Windows保护模式下的分页机制(PART1:10-10-12模式)

最新推荐文章于 2023-07-16 00:39:51 发布
最新推荐文章于 2023-07-16 00:39:51 发布
阅读量1.5k 收藏 8
点赞数
CC 4.0 BY-SA版权
分类专栏: Windows操作系统 文章标签: 分页机制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/tutucoo/article/details/84729919
本文深入探讨了计算机系统中虚拟地址与物理地址的概念,详细解析了10-10-12和2-9-9-12两种分页模式下的地址转换机制,包括逻辑地址、线性地址及物理地址的定义,以及如何在Windows环境下进行实验验证。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.概述

一个进程的虚拟地址空间是4GB,它的物理大小并不是真的4GB,如果真的是4GB,那运行中的所有进程都加起来占用的空间是一个天文数字,事实上系统会对这4GB的地址空间进行转换,然后映射到物理内存中。换句话说虚拟地址本身并不是真实存在的。
将虚拟地址转换为物理地址依赖的规则就是分页机制。
物理地址也并不是内存条地址,物理地址需要再进行一层转换才能找到真正的内存条地址。
我们只要会转换到物理地址就够用了。

1.1 逻辑地址

假如有指令:

MOV eax,dword ptr ds:[0x123456]

0x123456就是逻辑地址

1.2 线性地址

线性地址是对于虚拟空间来说的,还是上面的例子,ds.Base + 0x123456就是线性地址

1.3 物理地址

通过线性地址可以转换为物理地址。

1.4 分页模式

分页模式分为10-10-12和2-9-9-12,前者最多可以支持4GB内存,后者在32位操作系统下可以支持16GB内存,64位操作系统下可以支持128G内存,后者也叫PAE分页。
在Windows XP下,找到C盘下的boot.ini文件,将里面的noexecute改为execute即可将PAE分页改为10-10-12分页。

2. 10-10-12模式

2.1 10-10-12模式概述

一个32位的虚拟地址会被解释为三个部分:

  1. 页目录索引(PDT,10位)
  2. 页表索引(PTT,10位)
  3. 字节索引(12位)

系统中有一个CR3寄存器,它存储了页目录索引的地址,页目录占4KB,里面的成员占4个字节,因此有1024个成员,PDT里面的成员被称作PDE,PDE里面保存的是一个32位的物理页地址。

每个PDE又指向一个页表索引,页表索引里面的成员被称作PTE,PTE可以没有物理页(线性地址0一般就没有),多个PTE也可以指向同一个物理页。

10-10-12结构的第1个10是PDT中的索引,第2个10是PTT中的索引,最后的12是指物理页上的偏移,所以简单来说转换成物理地址只需要将10-10-12的结构分别在PDT和PTT中找到对应的位置再加上物理页的偏移就是最终的物理地址了。

在这里插入图片描述

(上面的图其实不是很准确,不过为了便于理解先以这个图为准吧,其实页目录表也是页表,只不过它比较特殊,后面会介绍)

2.2 线性地址转物理地址实验

本实验是在10-10-12模式下进行的,因此要将PAE关闭,PAE就是2-9-9-12模式,可以简单地理解它为增强型的分页模式。

bcdedit /set pae forcedisable

重新打开PAE模式

bcdedit /set pae forceenable

1.找到数据在内存中的线性地址

  • 新建一个.txt文件,文件中 有字符串“hello,world”,并保持.txt文件处于打开状态。
  • 使用CE附加到notepad.exe
  • 在Text栏中搜“hello,world”,找到可以找到多个跟它有关的地址,通过修改.txt文件中的字符串最终筛选出真正的内存地址0x000AA8A0,注意勾选上Unicode以及Value Type的类型,如下图所示:

在这里插入图片描述
在这里插入图片描述

在进程中查找字符串还有一方法:

  • 在WinDbg中执行!process 0 0 notepad.exe
    在这里插入图片描述
  • 继续执行 .process 9050c4e0,切换到记事本进程中
  • 执行s -u 0x00000000 L0x01000000 "hello,world"搜索内存中的字符串
  • 结果可能会有多个,但是只有一个是正确的线性地址,可以使用du 0x28e090指令查看Unicode字符串。

2.分解线性地址
000AA8A0转成二进制是32位,刚好可以按照10-10-12的格式分解成:

0000 0000 00
0010 1010 10
1000 1010 0000

3.根据分解后的线性地址找到物理地址

  • 首先在WinDbg中使用!process 0 0,在一堆进程中找到记事本进程,然后可以找到它的CR3寄存器0x146a0000,这个地址就是PDT的基址,它保存的是物理地址,所以下面的指令都是以!开头的。
    在这里插入图片描述

  • 10-10-12格式的第1个10部分是0000 0000 00,这个值指向了它在PDT中的下标,所以使用!dd 146a0000+0找到对应的PDE。
    在这里插入图片描述

  • 10-10-12格式的第2个10部分是0010 1010 10,上面找到的PDE是0x14dc0067,因此通过使用!dd 14dc0000+aa*4找到对应的PTE,为什么不是14dc0067而是14dc0000?因为PDE的最后12位是属性,下面PTE的末尾12位同样也是属性,PDE的属性&PTE属性=物理页的属性。
    PDE和PTE的属性如下:
    在这里插入图片描述
    在这里插入图片描述

P:1可用,0不可用
R/W:R/W=0只读,R/W=1可读可写
U/S:0特权用户,1普通用户
A:是否被访问,访问置1
D:是否被写过,写过置1
P/S:PageSize,只对PDE有意义,1直接指向物理页无PTE,低22位是页内偏移,页大小为4MB,俗称为“大页”
PAT:只对PTE有意义
G:CR3改变时,TLB会立即刷新,但不会刷新PDE/PTE的G位为1的页,一般高2G线性地址G为1,因为高2G是系统通用的,刷新影响效率

PWT、PCD、PAT在下篇介绍PAE时的时候会解释。

0010 1010 10对应aa,乘以4的原因是每个元素占4个字节
在这里插入图片描述

  • 找到的PTE是0x13fdd067,最后再加上物理页偏移1000 1010 0000(转换成十六进制是0x8a0)就是最终的物理地址了,使用!dd 13fdd000+8a0。
    在这里插入图片描述
  • 使用上面的指令还看不出是字符串“hello,world”,使用!db 13fdd000+8a0就可以看到字符串了

2.3 页目录表基址

系统要保证一个线性地址有效,必须提前将这个线性地址对应的PDE和PTE填充,那么系统是怎么填充PDE和PTE的呢?

PDE和PTE都是物理页,我们在程序中是无法直接访问物理页的,我们要访问任何东西必须要通过线性地址。

系统通过0xC0300000这个线性地址找到的物理页就是页目录表,这个物理页比较特殊,它是页目录表PDT,但是本身也是页表,即PTT,换句话说,其实所谓的PDT表本身也是一个PTT表。0xC030000指向了PDT,所以系统可以通过它填充PDE,PTE是怎么填充的呢?看下一节页表基址

2.4 页表基址

系统通过0xC0000000访问第一个PTT,0xC0001000指向第二个PTT。
一个4GB的进程中只能有一个PDT(上面说过,其实PDT是一种特殊的PTT),但是有1024个PTT,每个PTT都占4KB。

总结一下:

  1. 整个页表占4M地址空间,从0xC0000000到0xC03FFFFF,页表有1024个成员,每个成员都是一个PTT,占4KB。
  2. 在这1024个成员中,有一个PTT比较特殊,它就是PDT。

真正的页表是这样的:

在这里插入图片描述
访问页目录表的公式:

0xC0300000 + PDI * 4(PDI是页目录表的索引)

访问页表的公式:

0xC0000000 + PDI * 4096 + PTI * 4(PDI * 4096是因为每个PTT的大小是4K,PTI是页表的索引,PTI*4,每个PTE占4个字节)
4.地址转换,实现101012分页
qq_24739717的博客
06-21 607
实现内存检测,理解Linux内存管理,实现101012分页《操作系统真相还原》
Windows 内核原理:分页机制详解
最新发布
技术那些事
06-15 458
深入解析Windows操作系统的内存管理分页机制。了解虚拟内存与物理内存的映射原理、页表结构及其在进程隔离和内存保护中的作用,掌握Windows内核级别的内存管理技巧。
X86分页机制-101012分页
qq_30528603的博客
06-11 460
它里面存了一个值指向的是物理页,上图所示的一级二级其实是一个页目录表,我们的10-10-12分页第一个10比特位就是找在第一级页目录的哪个位置,找到后里面存的又是一个地址,指向第二级页目录,然后通过第二个10比特位来找到第二级目录表中具体位置,里面存的是指向物理页的地址,接着用这个物理地址加上我们分解的12比特位找到最终位置。首先我们在xp上做实验,打开一个记事本写一句Hello world,因为一个记事本也是一个进程,同样有属于自己的4GB空间,我们写的hello world一定会存在它的空间里。
Windows保护模式(六)10-10-12分页
sky123博客
10-18 1563
判断 PDE 中的 PS 位是否为 1 ,如果 PS 为 1 则 PDE 直接指向一个 4MB 大小的物理页的基址,直接将线性地址的低 22 位加上该物理页的基址即可得到物理地址。字节,因此可以将线性地址划分为 10bit ,10bit ,12bit 三部分,前两部分按照 4 字节寻址,后一部分按照 1 字节寻址,这样便可以通过 10-10-12 分页将线性地址转换为物理地址。代码如下,调用门提权后判断 0 地址对应 PDE 和 PTE 是否有效,若无效则将 buf 对应结构的内容写入。
[windows内核]10-10-12分页
r250414958的博客
08-09 955
基本概念 4GB内存空间 我们都了解过每个进程都有独立的4GB空间 4GB的虚拟内存结构: 虚拟内存地址范围 描述 0x00000000~0x0000FFFF 64kb大小的空指针区域,当然就不可以访问了 0x00001000~0x7FFFFFFF 加上上述的空指针区域,低2GB的用户态空间 0x80000000~0xFFFFFFFF 高2GB的内核态空间 但这个4GB空间并不是完全都使用或者真实存在的。 实际上,进程被分配到的“4GB内存空间”只是虚拟的的内存空间,并不是指真正意义上的物理内存,虚拟
11.分页10-10-12
My classmates
10-13 1416
在x86的cpu有两种转换的方式 101012 29912 先讲101012分页,默认是29912分页我们要将它先改成101012分页先 把矩形处的no去掉然后重启 实验 过滤它找到正确的 现在找到的是一个线性地址,我们来将他转换成物理地址。 000AE6C8 10-10-12分页刚好32位将它分成3份 0000 0000 00 == 0x0; 00 1010 1110 == 0xA...
Windows Internals 第六版 Part1:深入解析
3. **内存管理**:详述了Windows如何分配、管理和回收物理和虚拟内存,包括分页机制、内存保护和内存映射文件。 4. **硬件抽象层(HAL)**:介绍了HAL的作用,它是如何使Windows与不同的硬件平台兼容的。 5. **...
保护模式-段寄存器
weixin_43074760的博客
07-16 959
在x86架构中,内存被划分为多个段(Segment),每个段的大小和属性都不同。段是一段连续的内存区域,它可以包含代码、数据、堆栈等信息。通常,一个段的起始地址和大小通过段描述符来描述,段描述符是一个数据结构,包含了该段的属性信息,如访问权限、基地址、段长等。在x86架构中,段寄存器用于确定CPU在访问内存时需要操作的段。段寄存器存储着当前正在使用的段选择符,段选择符是一个16位的值,它包含了该段的段描述符在GDT(全局描述符表)或LDT(局部描述符表)中的偏移量,以及该段的特权级。
Windows Internal 6th Part 1
04-28
### Windows Internal 6th Part 1 - 关键知识点解析 #### 一、Windows系统架构及其基本组件 在深入了解Windows内部工作原理之前,首先需要理解其系统架构和组成部件。这包括但不限于内核(Kernel)、执行体...
Windows Internals Part2: Sixth Edition by Mark Russinovich, David Solomon, Alex Ionescu
3. **内存管理**:涵盖了物理内存、虚拟内存的管理,包括分页机制、内存分配策略、内存保护和页面文件的使用。 4. **文件系统**:深入解析了NTFS、FAT等文件系统的内部运作,包括文件的创建、打开、读写和删除操作...
Windows 10 & Server 2016 内核揭秘:第一部分
"Windows Internals, Part 1 7th Edition是关于Windows 10Windows Server 2016操作系统架构和核心内部机制的专业书籍,由Pavel Yosifovich, Alex Ionescu, Mark E. Russinovich和David A. Solomon合著。本书深入...
windows分页机制
09-07
网上找的资料,介绍windows内存分页相关知识
详解Windows内存分页机制
Amao_come_on 的专栏
05-30 1292
偶的博客: http://hi.baidu.com/hu3167343 大家支持下,谢谢了. 昨天新买了两本书, 看到了内存分页部分, 特此记录下, 没什么技术含量, 错误之处还请大牛指点. 大多数现代的操作系统都支持虚存, 这使得系统上的每个程序都拥有自己的地址空间. 每当程序读取内存时, 都必须指定一个地址. 对于每个进程, 该地址必须转换为实际的物理内存地址.  例如, 若我们
13.10-10-12分页
qq_35129925的博客
03-09 472
一、概念铺垫 mov eax,dword ptr ds:[0x12345678] 上面这条mov指令中,0x12345678 是有效地址,ds.base+0x12345678是线性地址。 每个进程都拥有“4GB”地址空间,这4GB实际上并不存在,数据真正存储在“物理地址”中。 在10-10-12分页模式下,一个线性地址分为3部分: 二、设置系统分页模式10-10-12模式 将boot.ini文件中的启动参数,noexecute改成execute。如图: ...
Windows保护模式学习笔记(六)—— 10-10-12分页
lzyddf的博客
10-18 1541
Windows保护模式学习笔记(六)—— 10-10-12分页前言基本概念4GB内存空间有效地址-线性地址-物理地址有效地址与线性地址物理地址控制寄存器:Cr310-10-12分页实验:通过线性地址找到物理地址第一步:将XP虚拟机设置为10-10-12分页模式第二步:新建一个记事本,写入"Hello World"第三步:使用Cheat Engine附加进程第四步:找到"Hello World"的线...
101012分页
Misaka10046的博客
05-01 709
WIN7 X86修改为 101012分页 cmd管理员权限 bcdedit /deletevalue {current} PAE bcdedit /deletevalue {current} nx bcdedit /set {current} nx AlwaysOff bcdedit /set {current} PAE ForceDisable 修改完后就是这个效果
Win7设置10-10-12分页或2-9-9-12分页
h2995527的博客
04-09 746
Win7设置10-10-12分页或2-9-9-12分页 欢迎使用M以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: 全新的界面设计 ,将会带来全新的写作体验; 在创作中心设置你喜爱的代码高亮样式,Markdown 将代码片显示选择的高亮样式 进行展示; 增加了 图片拖拽 功能,你可以将本地的图片直接拖拽到编辑区域直接展示; 全新的 KaTeX数
(9) [保护模式] 10-10-12分页
qq_50332504的博客
05-01 963
windows10-10-12分页中CR3,PDE,PTE和物理页有着怎样的对应关系? 给0线性地址挂物理页;使用代码挂物理页。 PDE和PTE与线性地址C030 0000和C000 0000的对应关系验证。 PDE,PTE属性位介绍,以及用实验论证。
保护模式(七)101012分页、配置以及实验
weixin_37673331的博客
02-22 1286
地址说明 有效地址-线性地址-物理地址 有效地址与线性地址 先看如下指令: MOV eax,dword ptr ds:[0x12345678] 其中,0x12345678 是有效地址 ds.Base + 0x12345678 是线性地址 注意:当段寄存器的Base为0时,有效地址=线性地址,大多数时候都是如此;但也有特殊情况,比如fs段寄存器的Base不为0 CR3说明 每个进程都有一个Cr3(准...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值