Windbg查看虚拟地址转物理地址数据简单流程

最新推荐文章于 2021-08-09 15:47:10 发布
转载 最新推荐文章于 2021-08-09 15:47:10 发布 · 289 阅读 · 1 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/ltyandy/p/11418352.html
文章标签:

#运维

本文详细介绍了在双机调试环境下,如何通过kd命令逐步解析虚拟机中test.exe文件的内存地址,从exe打印的虚拟地址开始,经过一系列转换,最终定位到具体的数据位置。

1.双机调试下

虚拟机打开test.exe文件

int main()
{
    printf("%p" , "aaabbbccc");
}

exe打印的虚拟地址:00217B30

2.转二进制: 00000000 ‭00100001 01111011 00110000‬

按10-10-12拆分:00000000‭00 1000010111 101100110000‬

变成了:0-217-B30

3.kd> ! process 0 0 test.exe

获取到到DirBase:00258000

4.kd> !00258000

根据【0-217-B30】的【0】项,获取到27bf4847

清除后三位获得 27bf4000

5.kd> !dd 27bf4000 +217*4

根据【0-217-B30】的【217】下标,获取到281f5005

清除后三位获得 281f5000

6.kd> !db 281f5000 +B30

根据【0-217-B30】的【B30】偏移,获取到数据

转载于:https://www.cnblogs.com/ltyandy/p/11418352.html

如何配置32位C++程序启用大地址模式(将用户态虚拟内存从2GB扩充到3GB),以解决用户态虚拟内存不够用问题?(项目实战案例解析)
dvlinker的技术专栏
05-05 1万+
本文给出了一个项目实战问题实例,详细讲解问题排查的完整过程,并详细讨论了解决用户态虚拟内存不够用的手段与策略,最后讲述如何配置X86应用程序启用大地址模式(将用户态虚拟内存从2GB扩充到3GB)去解决内存不够用的问题。
windbg调试驱动学习总结
bcbobo21cn的专栏
03-19 4827
简单驱动编写与windbg调试 http://trustsec.blog.51cto.com/305338/64694/ 一.驱动编写 随着对windows系统的深入研究,越来越多的内核方面的知识被挖掘出来了,今天我们讨论下如何写一个 简单的驱动,并使用现在比较新的windbg调试器进行调试。首先写驱动要对驱动有一个比较全面的认识 。 一个简单的驱动一般有以下几
Windows虚拟地址物理地址(原理+源码实现,附简单小工具)
08-21 390
      ByLthis 上个月就想写了,一直没时间...网上大概搜了一下,原理与操作倒是一大堆,一直没看到源码实现,总得有人动手,这回轮到我了。东西写得很烂,请大牛勿喷。一直...
windbg找到一个虚拟地址物理地址.doc
07-31
windbg找到一个虚拟地址物理地址.doc
使用WinDbg查看保护模式分页机制下的物理地址
weixin_42486644的博客
06-20 2352
    我们知道,当今主流的x86/x64 Intel处理器默认都使用了保护模式,不同于8086时代的实模式机制,保护模式和分页机制实现了内核层与用户层隔离,进程间执行环境隔离。    对Win32系统比较熟悉的人都知道系统为每一个进程都分配了4GB的进程空间,其中低2GB是用户层空间,而高2GB是内核层空间,而内存地址使用的分页机制下的虚拟地址,而虚拟地址需要通过分页机制的层层换,才能找到映射...
实践使用WinDBG虚拟地址换到物理地址
梵·烈火的专栏
01-26 4005
正在逐章学习《调试软件》一书,看到2.7分页机制。仿照书上的例子,试着手工把虚拟地址换到物理地址。 由于书中的例子是针对未开启PAE的情况,而我的XP SP2默认开启了PAE,所以白白浪费了大半天时间。话说以前还真不知道启动参数里面/noexecute=optin也会开启PAE。 后来在网上找到了作者针对开启PAE后如何换的文章,重新实验了一下。原文地址:http://advdbg.org
windbg虚拟地址查找对应物理地址(内核调试)
wesley2005的专栏
07-31 2132
(1)虚拟地址通过pte指令,找到pfn 假设虚拟地址为0xfffff880`00d5e9e0 0: kd> !pte 0xfffff880`00d5e9e0                                            VA fffff88000d5e9e0 PXE at FFFFF6FB7DBEDF88    PPE at FFFFF6FB7DBF1000  ...
DLL Export Viewer查看导出函数及内存地址
DLL Export Viewer v1.26 是一款专为软件开发人员、逆向工程分析人员以及系统调试工程师设计的实用工具,其核心功能是用于查看动态链接库(DLL)文件中所导出的函数列表及其对应的虚拟内存地址。该工具在Windows操作...
【虚拟机调试揭秘】:Windbg在虚拟化环境下的应用
本文对虚拟机调试以及使用Windbg工具进行了全面的探讨,从虚拟化技术的基础知识、调试原理到高级调试技术与优化策略,再到虚拟化技术与云环境调试的未来趋势,提供了深入的分析与实例研究。文章首先概述了虚拟机调试...
怎么查看一个软件当前界面的信息储存的地址
最新发布
08-16
我们正在处理一个关于内存地址查看的问题。用户希望了解如何查看软件界面信息在内存中的存储位置。根据之前的对话历史,用户可能是在开发或逆向工程中需要定位特定数据的内存地址。以下是我的思考过程: 1. 首先...
使用windbg在开启PAE的情况下将虚拟地址化成物理地址
weixin_30635053的博客
10-11 187
在开启PAE之后,32位的线性地址的结构发生了变化,具体结构如下 30-31位:页目录指针表索引 21-29位:页目录索引 12-20位:页表索引 0-11位:页内偏移 在开启PAE之后,表中地址都是物理地址,所有表项的大小变为8Byte,具体格式如下: 结合Windows Server 2008中calc.exe中数字的地址分析PAE的地址化机制 我们在...
给服务器添加物理虚拟GPS,[载]WinDbg应用之虚拟地址物理地址换(1)
weixin_39715290的博客
08-09 359
我们通过一个实际的例子,窥看操作系统是如何完成从逻辑地址到物理地址换的。(1)运行计算器程序(calc.exe),随便输入任意数字,如下图所示:(2)运行WinDbg, File-->Attach to aprocess, 选择calc.exe(3)输入命令"x calc!g*",列出calc中所有以g开头的符号,如图其中的gpszNum存放的就是用户输入的数值(4)输入命令 "db p...
Linux下怎样在进程中获取虚拟地址对应的物理地址
sinat_42308498的博客
03-30 916
Linux文件目录中的/proc记录着当前进程的信息,称其为虚拟文件系统。在/proc下有一个链接目录名为self,这意味着哪一个进程打开了它,self中存储的信息就是所链接进程的。self中有一个名为page_map的文件,专门用来记录所链接进程的物理页号信息。这样通过/proc/pid/page_map文件,允许一个用户态的进程查看到每个虚拟页映射到的物理页 /proc/pid/page_ma...
虚拟地址物理地址
weixin_30588729的博客
09-27 190
参考资料:《X64结构体系内存寻址》《x86 系列 CPU 内存寻址模式总结》最好的两篇,对各个位都讲的很清楚, 刚开始容易陷入其中,整整看了两天,最后才发现主要框架, 查细节很有用。win7 x64位,4级索引,看了两天,最后发现虚拟地址实现就是 4个数组坐标, 到物理地址就索引了4次数组, 或者是 [ [ [ [ [dirBae] ] + 0x8] + 0x8f*8] +...
windbg虚拟地址换为物理地址
shuishan_lmy的博客
06-07 635
深入理解计算机系统-之-内存寻址(一)--存储管理机制(虚拟地址,线性地址,物理地址
OSKernelLAB(gatieme)
02-09 7122
参照 《深入理解计算机系统》 《深入理解linux内核》 《80x86汇编语言程序设计》 《操作系统的设计与实现》 为了对存储器中的程序及数据实现保护和共享硬件支持,为了对实现虚拟存储器提供硬件支持,现代的CPU不仅采用了扩充的存储器段式管理机制,而且还提供了可选的存储器分页管理机制。段页式存储管理物理地址(physical address)用于内存芯片级的单元寻址,与处理器
启用PAE后虚拟地址物理地址
07-31 209
34 [原创]启用PAE后虚拟地址物理地址换 安于此生 2013-11-3 20:54 16073 由常规的两级页表换得不到物理地址的引发的思考? 可能你会发现一个郁闷的事情--按照通常的两级页表的化得不到正确物理地址,到底是哪个环节出了问题咧,其实一切都是PAE惹的祸! PAE是神马? PAE:全称PhyiscalAddr...
计算机---之逻辑地址,虚拟地址物理地址
zxyhhjs2017的博客
01-13 1665
知识储备: x86和x64:简单理解就是cpu的内核是x86架构还是x64架构的,x86一般支持的是32位,即一次处理数据是32位,x64则是64位,一次数据传输可以处理64位。 逻辑地址: 为什么会有逻辑地址呢,因为如果是x86的cpu内核架构,则它的寻址能力有限,即最大寻址范围为2^32次方,即内存最大可以为4GB,而一般的计算机的内存物理内存只有4GB,加上虚拟内存就不止4GB了,
【双机调试】WinDbg+Win7虚拟机双机调试详细步骤
蜡笔小新的博客
02-27 2166
一、下载安装配置虚拟机 1.下载
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值