19.x64下算出PTE

最新推荐文章于 2025-01-03 19:10:03 发布
最新推荐文章于 2025-01-03 19:10:03 发布
阅读量1.6k 收藏 4
点赞数 1
分类专栏: 滴水中级
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_35129925/article/details/115447618
版权
本文详细解析了X64架构下的内存管理,包括PTE(页表项)、PDE(页目录项)和PDPTE/PML4E的计算方法,以及如何基于0的PTE定位关键函数。通过固定公式演示了从线性地址到物理地址的转换过程,适合深入理解64位系统内存布局。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

X64下用的是9-9-9-9-12的分页模式,PML4E-PDPTE-PDE-PTE-偏移,线性地址的前16位是作符号扩展,后48位是分页模式.

1.PTE是直接指向物理内存的,X86下有个固定的页目录表0xc0000000 可得到所有地址信息,X64下为了安全起见,页目录表随机了,文章末有分析如何得到。

一、X64内存的算法:

1.首先定位到页目录基质,也就是线性地址0的PTE,WIN7固定是0xFFFFF68000000000

通过固定公式计算可以得到0的PDE\PDPTE\PML4E,把PTE当成一个线性地址来计算

PTE:                 0xFFFFF68000000000

PDE:                 0xFFFFF6FB40000000 ,算法:((页目录基质&0xffff ffff ffff)>>0xc) *8 + 页目录基质

PDPTE:          0xFFFFF6FB7DA00000 ,算法:((PDE&0xffff ffff ffff)>>0xc) *8 + 页目录基质

PML4E:          0xFFFFF6FB7DBED000,算法:((PDPTE&0xffff ffff ffff)>>0xc) *8 + 页目录基质

以上都可以当做基质来算每个线性地址

 

2.首先,每次启动系统后0地址的PTE是固定的,每隔0x1000大小PTE会增加8,由此先得到0的PTE,再根据大小便可算出0xfffffa801a628b30的PTE

 

 

二、PML4E的算法PML4E的index*8+PML4E基质

((0xfffffa801a628b30 & 0xFFFFFFFFFFFF)>>39)<<3+0xFFFFF6FB7DBED000=0xFFFFF6FB7DBEDFA8

 

三、PDPTE的算法PDPTE的index*8+PDPTE基质 

((0xfffffa801a628b30 & 0xFFFFFFFFFFFF)>>30)<<3+0xFFFFF6FB7DA00000 =0xFFFFF6FB7DBF5000

 

四、PDE的算法PDE的index*8+PDE基质 

((0xfffffa801a628b30 & 0xFFFFFFFFFFFF)>>21)<<3+0xFFFFF6FB40000000 =0xFFFFF6FB7EA00698

 

五、PTE算法:PTE的index*8+PTE基质 

((0xfffffa801a628b30 & 0xFFFFFFFFFFFF)>>12)<<3+0xFFFFF68000000000=0xFFFFF6FD400D3140

六、上面的算法得到了999912的算法,但是一切都是围绕着0的PTE(页目录表基质)已知的情况下,定位MiReturnSystemVa / MiSystemWsMetaPage/MmGetVirtualForPhysical/MmIsAddressValid 函数,硬编码得到

 

 

 

 

 

Windows 核心编程研究系列之一(-改变进程PTE属性-)[已补完]
享受开发,颠倒银河
11-01 5391
 Windows 核心编程研究系列之一-改 变 进 程 PTE 属性-           这是我研究windows 核心编程的第一篇正式文章,之所以叫核心编程而不叫内核编程,是我觉得从字面上来看核心(core)比内核(kernel)更靠近windows中心,当然只是偶本人的看法的拉。         我们知道在 win NT 中,系统把每个进程的虚拟4G空间分为两大部份,
驱动 ReadPhysicalMemory 读写 物理内存 参考代码 win7 64
编程论坛
06-11 6044
#pragma warning( disable: 4100 4103 4146 4213)NTSTATUS ReadPhysicalMemory(char *startaddress, UINT_PTR bytestoread, void *output);UINT_PTR KnownPageTableBase = 0;void VirtualAddressToIndexes(QWORD add...
linux 内核参数 pte,Linux下通过线性地址得到页表项pte(X86和龙芯2F下)
weixin_33603331的博客
05-12 1445
在Linux中,内核的页面映射机制分为三层,页面目录和页面表中间设有一个“中间目录”。中间目录是为了对64位CPU兼容而设计的。在内核代码中,页面目录称为PGD,中间目录称为PMD,页面表成为PT, PT中的表项称为PTE, 是“page table entry的缩写”。一个进程的线性地址从高位到低位划分为4个段,各占若干位,分别作用为目录PGD中的下标,中间目录PMD的下标、页面表的下标以及物理...
x64内核内存空间结构
weixin_30872733的博客
12-21 402
0x00 前言 本文主要是讨论Windows 7 x64下的内核虚拟地址空间的结构,可以利用WiinDBG调试的扩展命令"!CMKD.kvas"来显示x64下的内核虚拟地址空间的整体布局。了解内核的地址布局在某些情况下是很有的,比如说在研究New Blue Pill的源码和虚拟化的时候。 0x01 基本结构 X64的CPU的地址为64位,但实际上只支持48位的虚拟地址空间供软件使用。虚拟地址...
Linux arm64 pte相关宏
小立仔
09-18 947
Linux arm64 pte相关宏简介
关于操作系统设计的基本原理和设计原则
tugouxp的专栏
03-09 7545
操作系统设计的精妙之处就在于,在底层硬件之上创造了新的抽象, 对于系统初始化来说, 它呈现了执行流到线程转化这一概念,该概念远远比它的实现细节更加重要,处理器以“取指-执行”为周期开始串行执行指令,而初始化代码将自身转化为一个并发处理系统, 这里的关键之处在于,初始化代码并不是创建一个独立的并发系统,然后跳转到新的系统。
MIT6.S081
caowenbo2311694605的博客
11-21 2492
MIT6.S081笔记——写写OS 深陷脊背的腐烂禁 人生浪费指南三流写手/吃肉肉 2 人赞同了该文章 MIT 6.S081 lab tool 环境要求主要是3个项目: 一个是riscv64的toolchain,另一个就是虚拟机qemu,剩下的就是一个源码库,装好这三个就可以开始写代码了 关于环境一些坑 首先就是toolchain,这个项目仅仅源代码就有3个多G,按照国内访问git的速度几乎不可能下载完,(这个项目是一个套娃项目,其中里面的子module对应着github上的别的项目,
第9章.虚拟内存
sinat_41619762的博客
12-06 1142
物理和虚拟地址 1.物理寻址 主存被组织成一个由M个连续的字节大小的单元组成的数组。每字节都有一个唯一的物理地址(physical address, PA)。第一个字节的地址为0,接下来的字节地址为1,再下一个为2,以此类推。使用物理地址访问内存,称为物理寻址。 上图是CPU使用物理寻址,读取从物理地址4开始的4个字节。CPU生成一个有效物理地址,通过内存总线,把它传递给主存。主存取出4字节字,返回给CPU。CPU将它存放在一个寄存器里。 2. 虚拟寻址 CPU生成一个虚拟地址(virtual addre
[MIT6.828] LAB3总结
系统中国
12-22 3713
<br />LAB3:<br /> Q1.What is the purpose of having an individual handler function for each exception/interrupt? (i.e., if all exceptions/interrupts were delivered to the same handler, what feature that exists in the current implementation could not be pro
[php]php内存管理
luoyu_的博客
09-26 2423
目录 第一章 从操作系统内存管理说起 1. 分段管理 2.分页管理 3.linux虚拟内存 第二章 说说内存分配器 1.内存分配器设计思路 第三章 内存池 第四章 切入主题——PHP内存管理 1.PHP内存管理器数据模型 2.PHP small内存分配方案 3.large内存分配: 4.huge内存分配: 5.内存释放 6.zend_mm_heap和zend_mm_ch...
WINDOWS2k内存管理
老裴
05-31 1923
1、内存布局Virtual Memory Layout on the PAE x86 is:                 +------------------------------------+        00000000 |                                    |                 |                          
Windows x64内核学习笔记(四)—— 9-9-9-9-12分页
lzyddf的博客
03-02 4821
Windows x64内核学习笔记(四)—— 9-9-9-9-12分页前言9-9-9-9-12分页实验一:线性地址转物理地址页表基址PTE to PXE实验二:通过页表基址定位各级页表的物理页参考资料 前言 在学习VT虚拟化技术的EPT物理地址转换时,我们简单提到过9-9-9-9-12分页的概念,即支持48位物理地址转换。 9-9-9-9-12分页 描述:随着计算机技术的发展,64位系统逐渐占据主流地位,那么也就表示CPU的最大寻址范围为64位。但实际上,CPU实际使用只使用了其中的48位用于寻址,寻址方式
Windows x64隐藏可执行内存
鬼手的博客
12-04 7562
Windows x64隐藏可执行内存
A simple demo for WDM Driver development
Tech is Online(物联网技术传播)
04-02 1124
IntroductionA lot of articles have been investigating in application layer issues, like skin-based dialogs, MFC, ATL, thread, process, registry etc. It wont be easy to find any driver related artic
内核入口地址在哪修改_Windows 10 内核漏洞利用防护及其绕过方法
weixin_39771301的博客
11-22 627
0x00 引⾔本⽂介绍了 Windows 10 1607 和 1703 版本中引⼊的针对内核漏洞利⽤的防护措施,在此基础上将给出相应的绕过⽅案,从⽽使我们能够重新获得内核态下的 RW primitives,并进⼀步实现 KASLR 绕过以及内核中 shellcode 的执⾏。尽管微软对于 Windows 10 内核的保护在不断提升,我们还是有可能找到办法来进⾏绕过,不过这对安全研究者的技术要求来说...
【2021.04.02】分页:2-9-9-12
oalken的博客
04-02 914
要点回顾 前文中已经讲解了10-10-12分页形式,在这种分页方式下,物理地址最多可以达到4GB。 但是随着硬件发展,4GB的物理地址范围已经无法满足要求,Intel在1996年就已经意识到这个问题了,所以设计了全新的分页方式。 也就是接下来将要讲解的2-9-9-12分页形式,又称为PAE(物理地址扩展)分页。 为什么是10-10-12 先确定了页的大小 4KB,所以后面的12位的功能就确定了。 当初的物理内存比较小,所以4个字节的PTE就够了,加上页的尺寸是4KB,所以一个页能储存1024个
(10) [保护模式] 2-9-9-12分页
qq_50332504的博客
05-19 769
认识2-9-9-12分页,给0地址挂物理页,修改高2G页属性,实现代码挂物理页 海哥说过:做出来的东西才懂,没做出来就是没懂
x64下隐藏可执行内存
hongduilanjun的博客
09-14 2661
我们如果想要实现进程隐藏在3环通常会使用到PEB断链去达到隐藏进程的效果,但是那只是表面上的进程隐藏,所有内存的详细信息都会被储存在vad树里面,这里我们就来探究在64位下如何隐藏可执行内存。
深入理解计算机系统—虚拟内存(2)
Zhang_Qin123的博客
01-03 1085
通过一个具体端到端的地址翻译实例,综合上述内容,这个示例运行在有一个 TLB 和 L1 d-cache 的小系统上。做出如下假设: ① 内存是按字节寻址的。 ② 内存访问是针对 1 字节的字的(不是4字节)。③ 虚拟地址是14位长的(n=14)④ 物理地址是 12 位长的(m=12)⑤ 页面大小是 64 字节(P=64)⑥ TLB 是四路组相联的,总共有 16 个条目。 ⑦ L1 da-cache 是物理寻址,直接映射的,行大小为 4 字节,而总共有 16组。 图 9-19 展示
x64 PTE
最新发布
03-11
### x64 架构下的页表条目(PTE) 在x64架构中,页表项(Page Table Entry, PTE)用于映射虚拟地址到物理地址。每个PTE占用8个字节(64位),其中包含了多种标志位和权限控制字段。 #### 字段描述 - **Bits 0-51:** ...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值