ListEntry 遍历宏

最新推荐文章于 2023-07-07 10:55:33 发布

原创最新推荐文章于 2023-07-07 10:55:33 发布 · 1.3k 阅读

0 ·

CC 4.0 BY-SA版权

内核安全专栏收录该内容

12 篇文章

订阅专栏

本文详细介绍了如何使用自定义搜索列表函数MySearchList来查找特定实例ID的过滤器上下文。通过遍历AdvFcbHeader->FilterContexts列表，并检查每个元素的OwnerId和InstanceId属性，最终返回匹配条件的过滤器上下文。

#define MySearchList(pHdr, Ptr) \
for ( Ptr = (pHdr)->Flink; Ptr != (pHdr); Ptr = Ptr->Flink )

if ( ARGUMENT_PRESENT(InstanceId) ) {

MySearchList (&AdvFcbHeader->FilterContexts, list) {

ctx = CONTAINING_RECORD(list, FSRTL_PER_STREAM_CONTEXT, Links);
if (ctx->OwnerId == OwnerId && ctx->InstanceId == InstanceId) {

rtnCtx = ctx;
break;
}
}

}

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

wjcsharp

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

WinDBG遍历_LIST_ENTRY链表

10-19

1310

因为Window不同版本的内核数据结构有所不同，先声明实验环境。本实验在window7 32位系统下并且运行运算器（calc.exe）测试。为了显示的信息不至于冗长，在开始实验前先讲讲dt命令的-y参数及ExpTimerResolutionListHead全局变量。 1、dt命令查看_EPROCESS结构及-y参数 lkd> dt nt!_EPROCESS +0x0...

32位/64位WINDOWS驱动之遍历Process,Thread Object勾子遍历驱动模块

a756598009的博客

07-09

947

遍历成功拿到了线程回调对象。

参与评论您还未登录，请先登录后发表或查看评论

对WDK中LIST_ENTRY的遍历

weixin_34247155的博客

02-25

166

　　这篇文章是讲WDK中的LIST_ENTRY的遍历的, 前一篇文章(对WDK中对LIST_ENTRY的操作的相关函数的实现及简单运用)是讲的实现方式. 都已经实现了,遍历当然已经不是问题了.　　 //list_entry.c #include <ntddk.h> /*****************************************************...

使用LIST_ENTRY维护一个进程链：插入、删除、遍历

Sven的忘却日记

10-14

1493

#include<ntifs.h> LIST_ENTRY g_Head = { 0 }; KSPIN_LOCK g_SpinLock; typedef struct _ProcessSnapeNode { LIST_ENTRY ListEntry; ULONG PID; }ProcessSnapeNode, *PProcessSnapeNode; VOID PrintAllNode() { if (IsListEmpty(&g_Head)) { DbgPrint("链

链表的宏遍历

kevinx_xu的专栏

01-06

1273

（十一）链表的宏遍历在开始链表的遍历之前，先看一个问题：通过一个结构体的成员变量如何访问其他结构体成员的变量。我们先看一个例子吧：有这个结构体 struct symbol_list { int num; char value[STR_TOKEN]; //STR_TOKEN为一个宏定义的一个整数 struct l

Map遍历之Entry

qq_41628448的博客

02-26

1682

Entry是Map接口的一个内部接口，作用是当Map集合一创建，就会在Map集合中创建一个Entry对象，用来记录键和值（键值和对象，键和值的映射关系） Map集合遍历的第二中方式：使用Entry进行遍历 Map集合中的方法： Set<Map.Entry<K,V>> entrySet() 返回此映射中包含的映射关系的set视图 1、使用Map集合中的方法entrySet(...

遍历内核驱动模块

HXC_HUANG的博客

03-05

5754

PsLoadedModuleList是Windows加载的所有内核模块构成的链表的表头，利用它可以枚举所有这些模块的信息，下面是WRK中对PsLoadedModuleList的定义：LIST_ENTRYPsLoadedModuleList; 内核在加载驱动时，会为每一个驱动创建一个驱动对象（DRIVER_OBJECT），下面是驱动对象的数据结构：

x64驱动遍历 DPC 定时器

墨鱼菜鸡

05-22

364

目的拿到类似于 PChunter 中的信息：过程首先，要拿到系统的 _KPRCB ，也就是 KiProcessorBlock 的地址：我这里显示了 4 地址，这是因为我的 CPU 是 4 核 —— (垃圾电脑...

Map.Entry类使用遍历Map集合

AlexYBB的专栏

08-19

4878

Map.Entry类使用遍历Map集合

list_entry详解

找寻属于自己的瓦尔登湖

05-23

1858

list_entry宏分析该宏为list.h中比较难懂的其内核源码为 #define list_entry(ptr, type, member) \ ((type *)((char *)(ptr)-(unsigned long)(&((type *)0)->member))) 我们从一个例子看这个宏把，以下是我写的一个代码： #include #include s

用Entry遍历Map

wangcheng

03-15

234

脑袋撞到门，突然想到的，用Map.Entry遍历Map, 呵呵，代码如下 java 代码 Map myMap = ...; Set<Map.Entry> params = myMap.entrySet(); for (Map.Entry entry : params) { System.out.println(entry....

list_for_each_entry分析

qq_28219531的博客

03-21

468

offsetof(type,member) #define offsetof(TYPE, MEMBER) ((size_t) &((TYPE *)0)->MEMBER) 1. member是结构体为type类型的一个成员，这个函数实现了member成员在type类型的数据中的偏移量。 container_of #define container_of(ptr, t

MAP、ENTRY、for()遍历

wangsy613的博客

09-07

1156

MAP、ENTRY、for()遍历

DDK 中LIST_ENTRY的用法

weixin_34255793的博客

10-11

543

数据类型 LIST_ENTRY 另一个常见的 Windows 2000 数据类型是 LIST_ENTRY 结构。内核使用该结构将所有对象维护在一个双向链表中。一个对象分属多个链表是很常见的， Flink 成员是一个向前链接，指向下一个 LIST_ENTRY 结构， Blink 成员则是一个向后链接，指向前一个 ...

java 中map 使用entry遍历

Leiroy的博客

07-07

952

在遍历时，使用了Map的entrySet()方法，返回一个包含所有键值对的Set集合。然后利用for-each语法遍历该集合，每次迭代获取到的是一个Entry对象，可以通过其方法getKey()和getValue()获取键和值。在Java中，Map接口提供了Entry内部接口，用于表示Map中的键值对。使用Entry可以遍历Map中的所有键值对。Set接口没有提供类似的Entry内部接口，因为Set中的元素是没有键值对的，只有唯一的值。

java遍历entry,java遍历map entry.set

weixin_32965503的博客

03-16

646

Java中Map的 entrySet() 详解以及用法(四种遍历map的方...2020年11月30日entrySet是 java中键-值对的集合,Set里面的类型是Map.Entry,一般可以通过map.entrySet()得到。 entrySet实现了Set接口,里面存放的是键值对。一个K对......HashMap的添加修改遍历 Map.Entry Map.entrySet..._...

java中entry遍历map

xhmz的专栏

08-01

1242

Map是java中的接口，Map.Entry是Map的一个内部接口。java.util.Map.Entry接口主要就是在遍历map的时候用到。 Map提供了一些常用方法，如keySet()、entrySet()等方法，keySet()方法返回值是Map中key值的集合；entrySet()的返回值也是返回一个Set集合，此集合的类型为Map.Entry。 Map.Entry是Map声明

Map的遍历,使用内部接口Entry

u011414643的专栏

08-22

1007

public void testMap(){ //创建一个map集合 Map map=new HashMap(); //向集合中添加数据 map.put(13, "jada"); //找到set键的试图 map.keySet()返回此映射中包含的键的 Set 视图 Set set=map.keySet(); //set.iterator()返回在此 set 中的元素上进行迭代的迭代

linux kernel链表相关结构及操作

copbint

05-06

239

kd> x nt!MmPfnDatabase fffff805`7b8fc500 nt!MmPfnDatabase = <no type information> kd> dt _mmpfn fffff805`7b8fc500+0x460f7*0x30 nt!_MMPFN +0x000 ListEntry : _LIST_ENTRY [ 0x470348fa`8b4ce3f7 - 0xc4034900`d7834908 ] +0x000 TreeNode : _RTL_BALANCED_NODE +0x000 u1 : <anonymous-tag> +0x008 PteAddress : 0xc4034900`d7834908 _MMPTE +0x008 PteLong : 0xc4034900`d7834908 +0x010 OriginalPte : _MMPTE +0x018 u2 : _MIPFNBLINK +0x020 u3 : <anonymous-tag> +0x024 NodeBlinkLow : 0x1047 +0x026 Unused : 0y1001 +0x026 Unused2 : 0y0100 +0x027 ViewCount : 0x83 '' +0x027 NodeFlinkLow : 0x83 '' +0x027 ModifiedListBucketIndex : 0y0011 +0x027 AnchorLargePageSize : 0y11 +0x028 u4 : <anonymous-tag> kd> dt _mmpfn fffff805`7b8fc500+0x4609*0x30 nt!_MMPFN +0x000 ListEntry : _LIST_ENTRY [ 0x006f006c`006c0041 - 0x00000064`00650077 ] +0x000 TreeNode : _RTL_BALANCED_NODE +0x000 u1 : <anonymous-tag> +0x008 PteAddress : 0x00000064`00650077 _MMPTE +0x008 PteLong : 0x00000064`00650077 +0x010 OriginalPte : _MMPTE +0x018 u2 : _MIPFNBLINK +0x020 u3 : <anonymous-tag> +0x024 NodeBlinkLow : 0x54 +0x026 Unused : 0y0101 +0x026 Unused2 : 0y0110 +0x027 ViewCount : 0 '' +0x027 NodeFlinkLow : 0 '' +0x027 ModifiedListBucketIndex : 0y0000 +0x027 AnchorLargePageSize : 0y00 +0x028 u4 : <anonymous-tag> kd> dx -id 0,0,ffffbd046545f1c0 -r1 (*((ntkrnlmp!_LIST_ENTRY *)0xfffff8057c61f350)) (*((ntkrnlmp!_LIST_ENTRY *)0xfffff8057c61f350)) [Type: _LIST_ENTRY] [+0x000] Flink : 0x470348fa8b4ce3f7 [Type: _LIST_ENTRY *] [+0x008] Blink : 0xc4034900d7834908 [Type: _LIST_ENTRY *]

最新发布

07-21

<think>我们正在处理的问题是关于Windows内核调试中的MMPFN结构和页表项(PTE)分析，以及内存错误问题。根据用户提供的引用内容，我们可以总结如下关键点： 1. **MmPfnDatabase**：这是一个全局数组，包含系统中所有物理页帧的MMPFN结构体。每个物理页对应一个MMPFN结构体，它们连续存放。通过WinDbg命令`dd MmPfnDatabase`可以查看其地址[^1][^3][^4]。 2. **MMPFN结构体**：该结构体描述了物理页帧的状态信息，包括页帧的状态（如活动、备用、已修改等）、链表指针等。物理页的状态通过不同的链表维护（如空闲链表、零化链表等）[^3]。 3. **页表项(PTE)**：用于将线性地址映射到物理地址。当PTE的P标志位为0时，表示该页不在物理内存中，可能位于页面文件或尚未分配。访问这样的页会触发缺页异常（#PF），由IDT中的0xE号中断处理[^2]。 4. **缺页异常处理**：根据PTE的内容，缺页异常处理程序会采取不同的行动： - 如果PTE的1-9位和12-31位有值，说明页在页面文件中，则从页面文件读取数据到新的物理页，并更新PTE。 - 如果PTE全为0，则检查VAD（虚拟地址描述符），如果地址已分配则分配物理页，否则引发访问违例（0xC0000005）[^2]。 5. **物理页状态链表**：系统通过`MmPageLocationList`数组维护多个链表，每个链表对应一种物理页状态（如零化页、空闲页、备用页等）[^3]。现在，用户希望分析MmPfnDatabase和MMPFN结构，以及页表项和内存错误问题。我们将分步骤进行： ### 步骤1：获取MmPfnDatabase地址在WinDbg中执行： ```bash dd MmPfnDatabase ``` 输出示例（64位系统）： ``` fffff800`04119228 fffffa80`00000000 000001f4`00000040 ... ``` 这里，`fffffa80`00000000`就是MmPfnDatabase的地址（注意：64位系统下，地址可能是64位，需要根据输出确定）[^4]。 ### 步骤2：解析MMPFN结构体 MMPFN结构体在WinDbg中可以通过`dt _MMPFN`查看定义。每个MMPFN结构体的大小可以通过`dt -v _MMPFN`查看（通常为48字节或28字节，取决于系统位数和版本）。例如，查看第一个物理页（页帧号为0）的MMPFN结构体： ```bash !db fffffa80`00000000 # 查看第一个结构体的原始字节 dt _MMPFN fffffa80`00000000 # 解析结构体 ``` ### 步骤3：分析物理页状态通过MMPFN结构体中的`u4.e1.PageLocation`字段可以获取页的状态（如`Active`、`Standby`等）。状态值对应的链表可通过`MmPageLocationList`数组获取[^3]。查看`MmPageLocationList`： ```bash dd MmPageLocationList ``` 输出示例： ``` 83e5b894 83f7c000 83f7c040 83f7c080 83f7c0c0 ... ``` 这些地址是各个链表头的地址（如零化链表、空闲链表等）。 ### 步骤4：分析页表项（PTE）给定一个线性地址，可以通过以下命令获取其PTE： ```bash !pte 线性地址 ``` 输出示例： ``` VA 00000000`00400000 PXE at FFFFF6FB7DBED000 PPE at FFFFF6FB7DBF0000 PDE at FFFFF6FB7E000000 PTE at FFFFF6FC00020000 contains 0000000000148063 contains 0000000000149063 contains 000000000014A063 contains 0000000000000000 pfn 148 ---DA--UWEV pfn 149 ---DA--UWEV pfn 14a ---DA--UWEV not valid ``` 如果PTE显示“not valid”（P=0），则需进一步分析： - 如果PTE的值非全0，则可能位于页面文件（如图a[^2]）。 - 如果PTE全0，则检查VAD（使用`!vad`命令）以确定地址是否已分配。 ### 步骤5：处理内存错误（0xC0000005）当发生访问违例（0xC0000005）时，通常是因为访问了未提交的地址（PTE全0且VAD中没有对应区域）[^2]。在调试中，可以通过以下步骤分析： 1. 获取出错时的线性地址（例如从异常记录中获取）。 2. 使用`!pte`查看该地址的PTE。 3. 如果PTE无效，使用`!vad`查看进程的VAD树，确认该地址是否已保留或提交。 ### 示例：分析一个位于页面文件中的PTE 假设线性地址0x400000的PTE为0xFFFFF6FC00020000，且显示为无效（P=0），但其他位非0： 1. 根据引用[2]中的图a，PTE的1-9位（页面文件号）和12-31位（页面文件偏移）有效。 2. 缺页异常处理程序会从页面文件（pagefile.sys）中读取该页，分配新的物理页，并更新PTE。 ### 关键公式 1. **物理页帧号（PFN）与物理地址转换**： $$ \text{物理地址} = \text{PFN} \times \text{页大小} + \text{页内偏移} $$ 在x86系统中，页大小通常为4096字节（0x1000）。 2. **PTE结构解析**（32位系统）： - P位（位0）：存在标志 - 页帧号（位12-31）：当P=1时，指向物理页帧号 - 其他标志位（如R/W、U/S等） ### 注意事项 - 不同Windows版本中MMPFN结构可能有差异，需使用匹配的符号文件。 - 物理页状态链表（如MmZeroedPageListHead）可通过`!list`命令遍历。 §§相关问题§§ 1. 如何遍历MmPfnDatabase中的所有物理页帧？ 2. 如何通过MMPFN结构判断一个物理页是否被共享？ 3. 在缺页异常处理中，如何从页面文件恢复数据？ 4. 如何修复由损坏的PTE导致的蓝屏错误？</think>### Windows内核调试：MMPFN结构与页表项(PTE)分析 #### 1. **MMPFN结构与页帧数据库** MMPFN（Modified Page Frame Number）结构体是Windows内存管理的核心数据结构，位于**页帧数据库（MmPfnDatabase）**中，包含所有物理页的状态信息[^1][^3][^4]。 **关键操作：** ```bash # 获取MmPfnDatabase地址 kd> dq MmPfnDatabase fffff800`04119228 fffffa80`00000000 # 此为数据库起始地址 # 查看第一个MMPFN结构体（48字节） kd> dt _MMPFN fffffa80`00000000 +0x000 u1 : __unnamed +0x008 PteAddress : 0xffffe000`00000000 _MMPTE +0x010 u2 : __unnamed +0x018 u3 : __unnamed +0x020 OriginalPte : _MMPTE +0x028 u4 : __unnamed ``` **MMPFN核心字段解析：** - **PteAddress**：指向该物理页对应的PTE - **u4.e1.PageLocation**：物理页状态（0=零化,1=空闲,2=备用,3=已修改等）[^3] - **OriginalPte**：原始页表项内容 - **u3.ShareCount**：共享计数（用于共享内存分析） #### 2. **物理页状态链表分析** 系统通过`MmPageLocationList`维护6种状态的物理页链表[^3]： ```bash kd> dd MmPageLocationList 83e5b894 83f7c000 # MmZeroedPageListHead（已清零） 83f7c040 # MmFreePageListHead（空闲页） 83f7c080 # MmStandbyPageListHead（备用页） 83f7c0c0 # MmModifiedPageListHead（已修改页） ... ``` **链表遍历示例（备用页）：** ```bash kd> !list -t _MMPFN.u3.List -x "dt _MMPFN @$extret" 83f7c080 ``` #### 3. **页表项(PTE)与内存错误分析 PTE是虚拟地址到物理地址转换的关键结构，其状态决定内存访问行为[^2]： **PTE状态机分析：** ```bash # 查看虚拟地址的PTE kd> !pte 0x00400000 VA 00400000 PDE at C0600000 PTE at C0002000 contains 00000000`0400F867 contains 00000000`00000000 # P=0 表示无效 ``` **内存错误场景诊断：** | PTE状态 | 错误类型 | 处理机制 | 调试命令 | |----------------|---------------|---------------------------------|----------------------------| | `P=0`且全零 | 0xC0000005 | 检查VAD树[^2] | `!vad 地址` | | `P=0`非全零 | 页面文件回填 | 从pagefile.sys加载 | `!pte 地址; !pagefile` | | `P=1`但无权限 | 访问违例 | 检查PTE权限位 | `dt _MMPTE PTE地址` | | 转移状态(图c) | 软缺页 | 查询_MMPFN重建映射 | `!pfn 物理页号` | #### 4. **缺页异常(0xE)调试流程当访问无效PTE时触发缺页异常： 1. 检查IDT 0xE条目：`!idt 0xE` 2. 分析异常上下文：`.cxr; !analyze -v` 3. 诊断PTE状态： ```bash kd> !error c0000005 # 解码访问违例 kd> .process /p 进程EPROCESS # 切到目标进程 kd> !pte 故障地址 ``` #### 5. **物理页与虚拟地址互查** ```bash # 虚拟地址→物理页帧号(PFN) kd> !vtop 0 虚拟地址 # PFN→MMPFN结构 kd> !pfn PFN编号 PFN 00000 at address FFFFFA8000000000 flink 00000001 blink / share count 00000001 pteaddress FFFFE00000000000 ``` ### 关键数据结构关系 ```mermaid graph LR A[虚拟地址] -->|!pte| B(PTE) B -->|P=1| C[物理页] B -->|P=0| D{PTE状态} D -->|全零| E[!vad查VAD树] D -->|非全零| F[页面文件回填] C -->|PFN| G[!pfn查MMPFN] G --> H[物理页状态链表] H -->|MmPageLocationList| I[零化/空闲/备用等] ``` ### 典型问题排查流程 1. 捕获访问违例（0xC0000005） 2. 获取故障地址：`kb`查看调用栈 3. 检查PTE状态：`!pte 故障地址` 4. 若PTE无效： - 全零：`!vad`检查地址是否提交 - 非全零：`!pagefile`检查页面文件 5. 若PTE有效： - 检查权限位：`dt _MMPTE PTE地址` - 检查物理页状态：`!pfn PFN`