使用WinDbg查看保护模式分页机制下的物理地址

最新推荐文章于 2023-09-21 16:30:58 发布
最新推荐文章于 2023-09-21 16:30:58 发布
阅读量2.3k 收藏 9
点赞数 2
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42486644/article/details/80747462
本文介绍了如何利用WinDbg工具,在保护模式下的分页机制中,通过虚拟地址追踪到实际的物理地址。通过设置调试环境,定位到记事本进程,搜索字符串并解析虚拟地址的组成部分,最终成功找到内存中对应的物理地址。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

    我们知道,当今主流的x86/x64 Intel处理器默认都使用了保护模式,不同于8086时代的实模式机制,保护模式和分页机制实现了内核层与用户层隔离,进程间执行环境隔离。

    对Win32系统比较熟悉的人都知道系统为每一个进程都分配了4GB的进程空间,其中低2GB是用户层空间,而高2GB是内核层空间,而内存地址使用的分页机制下的虚拟地址,而虚拟地址需要通过分页机制的层层转换,才能找到映射该内存地址的物理地址,下面让我们使用WinDbg工具来看一下系统如何通过虚拟地址找到真正的物理地址:

    首先要构建一个双机调试环境(见另一篇文章看,本文使用的虚拟机为Win7 x86 sp1),我使用的WinDbg和virtualKD,将virtualKD的插件装到虚拟机中,然后重启虚拟机:

    

选择window 7 [virtualKD] [启用调试程序]:

然后等虚拟机进入桌面后,打开记事本,输入一串字符串(那就”Hello World!“吧。。。)


然后点击WinDbg的break按钮,使操作系统断下来



使用 !process 0 0 命令查看当前系统所有进程信息,找到记事本所在进程

最低0.47元/天 解锁文章

200万优质内容无限畅学
wasdaabb
关注
《格蠹汇编》读书笔记—windbg使用
u012138730的专栏
05-25 5596
1.注册表设置 注册表设置 要调试的exe的 debugger 为 x86的windbg 打开注册表,在[运行] (win+ R)中输入 regedit,找到下面这个路径: 比如想要调试test.exe, 就新建一个test.exe 文件夹,并新建 一个 字符串值的键,名称为 Debugger,值为 windbg所在的路径 2.打开windbg,需要设置这三个路径,但是这个...
windbg显示特定进程虚拟地址的方法
享受开发,颠倒银河
07-03 1808
1 必须使用Livekd.exe启动
windbg找到一个虚拟地址的物理地址.doc
07-31
windbg找到一个虚拟地址的物理地址.doc
windbg由虚拟地址查找对应物理地址(内核调试)
wesley2005的专栏
07-31 2067
(1)虚拟地址通过pte指令,找到pfn 假设虚拟地址为0xfffff880`00d5e9e0 0: kd> !pte 0xfffff880`00d5e9e0                                            VA fffff88000d5e9e0 PXE at FFFFF6FB7DBEDF88    PPE at FFFFF6FB7DBF1000  ...
Windbg解析程序运行时虚拟地址对应的物理地址
weixin_44922845的博客
03-02 2430
分析虚拟地址 本次实验使用 Windbg 解析 hello25.exe 程序运行时虚拟地址 0x00403000h 对应的物理地址,那么首先我们先对虚拟地址 0x00403000h 进行分析。 在 64 操作系统下,虚拟地址的 63-48 是符号扩展,在虚拟地址到物理地址的转换过程中没有实际作用,所以我们重点关注剩下的 48 ,其中,47-39 表示 PML4E,38-30表示PDPT...
windbg:虚拟地址转换为物理地址
shuishan_lmy的博客
06-07 613
Windbg验证物理地址
最新发布
m0_62601763的博客
09-21 300
【代码】Windbg验证物理地址
保护模式 x86 页保护机制
挖树
01-06 1042
页的机制 目录 文章目录页的机制目录分页物理地址-线性地址-有效地址分页机制2 9 9 1210 10 12设置分页方式实验:通过线性地址找到物理地址(10-10-12)PDE PTEPDE_PTE属性P [0]R/W [1]U/S [2]P/S PDE[7] pte没有AD页目录表基址 0xc0300000页表基址 0xc0000000线性地址转物理地址公式 分页 物理地址-线性地址-...
【内核调试大师】:使用WinDbg深入分析Windows内核问题
通过详细介绍WinDbg的基本操作、符号文件配置、内存转储分析、内核模式下的内存管理、崩溃转储分析以及脚本编写,本文旨在为读者提供一个全面的内核调试指南。特别地,文章还关注了内核崩溃的常见原因、内核内存泄漏...
实践使用WinDBG从虚拟地址转换到物理地址
梵·烈火的专栏
01-26 3920
正在逐章学习《调试软件》一书,看到2.7分页机制。仿照书上的例子,试着手工把虚拟地址转换到物理地址。 由于书中的例子是针对未开启PAE的情况,而我的XP SP2默认开启了PAE,所以白白浪费了大半天时间。话说以前还真不知道启动参数里面/noexecute=optin也会开启PAE。 后来在网上找到了作者针对开启PAE后如何转换的文章,重新实验了一下。原文地址:http://advdbg.org
Windbg查看虚拟地址转物理地址数据简单流程
weixin_30954607的博客
08-27 264
1.双机调试下虚拟机打开test.exe文件int main(){ printf("%p" , "aaabbbccc");}exe打印的虚拟地址:00217B302.转二进制: 00000000 ‭00100001 01111011 00110000‬按10-10-12拆分:00000000‭00 1000010111 101100110000‬变成了:0-217-B303.kd&...
Windows获取模块基地址
langshanglibie的专栏
05-29 8840
获取模块的基地址有如下几种方法: 1. 模块句柄就是模块基地址(或称模块加载地址),直接将模块句柄转换为模块基地址 2. 根据模块中的地址得到模块句柄,模块句柄就是基地址 GetModuleHandleEx 3. 根据模块中的地址得到这个地址所属模块的基地址 但是 SymGetModuleInfoW64 总是运行失败 4. 使用 VirtualQueryEx 函数 5. 根据进程句...
[软件调试学习笔记]WinDbg演示IA-32 CPU下的Windows 分页机制下的地址转换过程
weixin_33875564的博客
04-12 227
我们知道,从386开始,IA-32 CPU开始支持Paging。在启用Paging之后,OS将线性地址空间划分为固定大小的Page(通常为4KB或4MB)。 本文演示了如何通过WinDbg展示windows paging中的virtual address向physical address转换过程。 在现代OS中,涉及到Paging的几个概念如下(以32-bit IA CPU&M...
windbg常用命令
qq_41490873的博客
06-22 962
!pool +va 可以分析出一个地址是不是通过ExAllocatePool分配的 以及是分页内存还是非分页内存 ba e1 +va 硬件断点 dps rsp 查看堆栈 会显示出相应的函数名 !pte + va 可以找出一个虚拟地址的pte 通过PTE知道这个地址读写以及可执行属性 !address +va 获得虚拟地址所在区域 .thread 列出当前线程结构体 !thread 当前线程信息 dt _KTHREAD TrapFrame+ 结构体地址 可以
[windows内核]PDE&PTE
r250414958的博客
08-10 3357
Cr3 描述: 在所有的寄存器中,只有Cr3存储的是物理地址,其它寄存器存的都是线性地址 Cr3所存储的物理地址指向了一个页目录表(PDT) 在Windows中,一个页的大小通常为4KB,即一个页可以存储1024个页目录表项(PDE) 下面是手册中的描述在第3卷2.5 CONTROL REGISTERS 物理页结构图: 注意:但其实上面这种结构方式是错误的,这个以后再解释,先这样理解 PDE(页目录表项) 描述: 页目录表(PDT)的每一项元素称为页目录表项(PDE) 每个页目录表项指向一个页表(
难译 | windbg 乐趣之道(上)
dotNET跨平台
02-28 280
前言 Yarden Shafir 分享了两篇非常通俗易懂的,关于 windbg 新引入的调试数据模型的文章。链接如下:part1:https://medium.com/@yardenshafir2/windbg-the-fun-way-part-1-2e4978791f9bpart2:https://medium.com/@yardenshafir2/windbg-the-fun-way-part...
12_通过 CR3 切换_读取指定进程数据
leibso的博客
10-22 1646
注意: cr3 切换 ,导致eip 指向的页面,改变为对应cr3 的页面;所以代码也变了;这里需要将这部分代码放入公共区域。 解决: 使用 类似前面 山寨 systemfastcallentry 的方法;使用 int 20 将代码拷贝到 高2gb 公共区域。 注册到 int 21,然后中断调用即可。 ...
windbg - 查看函数地址
tuan8888888的博客
02-08 3067
有时候需要查看函数地址,官方地址https://docs.microsoft.com/zh-cn/windows-hardware/drivers/debugger/x--examine-symbols- 示例:x /D /f lec_teacher!c* 以下命令将查找 MyModule 中包含字符串 "spin" 的所有符号。 0:000> x mymodule!*spin* 以下命令快速查找 MyModule 中的 "DownloadMinor" 和 "Downloa..
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值