windbg由虚拟地址查找对应物理地址(内核调试)

最新推荐文章于 2023-09-21 16:30:58 发布
原创 最新推荐文章于 2023-09-21 16:30:58 发布 · 2k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细解析了从虚拟地址到物理地址的转换过程,包括通过PTE指令找到PFN,根据PFN和相对地址确定物理地址,以及对比虚拟内存与物理内存的一致性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

(1)虚拟地址通过pte指令,找到pfn

假设虚拟地址为0xfffff880`00d5e9e0

0: kd> !pte 0xfffff880`00d5e9e0
                                           VA fffff88000d5e9e0
PXE at FFFFF6FB7DBEDF88    PPE at FFFFF6FB7DBF1000    PDE at FFFFF6FB7E200030    PTE at FFFFF6FC40006AF0
contains 000000007FF84863  contains 000000007FF83863  contains 000000007FF8C863  contains 8000000000BE0963
pfn 7ff84     ---DA--KWEV  pfn 7ff83     ---DA--KWEV  pfn 7ff8c     ---DA--KWEV  pfn be0       -G-DA--KW-V

找到pte对应的pfn为0xbe0,单位是4k(4096)。

(2)根据pfn和相对地址,找到虚拟地址对应物理地址位置

pfn为0xbe0,则物理页地址是0xbe0000(0xbe0 × 0x1000)。

页内偏移为0x9e0(0xfffff880`00d5e9e0)

那么 物理地址=物理页地址+页内偏移 = 0xbe0000+0x9e0 = 0xbe09e0

(3)打印物理内存和虚拟内存

打印物理内存

0: kd> !dc 0xbe09e0
#  be09e0 00000114 00000006 00000001 00001db1 ................
#  be09f0 00000002 00000000 00000000 00000000 ................
#  be0a00 00000000 00000000 00000000 00000000 ................

打印虚拟内存

0: kd> dc 0xfffff880`00d5e9e0
fffff880`00d5e9e0  00000114 00000006 00000001 00001db1  ................
fffff880`00d5e9f0  00000002 00000000 00000000 00000000  ................
fffff880`00d5ea00  00000000 00000000 00000000 00000000  ................

 

发现两者相同

 

windbg调试驱动学习总结
bcbobo21cn的专栏
03-19 4637
简单驱动编写与windbg调试 http://trustsec.blog.51cto.com/305338/64694/ 一.驱动编写 随着对windows系统的深入研究,越来越多的内核方面的知识被挖掘出来了,今天我们讨论下如何写一个 简单的驱动,并使用现在比较新的windbg调试器进行调试。首先写驱动要对驱动有一个比较全面的认识 。 一个简单的驱动一般有以下几
WinDBG 配置内核双机调试
weixin_30790841的博客
09-19 820
WinDBG 是在 windows 平台下,强大的用户态和内核调试工具,相比较于 Visual Studio 它是一个轻量级的调试工具,所谓轻量级指的是它的安装文件大小较小,但是其调试功能,却比VS更为强大,WinDBG由于是微软的产品所以能够调试Windows系统的内核,另外一个用途是可以用来分析dump数据,本笔记用于记录WinDBG内核调试的配置过程,并附有常用命令的使用方法。 ...
windbg找到一个虚拟地址物理地址.doc
07-31
windbg找到一个虚拟地址物理地址.doc
使用Windbg调试内核
kendyhj9999的专栏
01-16 1084
使用Windbg调试内核      [原文:http://blog.pfan.cn/xman/44320.html] Windbg是微软开发的免费源码级调试工具。Windbg可以用于Kernel模式调试和用户模式调试,还可以调试Dump文件。 1.从http://www.microsoft.com/whdc/devtools/debugging/installx86.mspx
使用WinDbg查看保护模式分页机制下的物理地址
weixin_42486644的博客
06-20 2325
    我们知道,当今主流的x86/x64 Intel处理器默认都使用了保护模式,不同于8086时代的实模式机制,保护模式和分页机制实现了内核层与用户层隔离,进程间执行环境隔离。    对Win32系统比较熟悉的人都知道系统为每一个进程都分配了4GB的进程空间,其中低2GB是用户层空间,而高2GB是内核层空间,而内存地址使用的分页机制下的虚拟地址,而虚拟地址需要通过分页机制的层层转换,才能找到映射...
xp+WinDBG+VMware调试内核
weixin_34415923的博客
12-14 309
原文地址:http://hi.baidu.com/1ian9yu/blog/item/96e29bb357acbfa2d8335a25.html根据此文,很顺利的完成了源码级调试设置。    呵呵,搞点突兀的标题而已。其实说的还是如何使用WinDBG和VMware来搭建调试内核的环境而已,这些网上已经有数不清的教程了,不过我喜欢自己亲手写一下。第一,把这个过程写一遍能加深印象,就算以后忘记了也可...
windbg虚拟地址转换为物理地址
shuishan_lmy的博客
06-07 613
windbg实现虚拟地址物理地址转换(Converting Virtual Addresses to Physical Addresses)
Stay Hungry , Stay Foolish
06-12 4178
原文地址:http://blog.youkuaiyun.com/hjl243632044/article/details/7656685         本文将用一个小例子说明如何在32位cpu下手工将虚拟地址转换内存中的物理地址。(32位xp下测试通过,32位win7不知何因就是不行。大牛若知,请指点,不胜感激。)         首先补充下理论知识:         验证思
Windows 内核之双机调试windbg命令大全
玄道的网安博客
12-29 1143
在今后会有相当的实验环节,对于windows内核实验,调试环境是必不可少的,本章讲解双机调试的环境搭建与常见的WINDBG指令。 准备材料: VMware workstation : [https://www.vmware.com/go/downloadworkstation-cn] windows 7 x64 ISO (请使用种子下载工具进行下载): [ed2k://|file|cn_windows_7_ultimate_with_sp1_x64_dvd_u_677408.iso|34205573
WinDbg调试工具:安装与使用教程
通常,你可以用一台物理机器作为调试主机,通过VMware等虚拟化软件来创建被调试的目标系统。调试主机需要安装WinDbg,而被调试的系统则包含你想要调试的应用或服务。 WinDbg的下载链接可以在微软官方网站找到,分别...
内核调试大师】:使用WinDbg深入分析Windows内核问题
本文深入探讨了WinDbg工具在Windows内核调试中的应用,涵盖了基础架构、工具命令、内核数据结构、内存管理、内核崩溃和蓝屏分析、驱动调试及高级应用等方面。通过详细介绍WinDbg的基本操作、符号文件配置、内存转储...
Windbg解析程序运行时虚拟地址对应物理地址
weixin_44922845的博客
03-02 2430
分析虚拟地址 本次实验使用 Windbg 解析 hello25.exe 程序运行时虚拟地址 0x00403000h 对应物理地址,那么首先我们先对虚拟地址 0x00403000h 进行分析。 在 64 位操作系统下,虚拟地址的 63-48 位是符号扩展位,在虚拟地址物理地址的转换过程中没有实际作用,所以我们重点关注剩下的 48 位,其中,47-39 位表示 PML4E,38-30位表示PDPT...
Windbg验证物理地址
最新发布
m0_62601763的博客
09-21 300
【代码】Windbg验证物理地址
搭建Windbg和Hyper-V第二代虚拟机,双机调试内核环境
赫的BLOG
09-20 4418
VMware太重了,4G内存笔记本跑起来好吃力,我的另外一台E3+16G电脑,装上VMware开机速度变得很慢,于是研究下,用windows原生的虚拟机配合Windbg双机调试 系统最低win10,记得开启bios上的虚拟化支持 第一步: 首先需要安装Windbg运行环境,访问visualstudio.com 下载最新版的VisualStudio,如果你是学习和个人研究用途,就使用社区版吧,
实践使用WinDBG虚拟地址转换到物理地址
梵·烈火的专栏
01-26 3920
正在逐章学习《调试软件》一书,看到2.7分页机制。仿照书上的例子,试着手工把虚拟地址转换到物理地址。 由于书中的例子是针对未开启PAE的情况,而我的XP SP2默认开启了PAE,所以白白浪费了大半天时间。话说以前还真不知道启动参数里面/noexecute=optin也会开启PAE。 后来在网上找到了作者针对开启PAE后如何转换的文章,重新实验了一下。原文地址:http://advdbg.org
恶意代码分析实战 --- 第十章 使用Windbg调试内核
abelxu
05-31 1216
一、安装内核调试 1.配置虚拟机 编辑C:\boot.ini ,该文件为隐藏文件,将文件按下面方式进行修改 /debug表示开启内核调试 /debugport=COM1表示使用哪个端口来连接调试系统与被调试系统 /baudrate=115200表示指定串口数据传输速率。 [boot loader] timeout=30 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] multi(0)disk(0)rdisk(
Windbg查看虚拟地址物理地址数据简单流程
weixin_30954607的博客
08-27 264
1.双机调试下虚拟机打开test.exe文件int main(){ printf("%p" , "aaabbbccc");}exe打印的虚拟地址:00217B302.转二进制: 00000000 ‭00100001 01111011 00110000‬按10-10-12拆分:00000000‭00 1000010111 101100110000‬变成了:0-217-B303.kd&...
CPU 如何根据虚拟内存地址找到真实的内存地址
小菜的OnePiece的博客
04-13 1564
1. 确定页目录基址 每一个CPU都有一个页目录基址寄存器,最高级页表的基地址就存在这个寄存器里。在X86上,这个寄存器是CR3.每一次计算物理地址时,MMU都会从CR3寄存器中取出页目录所在的物理地址。 2. 定位页目录项(PDE) 一个32位的虚拟地址可以拆成10位,10位和12位3段,上一步找到的页目录表基址加上高10位的值乘以4,就是页目录项的位置。这是因为,一个页目录项正好是4字节,所以1024个页目录项共占据4096个字节,即是4M,刚好组成1页,而1024个页目录项需要10位进行编码。这样,我
windbg常用命令
qq_41490873的博客
06-22 962
!pool +va 可以分析出一个地址是不是通过ExAllocatePool分配的 以及是分页内存还是非分页内存 ba e1 +va 硬件断点 dps rsp 查看堆栈 会显示出相应的函数名 !pte + va 可以找出一个虚拟地址的pte 通过PTE知道这个地址读写以及可执行属性 !address +va 获得虚拟地址所在区域 .thread 列出当前线程结构体 !thread 当前线程信息 dt _KTHREAD TrapFrame+ 结构体地址 可以
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值