
驱动 ReadPhysicalMemory 读写 物理内存 参考代码 win7 64
编程论坛
06-11 6002
#pragma warning( disable: 4100 4103 4146 4213)NTSTATUS ReadPhysicalMemory(char *startaddress, UINT_PTR bytestoread, void *output);UINT_PTR KnownPageTableBase = 0;void VirtualAddressToIndexes(QWORD add...
32位/64位WINDOWS驱动之物理地址读写内存方法4
a756598009的博客
07-08 1315
自写函数 通过PID切换到目标进程环境 计算出物理地址把物理地址映射到当前进程 不使用时需要用ZwUnmapViewOfSection取消映射//转换成 物理地址的方式 读取进程虚拟地址。
Windows 逆向】内存地址分析 ( 内存条 | 虚拟内存 | 内存地址及寻址范围 | 内存地址与数据的关系 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
11-13 2032
一、内存地址、 1、内存条、 2、虚拟内存、 3、内存地址及寻址范围、 二、内存地址与数据的关系、
获取一个进程的所有物理地址上的内存
weixin_30394251的博客
07-11 650
1. 获取进程的所有PTE表项,从而得到所有物理地址   参考:https://www.cnblogs.com/pengdonglin137/p/6802108.html   通过/proc/pid/pagemap    1 #include <stdio.h> 2 #include <stdlib.h> 3 #include <unistd...
驱动开发:内核物理内存寻址读写
Gefangenes的博客
06-30 1375
这种方式的优点是它能够更快地访问内存,因为它避免了虚拟内存管理的开销,通过直接读写物理内存,驱动程序可以绕过虚拟内存的保护机制,获得对系统中内存的更高级别的访问权限。需要注意的是,该代码并没有进行有效性检查,如没有检查读取的地址是否合法、读取的数据是否在用户空间,因此存在潜在的风险。需要注意的是,该函数还会进行一些错误处理,例如在读取页表项时,如果该项没有被设置为有效,函数将返回0,表示无法访问对应的物理地址。字段包含了进程的页表树的根节点的物理地址,通过它可以找到进程的页表树,从而实现虚拟内存的管理。
Windows内存管理 - 物理内存概念(Physical Memory Address)
最新发布
wendyWJGU的博客
02-03 1119
Windows内存管理 - 物理内存概念(Physical Memory Address)
windows核心编程--内存笔记
青青的专栏--C/C++ OOA/D Design Pattern
03-05 578
读书笔记:Windows内存结构:1、  进程的虚拟地址空间每个进程都有自己的私有内存地址空间,对于32位进程来说,这个地址空间是4GB,对于64位进程来说这个地址空间是16EB。当一个进程中的线程正在运行的时候,它只能访问该进程的内存空间,不能访问其他进程的内存。对于操作系统内存来说,他的内存也是隐藏的,在windows2000中的进程,其线程不可以访问操作系统的数据,而在win
【内存管理的艺术】:Windows核心编程中的高效内存策略
[【内存管理的艺术】:Windows核心编程中的高效内存策略](https://www.dotnetcurry.com/images/csharp/garbage-collection/garbage-collection.png) # 摘要 本文综述了内存管理的基础概念、Windows内存管理机制、...
Windows核心编程 第十七章 -内存映射文件(下)
天使也掉毛
12-07 422
-内存映射文件
【系统崩溃分析】:Windows核心编程中的故障排除技术与案例
![【系统崩溃分析】:Windows核心编程中的故障排除技术与案例]... # 摘要 本文系统地分析了系统崩溃现象,重点介绍了Windows操作系统的架构及其核心编程基础,讨论了内存转储和崩溃转储文件的分析技术,以及通过故障...
Windows核心编程 进程内存访问
★匆匆★的专栏
03-09 1020
http://www.cppblog.com/zjj2816/archive/2007/11/15/36670.html 1.3  虚拟内存访问 每个进程都拥有自己的虚拟地址空间,那么怎样才能访问这个空间呢?这就需要用到Windows API函数。这些函数直接与编写程序相关,因而更受软件工程师的关注。有关这方面的函数较多,这里介绍几个重要的函数。 1.3.1  获取系统信
内核空间怎么访问物理地址
dragon_cdut的博客
04-25 4504
1,ioremap:把一个物理内存地址点映射为一个内核指针,被映射数据的长度由size参数设定。该函数的实质是把一块物理区域二次映射到一个可以从驱动程序里访问的虚拟地址上去。 >ioremap void * __ioremap(unsigned long phys_addr, unsigned long size, unsigned long flags) phys_addr:要映射的起
用户态进程如何得到虚拟地址对应的物理地址?
lx123010的专栏
10-10 1714
一般我们不需要从用户态得到进程虚拟地址对应的物理地址,因为一般来说用户进程是完全不关心物理地址的。 少数应用场景下,用户可能会关心,比如在用户态做DMA的场景(如DPDK之类的)。还有一些场景,比如想调试剖析每一页的内存占用情况,是否swap出去了等。 从用户态得到虚拟地址对应的物理地址,我们不可能去walk进程的page table,也没有权限。不过还好内核给我们提供了一个接口,叫pagemap,而且,这个接口与硬件的体系架构无关。在/proc/pid/下面有个文件叫pagemap,它会每个page,
Windows获取物理内存的2种方式 - 随笔记录
weixin_30273931的博客
08-25 669
1 typedef enum _SYSTEM_INFORMATION_CLASS { 2 SystemBasicInformation, 3 SystemProcessorInformation, // obsolete...delete 4 SystemPerformanceInformation, 5 Sy...
Windows控制寄存器CR0/1/2/3/4(Windows内核学习笔记)
KOOKNUT的博客
04-14 1380
1.概述 控制寄存器用于控制和确定CPU的操作模式。主要有:CR0\CR1\CR2\CR3\CR4 2.CR0寄存器 PE:启用保护模式标志,1是保护模式,0是实模式,这个位只是开始或关闭段机制,并没有启用分页机制 PG:分页机制开关,在启用之前需要确保PE是开启的,否则会出现异常 WP:写保护标志,禁止0环程序向3环只读页面执行写操作,也就是说当CPL<3的时候,如果WP=0,可以读写任...
驱动开发相关函数
wlj1973的专栏
06-09 861
驱动开发相关函数 标签: 驱动开发函数  分类: 开发资料2007-10-19 04:40函数速查: http://msdn2.microsoft.com/en-us/library/aa491184.aspx1.判断系统版本BOOLEAN<br />  RtlIsNtDdiVersionAvailable(<br />    IN ULONG  Version<br />    );<br />2.系统补丁版本BOOLEAN<br />  RtlIsServicePackVersionInstalled(
MmAllocateContiguousMemory&&MmGetPhysicalAddress
Iqian1314的专栏
06-02 3720
 /////////////////////// 申请全局物理连续内存,用于D1预览及原始视频///////////////////// RtlZeroMemory(&g_DriverInfo,sizeof(g_DriverInfo)); PHYSICAL_ADDRESS pa;          //物理地址 pa.QuadPart = 0xFFFFFFFFFFFFFFFF; //@最大的可用的物理地址// g_DriverInfo.vaD1Buffer = MmAllocateContiguousMem
windows WDF 驱动开发总结(6)----PCI驱动开发
smilestone322的专栏
10-08 4323
(2.19)MmAllocateContiguousMemory 函数功能:TheMmAllocateContiguousMemory routine allocates a range of physically contiguous, nonpaged memory and maps it to the system address space. (分配连续的物理内存,并映射成连续的虚拟
直接IO访问与物理内存操作源代码详解
10. Windows内核模式驱动开发:这是实现物理内存访问的核心知识领域,因为用户模式下通常没有权限直接访问物理内存。 在实际操作中,开发者需要具备一定的系统编程知识,对操作系统的内存管理、进程管理、硬件交互...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

大熊猫侯佩

赏点钱让我买杯可乐好吗 ;)

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值