最近学习了一下PHYSICAL_MEMORY对象,总结之

Windows内存管理技巧
最新推荐文章于 2024-10-11 17:22:08 发布
原创 最新推荐文章于 2024-10-11 17:22:08 发布 · 1.7k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#access #windows #file

本文介绍了一个利用Windows内存管理API的方法,通过设置PHYSICAL_MEMORY对象的权限并映射PTE来实现从用户态读取内核数据的过程。文章提供了一段示例代码,用于将虚拟地址转换为物理地址。

最近学习了一下Windows的内存管理方面的知识,包括了PTE的修改和PHYSICAL_MEMORY的内核对象。

从网上得到了一段杀伤力很强的代码(似乎是Zwell以前写的) ,就是通过设置物理内存对象的可读写,再加上映射PTE的方式从而在Ring3环境下读取内核数据。这正是我想要,于是乎严重地学习了一下,前面已经有人总结过关键步骤了,如下:

1、用ZwOpenSection打开PHYSICAL_MEMORY对象,并设置可读写

2、进行虚拟地址到物理地址的转换

3、用NtMapViewOfSection进行映射,(用MapViewOfFile也可以)

4、读取或写入数据(但不是每个地方都能写的)

5、用NtUnmapViewOFSection取消映射(也可以使用UnMapViewOfFile),并关闭句柄(ZwClose)

经过这几步之后就可以为所欲为了,下面贴一段将虚拟地址转换成物理地址的代码,(在此得感谢Zwell的代码,使我的学习过程简化了不少):

//----------------------------------------------------------------
// paramenter : PULONG
//              PVOID
// return     : PVOID
//   convert linear address to physical address
//----------------------------------------------------------------
PVOID LinearToPhys(PULONG BaseAddress, PVOID addr)
{
    ULONG VAddr = (ULONG)addr, PGDE, PTE, PAddr;
    if ( VAddr >= 0x80000000 && VAddr < 0xa0000000 )//对于虚拟地址在0x80000000至0xa0000000这间的
    {                                                                                                //可以将虚拟的高3位置0,这样就能得到物理地址
        PAddr = VAddr - 0x80000000;
        return (PVOID)PAddr;
    }
    PGDE = BaseAddress[ VAddr >> 22 ];                            //在PDT中索引得到PDE
    if ( (PGDE&1) != 0 )
    {
        ULONG tmp = PGDE & 0x00000080;                     //如果是4M的分页则没有PageTable,用PDE的高10位 加上
        if ( tmp!=0 )                                                                //虚拟地址的低22位就可以了,所说这样是为性能的考虑
        {
            PAddr = ( PGDE & 0xFFC00000 ) + ( VAddr & 0x003FFFFF );
        }
        else                                                                                //如果是4K的分页
        {
           PGDE = (ULONG) MapViewOfFile (                        //映射到物理内存
                                                                  g_hMPM,
                                    FILE_MAP_ALL_ACCESS,
                                    0,
                                    PGDE & 0xfffff000,
                                    0x1000
                    );
            PTE  = ( (PULONG)PGDE )[ (VAddr&0x003FF000) >> 12 ];    //用虚拟地址的中间10位来索引到PTE
            if ( (PTE&1) != 0 )                                                                        //是否有效
            {
                PAddr = ( PTE & 0xFFFFF000 ) + ( VAddr & 0x00000FFF );//用PTE的高20位加上虚拟地址的低12
                UnmapViewOfFile( (PVOID)PGDE );                                                //就可以了,这时取消映射
            }
            else return 0;
        }
    }
    else return 0;

    return (PVOID)PAddr;
}

这是主要的代码了,另外还有一段代码就是用来打开对象,并设置其可读写的,后来自已加了一点代码(不超过15行)就可以指哪打哪了。

当时为了试验随便改了一下,不想改的就是PTE,后来在启动IceSwrod的时候直接重启了,比较汗。

以前听HOPY说,他用驱动试的修改PTE成功了,但用物理内存却没有成功,貌似我没有遇到过这种情况,呵呵!

 

2024年Unity 面试题 |五萬字 二佰道| Unity面试题大全,面试题总结【全网最全,收藏一篇足够面试】
努力前行,总会成为自己心中的那道光
02-23 16万+
正所谓 金三银四 ,又到了找工作的大好时机了,不知道大家有没有意向找一份更好的工作呢~ 之前写了很多Unity的学习和实例文章,但是面试题部分还没有一个系统的整理。 那本篇文章就来整理一下Unity中一些常见的面试题,说不准就会面试的时候就会遇到! 本篇文章会将Unity所有方面的面试资料都融会贯通,绝对是2022年Unity面试领域最实用的文章啦!
springBoot服务运行异常,打印了文件名为:hs_err_pid17608.log 日志,JVM 由于内存不足而崩溃,如何解决?
**My Coding Family**
04-28 917
🏆 本文收录于《全栈Bug调优(实战版)》专栏,致力于分享我在项目实战过程中遇到的各类Bug及其原因,并提供切实有效的解决方案。无论你是初学者还是经验丰富的开发者,本文将为你指引出一条更高效的Bug修复之路,助你早日登顶,迈向财富自由的梦想🚀!同时,欢迎大家关注、收藏、订阅本专栏,更多精彩内容正在持续更新中。让我们一起进步,Up!Up!Up!    备注: 部分问题/难题源自互联网,但经过精心筛选和整理,保证每一条解决方案都经过实战验证,真实可靠。
read physical memory and others
03-21 1240
IntroductionThis page is an ever-expanding collection of NT information that I accumulate over time. Youll find practical tips as well useless trivia, with new items added at the top of the page.
驱动 ReadPhysicalMemory 读写 物理内存 参考代码 win7 64
编程论坛
06-11 6150
#pragma warning( disable: 4100 4103 4146 4213)NTSTATUS ReadPhysicalMemory(char *startaddress, UINT_PTR bytestoread, void *output);UINT_PTR KnownPageTableBase = 0;void VirtualAddressToIndexes(QWORD add...
linux 进程 物理内存,Linux高物理内存(Physical Memory)占用率现象
weixin_33240461的博客
04-28 1397
最近项目联调发现各种OutOfMemory,然后大家很容易的就把原因归结到High Physical Memory上去,因为在shell中运行top指令可以看到free的内存很少(64G的内存只有1G空闲)但是习惯了Windows的内存机制,很容易对Linux的内存机制产生误解。再细看上面图片中,应用进程占用的内存并不高,几近30G左右,而剩下的30G去哪了?Linux核把它分配给了cached缓...
physical memory
weixin_34178244的博客
12-29 568
physical memory 物理内存(电脑内存条)pc hard disk 电脑硬盘 转载于:https://blog.51cto.com/9709180/1729730
服务器物理内存配置,服务器内存配置选项
weixin_30884743的博客
08-03 1358
服务器内存配置选项08/14/2019本文内容适用于:SQL Server(所有支持的版本)重新配置 SQL Server 实例使用的 SQL Server 进程的内存量(以 MB 为单位)。 有两个服务器内存选项:min server memory 和 max server memory。 这些选项会更改 SQL Server 内存管理器可分配给 SQL Server 进程的内存量。这些选项的...
Linux内存管理知识总结(一)
j简说Linux的博客
11-16 1069
固定映射是在编译时就确定的地址空间,但是它对应的物理页可以是任意的,每一个固定地址中的项都是一页范围,这些地址的用途是固定的,这是该区间被设计的最主要的用途。为了合理地利用 4G 的内存空间,Linux 采用了 3:1 的策略,即内核占用 1G 的线性地址空间,用户占用 3G 的线性地址空间,由于历史原因,用户进程的地址范围从 0~3G,内核地址范围从 3G~4G,而内核的那 1GB 地址空间又称为内核虚拟地址(逻辑地址)空间,虽然内核在虚拟地址中是在高地址的,但是在物理地址中是从 0 开始的。
跟着深度学习好书实践tensorflow神经网络
通达的博客
10-11 1638
1986年辛顿与 David Ackley 和 Terry Sejnowski 共同发明了玻尔兹曼机,有关反向传播算法和波尔兹曼机的两篇重要文章,研究者们兴趣盎然,他们凭借自身的信念,排除嘈杂的干扰而自得其乐,江湖貌似平静但暗流涌动,为人工智能春天之到来做好了准备。正是应了一句名言:“大隐隐于市”。
系统架构设计师【第2章】: 计算机系统基础知识 (核心总结)
热门推荐
数据知道的博客
05-29 1万+
计算机系统 (Computer System)是指用于数据管理的计算机硬件、软件及网络组成的系统。它是按人的要求接收和存储信息,自动进行数据处理和计算, 并输出结果信息的机器系统。计算机系统可划分为硬件(子系统)和软件(子 系统)两部分。硬件由机械、电子元器件、磁介质和系统光介质等物理实体构成,例如处理器(含运算单元和 控制单元)、存储器、输入设备和输出设备等。软件是一系列按照特定顺序组织的数据和指令,并控制硬件完成指定的功能。可将计算机软件进一步分为系统软件和应用软件:系统软件。
Device/PhysicalMemory Object
danxuezx的专栏
09-04 2564
 Device/PhysicalMemory ObjectDevice/PhysicalMemory ObjectWhat does /Device/PhysicalMemory Object do?The /Device/PhysicalMemory section object is used by some applications to access physical memory.
Windows内核调试器原理浅析
峥嵘岁月
02-04 3738
文摘出处:http://www.xfocus.net/articles/200412/765.html创建时间:2004-12-23文章属性:原创文章提交:SoBeIt (kinsephi_at_hotmail.com)Windows内核调试器原理浅析                                                                    
ReadProcessMemory与WriteProcessMemory用例分析
wodamazi
09-09 1124
首先介绍一个函数VirtualProtectEx,它用来改变一个进程的虚拟地址中特定页里的某一区域的保护属性,这句话有些咬嘴,直接从MSDN中翻译过来的,简单来说就是改变某一进程中虚拟地址的保护属性,如果以前是只读的,那改变属性为PAGE_EXECUTE_READWRITE后,就可以更改这部分内存了。 具体看它的实现 BOOL WINAPI VirtualProtectEx( __in H...
oracle 物理读,逻辑读的理解
weixin_34023863的博客
09-01 225
  1.物理读(physical read) 当数据块第一次读取到,就会缓存到buffer cache 中,而第二次读取和修改该数据块时就在内存buffer cache 了 以下是例子: 1.1  第一次读取: C:"Documents and Settings"Paul Yi&gt;sqlplus "/as sysdba" SQL*Plus: Release 9.2.0.4.0 - P...
Window系统内存读写API简易阅读笔记---从R3到R0
u011442768的博客
10-23 2091
以前一直都在用Read/WriteProcessMemory这个API读写内存,也没探究过Windows怎么实现的内存读写,这几天就了解了解这一部分。 打开IDA,拖入KernelBase.dll(因为Kernel32.dll中的ReadProcessMemory会调转到KernelBase这里),定位到API。 BOOL __stdcall ReadProcessMemory(HANDLE hProcess, LPCVOID lpBaseAddress, LPVOID lpBuffer, SIZE_T
Read physical memory information from registry
04-14 1080
/////////////////////////////////////////////////////////////////////////////  Module://    Read physical memory information from registry//    HKLM/HARDWARE/RESOURCEMAP/System Resources/Physical Memo
Retrieving MmPhysicalMemoryBlock regardless of the NT version.
10-15 1591
 Here is a method I’m using in the next version of Win32DD (1.2), to retrieve MmPhysicalMemoryBlock regardless of the NT Version. The main problem with KDDEBUGGER_DATA64 structure is the version dep
JVM——6.GC日志分析1(模拟对象进入老年代)
m0_52325992的博客
06-06 1121
文章目录1. 对象进入老年代的条件2. 代码模拟-对象进入老年代2.1 通过分配担保规则进入老年代2.1.1 代码执行流程2.1.2 GC日志分析2.2 达到年龄阈值进入老年代2.2.1 代码执行流程2.2.2 GC日志分析2.3 动态年龄判断进入老年代2.3.1 代码执行流程2.3.2 GC日志分析2.4 大对象直接进入老年代2.4.1 GC日志分析 1. 对象进入老年代的条件 在前面的文章中,已经整理过了很多次 对象进入老年代的时机了,在这里就再次进行巩固,并用代码模拟对象进入老年代并分析GC日志。 对
课堂笔记:JVM(四)JVM调优实战
沮丧的南瓜
05-31 1110
四、GC调优实战 JVM调优主要就是调整下面两个指标 停顿时间:垃圾收集器做垃圾回收中断应用执行的时间。-XX:MaxGCPauseMillis 吞吐量:垃圾收集的时间和总时间的占比:1/(1+n),吞吐量为1-1/(1+n)。-XX:GCTimeRatio=n GC调优步骤 1.打印GC日志(后面是日志文件的输出路径) -XX:+PrintGCDetails -XX:+PrintGCTimeStamps -XX:+PrintGCDateStamps -Xloggc:D:/gc.log Tomcat可以直
physical region descriptor
最新发布
06-14
<think>嗯,用户问的是计算机体系结构或内存管理中的physicalregiondescriptor概念。根据之前的对话历史,用户似乎正在研究内存管理相关主题,特别是物理地址空间的管理机制。用户可能是一位计算机专业的学生或工程师,正在深入学习操作系统的内存管理细节。从ta连续追问专业术语的行为看,ta的需求可能包括:理解底层内存管理数据结构、掌握物理内存区域描述方法、了解其与虚拟内存的关联。需要重点解析的关键点有三个:第一是PRD的本质定义,它作为描述物理内存区域的数据结构;第二是其典型字段组成,包括起始地址、长度、属性标志等;第三是操作系统中的实际应用场景,如引导阶段的内存初始化。特别要注意引用资料中关于物理地址空间管理的描述(引用1),其中提到物理地址空间被分割为页帧,这与PRD的管理对象直接相关。虽然其他引用主要讨论虚拟内存,但可以反推PRD在物理层的对应关系。在技术细节上需要区分:PRD通常由固件(如BIOS/UEFI)生成,操作系统内核会解析这些描述符来构建内存映射图。例如x86架构的E820内存映射表就是PRD的典型实现。考虑到用户的专业程度,回答中应该包含具体的技术要素如内存类型(DRAM/MMIO)、属性标志(可缓存性),但也要避免过度深入硬件细节而偏离操作系统层面的管理逻辑。最后用内存分配器的例子说明PRD的实际价值会帮助用户建立系统级认知。</think>Physical Region Descriptor (PRD) 是计算机体系结构和内存管理中用于**描述物理内存区域(连续块)的数据结构**,主要由固件(如 BIOS/UEFI)或操作系统内核使用,用于在系统初始化阶段或内存管理子系统中**标识和描述物理内存的布局和属性**。 **核心概念与用途:** 1. **物理内存布局描述:** * 系统启动时,固件(如 U820/E820/EFI Memory Map)会探测并枚举系统上所有可用的物理内存区域。 * 每个检测到的**连续物理内存块**(例如:0x00000000 - 0x0009E7FF 可用 RAM, 0x000A0000 - 0x000FFFFF 保留给 VGA)都会由一个 PRD 条目来描述。 * **作用:** 向操作系统内核提供完整的物理内存地图,明确哪些区域是可用 RAM,哪些是硬件保留(如 MMIO 寄存器区域、ACPI 表、ROM),哪些是坏的等[^1]。 2. **内存区域属性定义:** * 每个 PRD 不仅包含内存块的起始物理地址 (`Base Address`) 和长度 (`Length`),还包含描述其**特性**的标志 (`Flags`): * **类型:** 可用 RAM (`E820_RAM`), 硬件保留 (`E820_RESERVED`), ACPI 可回收内存 (`E820_ACPI`), ACPI 非易失性存储 (`E820_NVS`), 坏内存 (`E820_UNUSABLE`), 持久内存 (`E820_PMEM`) 等。 * **可缓存性:** 是否可缓存 (`WB`/`WT`/`UC`/`WC`/`WP`)。 * **可执行性:** 是否允许代码执行 (`NX`/`XD` 位)。 * **作用:** 内核根据这些属性决定如何使用该区域(例如:是否可用于分配,是否可映射为用户空间可访问,是否可执行代码)。 3. **内存管理子系统初始化:** * 操作系统内核(如 Linux, Windows NT)在引导早期阶段会解析固件传递的 PRD 表(如 `e820_table`)。 * 内核根据 PRD 信息: * 构建其内部的物理内存管理器数据结构(如 `mem_map` 数组)。 * 初始化**页帧分配器**(如 Linux 的 `Buddy Allocator`),仅将标记为 `可用 RAM` 的物理页帧加入空闲列表[^1]。 * 标记保留区域,防止内核或用户程序意外访问硬件寄存器或 ROM 空间。 * 设置内存区域的缓存策略和执行权限。 4. **DMA 操作(特定场景):** * 在一些较旧的或特定的 DMA 控制器设计中(如 ISA DMA 的 `PRD Table`),PRD 用于描述**物理内存中的缓冲区**(起始地址、传输长度、结束标志),供 DMA 控制器直接读取并执行数据传输,绕过 CPU。这与描述整个系统物理内存布局的 PRD 概念不同,属于特定硬件上下文。 **PRD 的典型数据结构(简化示例):** ```c struct physical_region_descriptor { uint64_t base_address; // 物理内存区域的起始地址 uint64_t length; // 区域的长度(字节) uint32_t type; // 区域类型 (E820_RAM, E820_RESERVED, etc.) uint32_t flags; // 附加属性 (缓存属性, 执行权限等) }; ``` **总结关键点:** * **核心作用:** 提供系统物理内存的“地图”和“说明书”,告诉操作系统物理内存在哪里、有多大、能用来做什么、不能做什么。 * **提供者:** 主要由固件(BIOS/UEFI)在启动时探测生成,并传递给操作系统内核。 * **消费者:** 操作系统内核(特别是内存管理子系统)是主要使用者,用于初始化物理页帧管理、建立安全访问规则。 * **内容:** 描述连续的物理内存块,包含其位置(基地址)、大小、类型(可用/保留/...)和属性(缓存/执行)。 * **重要性:** 是操作系统正确、安全、高效管理物理内存的基础。没有准确的 PRD 信息,内核无法知道哪些物理内存可用,也无法正确设置硬件相关的内存属性。 **相关问题:** 1. **操作系统内核如何利用 PRD 初始化其物理内存管理?** (涉及 `mem_map`, Buddy Allocator 初始化)[^1] 2. **固件(如 UEFI)如何探测物理内存并生成 PRD 表?** (ACPI, SMBIOS 机制) 3. **PRD 中的内存类型(如 `E820_RESERVED`)具体代表哪些硬件区域?** (MMIO, BIOS ROM, ACPI Tables) 4. **PRD 中的缓存属性标志 (`WB`/`UC`) 如何影响 CPU 和设备的访存性能与正确性?** (内存一致性, DMA 操作) 5. **现代操作系统(如 Linux)在运行时是否会动态修改 PRD 信息?什么情况下会?** (热插拔内存, `kexec`) 6. **PRD 与虚拟内存管理中的页表 (`Page Table`) 和页表项 (`PTE`) 有何联系与区别?** (物理 vs 虚拟, MMU 硬件)[^2][^4] 7. **在支持持久内存 (PMEM) 的系统上,PRD 如何描述这种新型内存?** (`E820_PMEM` 类型) 8. **DMA 操作中使用的 `PRD Table` 与系统级的物理内存描述符 (`Physical Region Descriptor`) 概念有何异同?** (特定硬件上下文 vs 全局内存布局) [^1]: 物理地址空间被内核分割为页帧,PRD 提供初始物理内存布局供内核构建页帧管理。 [^2]: PTE 管理虚拟到物理的映射及状态(有效/无效),而 PRD 描述物理内存本身的原始布局和属性。 [^4]: 页表项中的状态位(如 `Present`)最终决定了虚拟页是否映射到由 PRD 描述的可用物理页帧上。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值