MMPTE数据结构

最新推荐文章于 2022-03-30 21:07:52 发布
最新推荐文章于 2022-03-30 21:07:52 发布
阅读量1.1k 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: c/c++ 数据结构与算法
原文链接:http://www.cnblogs.com/fanzi2009/archive/2011/12/22/2297570.html
本文详细解析了MMPTE内存页表的结构及其在操作系统内存管理中的作用。介绍了MMPTE作为union类型,如何抽象PDE、PTE等数据结构,并详细解释了其内部各个字段的意义,如Valid、Write、Owner等位标识,以及PageFrameNumber等关键信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

MMPTE其实是个union,它抽象了PDE,PTE,原型PTE等数据结构

kd> dt _MMPTE -r2
nt!_MMPTE
   +0x000 u                : __unnamed
      +0x000 Long             : Uint4B
      +0x000 Flush            : _HARDWARE_PTE_X86
         +0x000 Valid            : Pos 0, 1 Bit
         +0x000 Write            : Pos 1, 1 Bit
         +0x000 Owner            : Pos 2, 1 Bit
         +0x000 WriteThrough     : Pos 3, 1 Bit
         +0x000 CacheDisable     : Pos 4, 1 Bit
         +0x000 Accessed         : Pos 5, 1 Bit
         +0x000 Dirty            : Pos 6, 1 Bit
         +0x000 LargePage        : Pos 7, 1 Bit
         +0x000 Global           : Pos 8, 1 Bit
         +0x000 CopyOnWrite      : Pos 9, 1 Bit
         +0x000 Prototype        : Pos 10, 1 Bit
         +0x000 reserved         : Pos 11, 1 Bit
         +0x000 PageFrameNumber  : Pos 12, 20 Bits
      +0x000 Hard             : _MMPTE_HARDWARE
         +0x000 Valid            : Pos 0, 1 Bit
         +0x000 Writable         : Pos 1, 1 Bit
         +0x000 Owner            : Pos 2, 1 Bit
         +0x000 WriteThrough     : Pos 3, 1 Bit
         +0x000 CacheDisable     : Pos 4, 1 Bit
         +0x000 Accessed         : Pos 5, 1 Bit
         +0x000 Dirty            : Pos 6, 1 Bit
         +0x000 LargePage        : Pos 7, 1 Bit
         +0x000 Global           : Pos 8, 1 Bit
         +0x000 CopyOnWrite      : Pos 9, 1 Bit
         +0x000 Prototype        : Pos 10, 1 Bit
         +0x000 Write            : Pos 11, 1 Bit
         +0x000 PageFrameNumber  : Pos 12, 20 Bits
      +0x000 Proto            : _MMPTE_PROTOTYPE
         +0x000 Valid            : Pos 0, 1 Bit
         +0x000 ProtoAddressLow  : Pos 1, 7 Bits
         +0x000 ReadOnly         : Pos 8, 1 Bit
         +0x000 WhichPool        : Pos 9, 1 Bit
         +0x000 Prototype        : Pos 10, 1 Bit
         +0x000 ProtoAddressHigh : Pos 11, 21 Bits
      +0x000 Soft             : _MMPTE_SOFTWARE
         +0x000 Valid            : Pos 0, 1 Bit
         +0x000 PageFileLow      : Pos 1, 4 Bits
         +0x000 Protection       : Pos 5, 5 Bits
         +0x000 Prototype        : Pos 10, 1 Bit
         +0x000 Transition       : Pos 11, 1 Bit
         +0x000 PageFileHigh     : Pos 12, 20 Bits
      +0x000 Trans            : _MMPTE_TRANSITION
         +0x000 Valid            : Pos 0, 1 Bit
         +0x000 Write            : Pos 1, 1 Bit
         +0x000 Owner            : Pos 2, 1 Bit
         +0x000 WriteThrough     : Pos 3, 1 Bit
         +0x000 CacheDisable     : Pos 4, 1 Bit
         +0x000 Protection       : Pos 5, 5 Bits
         +0x000 Prototype        : Pos 10, 1 Bit
         +0x000 Transition       : Pos 11, 1 Bit
         +0x000 PageFrameNumber  : Pos 12, 20 Bits
      +0x000 Subsect          : _MMPTE_SUBSECTION
         +0x000 Valid            : Pos 0, 1 Bit
         +0x000 SubsectionAddressLow : Pos 1, 4 Bits
         +0x000 Protection       : Pos 5, 5 Bits
         +0x000 Prototype        : Pos 10, 1 Bit
         +0x000 SubsectionAddressHigh : Pos 11, 20 Bits
         +0x000 WhichPool        : Pos 31, 1 Bit
      +0x000 List             : _MMPTE_LIST
         +0x000 Valid            : Pos 0, 1 Bit
         +0x000 OneEntry         : Pos 1, 1 Bit
         +0x000 filler0          : Pos 2, 8 Bits
         +0x000 Prototype        : Pos 10, 1 Bit
         +0x000 filler1          : Pos 11, 1 Bit
         +0x000 NextEntry        : Pos 12, 20 Bits

转载于:https://www.cnblogs.com/fanzi2009/archive/2011/12/22/2297570.html

解析Winndows 2000/XP物理内存管理
feijj2002_的专栏
05-24 1727
解析Winndows 2000/XP物理内存管理   物理内存是相对比较紧张的资源,合理利用将是一个操作系统的性能的关键。Windows 2000/XP内部使用一个称为页框数据库(Page Frame Database)的结构用于描述物理内存的状态。本文将从这一结构入手详述Windows物理内存的组织管理。    Windows将物理内存按PAGE_SIZE(在x86上,为0x1000字节,即4
内存管理(4)页面错误异常处理&物理内存管理&其他组件
Returns' Station
05-13 3281
这篇是Mm的最后一篇~18号po上来就一直设为私有状态,没时间修正... 忙得都是一些恶心事情,比如说恶心的物理实验。。就是在不知原理的情况下拿着些古怪的仪器去测出一堆即使自己瞎编也不会被发现的实现数据,然后老师签字,附带大篇幅手抄的预习报告和数据处理还有课后习题,一套流程下来需要10~15个小时,真装B啊~~~ 额,这学期开始的时候非常有兴趣将内核一些关键组件详细的研究一下,一直最搞
Prototype PTE
whowho的专栏
06-14 1351
#define MM_DEFAULT_PAGED_POOL_START (0xE1000000) #define MiPteToProto(lpte) (DWORD)((DWORD)(((((lpte)) >> 11) << 9) + \ (((((lpte))) > 23) + \ MM_DEFAULT_PAGED_POO
【弄nèng - Grafana】入门篇(十三)—— Polystat panel使用
司马缸砸缸了
04-10 2222
文章目录简介1. General2. Metrics3. Options4. Overrides5. Composites6. Time range项目推荐 Polystat详解 Polystat需要安装额外的插件才能使用,地址传送门 简介 Polystat将为接收到的每个度量创建一个六边形,并具有将度量分组为复合度量并显示复合触发状态的能力 1. General 页面属性同graph一样,...
保护模式简介
求索
03-13 1019
在8086/8088时代,处理器只存在一种操作模式(Operation Mode),当时由于不存在其它操作模式,因此这种模式也没有被命名。自从80286到80386开始,处理器增加了另外两种操作模式——保护模式PM(Protected Mode)和系统管理模式SMM(System Management Mode),因此,8086/8088的模式被命名为实地址模式RM(Real-address Mo
【驱动开发从零开始】:Winnt.h中的数据结构,驱动开发者的秘密武器
通过对Winnt.h数据结构的深入分析,本文详细探讨了不同数据结构的组成、分类及其系统功能之间的关联。特别地,文章着重于这些数据结构在实际开发中的实践应用,如内存管理、I/O请求处理以及异步I/O操作的实现。...
Windows内存管理:工作集结构页面替换算法
在Windows内核中,工作集由一系列的数据结构维护。EPROCESS结构体是代表进程的核心结构,其中包含了关于工作集的信息。具体来说,工作集相关的数据结构包括: - MMSUPPORT:这是内存管理支持结构,包含了进程...
kd> x nt!MmPfnDatabase fffff805`7b8fc500 nt!MmPfnDatabase = <no type information> kd> dt _mmpfn fffff805`7b8fc500+0x460f7*0x30 nt!_MMPFN +0x000 ListEntry : _LIST_ENTRY [ 0x470348fa`8b4ce3f7 - 0xc4034900`d7834908 ] +0x000 TreeNode : _RTL_BALANCED_NODE +0x000 u1 : <anonymous-tag> +0x008 PteAddress : 0xc4034900`d7834908 _MMPTE +0x008 PteLong : 0xc4034900`d7834908 +0x010 OriginalPte : _MMPTE +0x018 u2 : _MIPFNBLINK +0x020 u3 : <anonymous-tag> +0x024 NodeBlinkLow : 0x1047 +0x026 Unused : 0y1001 +0x026 Unused2 : 0y0100 +0x027 ViewCount : 0x83 '' +0x027 NodeFlinkLow : 0x83 '' +0x027 ModifiedListBucketIndex : 0y0011 +0x027 AnchorLargePageSize : 0y11 +0x028 u4 : <anonymous-tag> kd> dt _mmpfn fffff805`7b8fc500+0x4609*0x30 nt!_MMPFN +0x000 ListEntry : _LIST_ENTRY [ 0x006f006c`006c0041 - 0x00000064`00650077 ] +0x000 TreeNode : _RTL_BALANCED_NODE +0x000 u1 : <anonymous-tag> +0x008 PteAddress : 0x00000064`00650077 _MMPTE +0x008 PteLong : 0x00000064`00650077 +0x010 OriginalPte : _MMPTE +0x018 u2 : _MIPFNBLINK +0x020 u3 : <anonymous-tag> +0x024 NodeBlinkLow : 0x54 +0x026 Unused : 0y0101 +0x026 Unused2 : 0y0110 +0x027 ViewCount : 0 '' +0x027 NodeFlinkLow : 0 '' +0x027 ModifiedListBucketIndex : 0y0000 +0x027 AnchorLargePageSize : 0y00 +0x028 u4 : <anonymous-tag> kd> dx -id 0,0,ffffbd046545f1c0 -r1 (*((ntkrnlmp!_LIST_ENTRY *)0xfffff8057c61f350)) (*((ntkrnlmp!_LIST_ENTRY *)0xfffff8057c61f350)) [Type: _LIST_ENTRY] [+0x000] Flink : 0x470348fa8b4ce3f7 [Type: _LIST_ENTRY *] [+0x008] Blink : 0xc4034900d7834908 [Type: _LIST_ENTRY *]
07-21
MMPFN(Modified Page Frame Number)结构体是Windows内存管理的核心数据结构,位于**页帧数据库(MmPfnDatabase)**中,包含所有物理页的状态信息[^1][^3][^4]。 **关键操作:** ```bash # 获取MmPfnDatabase地址 ...
分析下这个代码PVOID SearchSpecialCode1(PVOID pSearchBeginAddr, ULONG ulSearchLength, PUCHAR pSpecialCode, ULONG ulSpecialCodeLength) { PVOID pDestAddr = NULL; PUCHAR pBeginAddr = (PUCHAR)pSearchBeginAddr; PUCHAR pEndAddr = pBeginAddr + ulSearchLength; PUCHAR i = NULL; ULONG j = 0; KdPrint(("pEndAddr:%p %s\n", pEndAddr)); for (i = pBeginAddr; i <= pEndAddr; i++)//遍历地址 { if (MmIsAddressValid((PVOID)(i)))KdPrint(("dz:%p %p\n", i, *(PUCHAR)(i))); // 遍历特征码 for (j = 0; j < ulSpecialCodeLength; j++) { // 判断地址是否有效 if (!MmIsAddressValid((PVOID)(i + j))) { break; } // 匹配特征码 if (*(PUCHAR)(i + j) != pSpecialCode[j]) { break; } } // 匹配成功 if (j >= ulSpecialCodeLength) { pDestAddr = (PVOID)i; break; } } return pDestAddr; } struct _MMPTE//全名_MMPTE_PROTOTYPE { ULONGLONG Valid : 1; //0x0 ULONGLONG DemandFillProto : 1; //0x0 ULONGLONG HiberVerifyConverted : 1; //0x0 ULONGLONG ReadOnly : 1; //0x0 ULONGLONG SwizzleBit : 1; //0x0 ULONGLONG Protection : 5; //0x0 ULONGLONG Prototype : 1; //0x0 ULONGLONG Combined : 1; //0x0 ULONGLONG Unused1 : 4; //0x0 LONGLONG ProtoAddress : 48; //0x0 }; typedef struct _MMPFN { void* padding1; void* PteAddress;//0x8 struct _MMPTE OriginalPte; //0x10 char padding2[0x18];//_MMPFN 结构是0x30大小 这里0x18给他补上 }_MMPFN, * P_MMPFN; P_MMPFN* get_MmPfnDataBase() { UNICODE_STRING st = { 0 }; RtlInitUnicodeString(&st, L"MmGetVirtualForPhysical"); PVOID start = MmGetSystemRoutineAddress(&st); ULONG64 sub140608650start = SearchSpecialCode1(start, 0x20, "\x48\x03\xD2", 3); //DbgBreakPoint(); ULONG64 sub140608650start1 = sub140608650start + 0x5; P_MMPFN* fanh = *(LONG64*)sub140608650start1; return fanh; } UINT64 va_to_pa(void* va) { return MmGetPhysicalAddress(va).QuadPart; } BOOLEAN hide_mem(HANDLE pid, void* va, ULONG attribute) { PEPROCESS process = 0; KAPC_STATE apc; NTSTATUS status; //DbgBreakPoint(); status = PsLookupProcessByProcessId(pid, &process); if (!NT_SUCCESS(status)) { KdPrint(("PsLookupProcessByProcessId ...sb status:0x%x\n", status)); return FALSE; } KeStackAttachProcess((PVOID)process, &apc); void* align_va = PAGE_ALIGN(va); UINT64 pa = va_to_pa(align_va); if (pa == 0) { KdPrint(("va_err\n")); ObDereferenceObject(process); KeUnstackDetachProcess(&apc); return FALSE; } UINT32 pfn = pa >> 12; //P_MMPFN MmPfndataBase = get_MmPfnDataBase(); // 假设返回类型是PMMPFN ULONG64 mmpf = get_MmPfnDataBase(); P_MMPFN MmPfndataBase1 = mmpf - 0x8; P_MMPFN mmpfn = &MmPfndataBase1[pfn]; mmpfn->OriginalPte.Protection = attribute; ObDereferenceObject(process); KeUnstackDetachProcess(&apc); return TRUE; }
最新发布
08-10
struct _MMPTE { // 页表项(PTE)结构 ULONGLONG Valid : 1; // 有效位 // ... 其他标志位 ULONGLONG Protection : 5; // 内存保护属性 (RWX权限) // ... }; struct _MMPFN { // 物理页帧结构 PVOID ...
php 位图法,[原创]乱侃Windows NT内核之内存管理
weixin_39939668的博客
03-19 179
2010-4-25 18:12一块内存在变得可以使用之前,需要经过以下步骤:1)分配虚拟空间,所有程序只能读写虚拟空间2)分配物理内存3)建立虚拟内存和物理之间的映射下面先说说虚拟空间的管理:用户空间管理:=====================================================Windows将所有已经分配或保留的内存区块记录在一个称为avl的二叉树的结构中,该二叉...
windows内存管理之雾里探花
HuErr的专栏
06-05 1410
也看了一些windows内存管理方面的资料了,总感觉这方面资料匮乏,写下这篇笔记是为了以后方便查找,肯定有很多错误,以后有更深的理解了再来修改吧! 首选在这之前得理解Cpu的分页机制。在这里我就不做叙述了。 windows内存管理把一个页就对应着一个结构体,它们被存放在一块连续的地方。操作系统定义了一个指针。指向这块地址 kd> dd MMpfndatabase 80560be8  80c
[原]线性地址到物理地址转换
12-29 248
参考 [转]Part1: Understanding !PTE , Part 1: Let’s get physical [转]Part2: Understanding !PTE, Part2: Flags and Large Pages [转]Part 3: Understanding !PTE - Non-PAE and X64 cr4第5位(从0开始)判断是否开...
内存管理(3)用户空间内存管理&内存区对象
Returns' Station
05-13 4038
进程内存管理 MmCreateProcessAddressSpace 初始化进程的系统空间部分 1.先做一些检查,检查系统是否有足够的页面 2.申请四个物理页面分别用于:页目录,超空间页表,VAD位图,工作集链表 3.初始化EPROCESS中的一些结构_MMSUPPORT Vm.MinimumWorkingSetSize; DirectoryTableBase WorkingSet
页帧的寻找
qq_35129925的博客
03-30 1097
一、内核对物理内存的管理(MmPfnDatabase) Windows通过几个全局变量来对物理内存进行管理: MmPfnDatabase,页帧数据库(也叫FPN数据库),是MMPFN结构体类型的数组,它的索引是物理地址页帧号。 1: kd> dq mmpfndatabase fffff800`04119228 fffffa80`00000000 000001f4`00000040 fffff800`04119238 00000000`00000390 00000000`00000000 f..
之四:页面映射中的结构
stillvxx的专栏
11-14 2333
备注:本文中引用的内核代码的版本是2.4.0。 在前面的文章中,我们介绍了linux页式内存管理,讲到了页面目录PGD、中间目录PMD以及页表PT,本文来看下内核中对应的结构体定义。 一、 页表项pte_t以及相关操作 PGD、PMD以及PT分别是由pgd_t(页面目录项)、pmd_t(中检目录项)以及pte_t(页表项)构成的数组,这些表项(虽然只有32位)被定义成结构体,定义在中:
《深入理解Windows操作系统》笔记1
java-t-go
02-02 393
C:\ProgramFiles&gt;cd"DebuggingToolsforWindows(x86)" C:\ProgramFiles\DebuggingToolsforWindows(x86)&gt;dir 驱动器C中的卷没有标签。 卷的序列号是18F6-A188 C:\ProgramFiles\DebuggingToolsforWindows(x86)的目录 2012-02-0214:24...
Windows内存放血篇,突破物理内存的CopyOnWrite
08-23 563
本篇以x86(开启PAE) 以及x64 Win7系统不借助微软API突破内存的写拷贝机制进行讲述 https://bbs.pediy.com/thread-222949.htm 0x01 Before Starting 1. PAE: Physical Address Extension,Inter为了支持更大的物理内存寻址而设计的x86寻址方式...
xp sp3关闭PAE(物理内存扩展)
lixiangminghate的专栏
02-02 2434
这几天调试系统PTE区域,在获取nt!MmFirstFreeSystemPte指向的元素时,总无法获得正确的空闲pte值。反汇编nt!MiInitializeSystemPtes函数时发现这样的代码: 80544e35 8d3cf5c0975580 lea edi,nt!MmFirstFreeSystemPte (805597c0)[esi*8] 80544e3c 8b5704
Gloomy对Windows内核的分析(内存进程管理器)
峥嵘岁月
01-31 4069
内存进程管理器==========================                                   But I fear tomorrow Ill be crying,                                   Yes I fear tomorrow Ill be crying.                      
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值