内存WriteWatch跟踪技术

最新推荐文章于 2025-06-07 13:26:23 发布
转载 最新推荐文章于 2025-06-07 13:26:23 发布 · 1.9k 阅读 · 1

本文介绍了一个使用Windows API实现的内存监控程序,能够实时检测是否有第三方软件修改了特定内存区域,并通过创建线程来监控这些修改。此外,程序还实现了在检测到修改时暂停并恢复线程的功能。
部署运行你感兴趣的模型镜像 
#include <windows.h>
#include <stdio.h>

typedef struct _POSITION_
{
  DWORD dx;
  DWORD dz;
  DWORD dy;
}POSITION,*PPOSITION;

#define BASE_SIZE 0x1000
#define WALK_ADD 10
DWORD WINAPI WatchThread(LPVOID Param)
{
  ULONG size = 0;
  DWORD p = 0;
  UINT  Ret = 0;
  PVOID px[0x400] = { 0 };
  while (1)
  {
    size = 0x400;
    p = 0;
    Ret = GetWriteWatch(WRITE_WATCH_FLAG_RESET, Param, BASE_SIZE, px, &size, &p);
    if (Ret == 0
      && size != 0)
    {
      MessageBoxW(NULL, L"发现第三方软件修改关键内存", L"发现第三方软件", MB_OK);
    }
  }
  return 0;
}
int __cdecl main(int argc, char *argv[])
{
  //申请Base基址内存
  PVOID Base = VirtualAlloc(NULL, BASE_SIZE, MEM_RESERVE | MEM_COMMIT | MEM_WRITE_WATCH, PAGE_READWRITE);
  PPOSITION pos = (PPOSITION)Base;
  //初始化坐标
  pos->dx = pos->dy = pos->dz = 1000;
  //清空监控记录
  ResetWriteWatch(Base, BASE_SIZE);
  //开启监控线程
  HANDLE hThread = CreateThread(NULL, 0, WatchThread, Base, 0, NULL);
  while (1)
  {
    //暂停监控线程
    SuspendThread(hThread);//也可以通过其他方式进行!!!!暂停线程只是简单模型
    //模拟走路过程
    pos->dx += WALK_ADD;
    //继续监控
    ResetWriteWatch(Base, BASE_SIZE);
    ResumeThread(hThread);
    //输出X坐标
    printf("x = %d\n", pos->dx);
    Sleep(1000);
  }
  return 0;
}
无意翻到老V的帖子,怕忘记记录下

您可能感兴趣的与本文相关的镜像

Yolo-v8.3

Yolo-v8.3

Yolo

YOLO(You Only Look Once)是一种流行的物体检测和图像分割模型,由华盛顿大学的Joseph Redmon 和Ali Farhadi 开发。 YOLO 于2015 年推出,因其高速和高精度而广受欢迎

2024年内存泄露专题(5)动态内存追踪大杀器:bcc_bcc内存泄漏(1),2024年C C++开发陷入饱和
2401_84976527的博客
05-13 775
z MIN_SIZE 仅捕获大于或等于 MIN_SIZE 字节的分配。从内核中提取的数据量显着减少,代价是失去基于时间的误报过滤 (-o) 的能力。-o OLDER 仅打印早于 OLDER 毫秒的分配。-s SAMPLE_RATE 大致记录每个 SAMPLE_RATE-th 分配以减少开销。–wa-missing-free 弥补free的动作,以减轻free缺失时的误判。-Z MAX_SIZE 仅捕获小于或等于 MAX_SIZE 字节的分配。-a 打印除调用堆栈外未释放的分配列表(及其大小)。
windows内核学习-内存管理
weixin_45880501的博客
09-29 1493
内存管理 使用virtualkd+windbg+winxp sp3 进行双机调试, kd> ! process 0 0 查看所有进程 查看notepad.exe进程EPROCESS结构体 kd> dt _EPROCESS 81c502a0 0x11c VADRoot :是一个搜索二叉树的入口点 ,树的每一个节点记录了被占用的虚拟内存地址空间,这个搜索二叉树就是VAD树。 VAD的属性以及遍历 VAD是管理虚拟内存的,每一个进程有自己单独的一个VAD树 使用VirtualAlloca
内存管理之五 (转)
cuiji1279的博客
11-15 222
内存管理之五 (转)[@more@]Memory Management Functions (内存管理函数)XML:namespace prefix = o ns = "urn:schemas-microsoft-com:Off...
windows 用到的API总结和坑(持续更新11/09)
谢白羽
09-30 991
文章目录1.VirtualAlloc 函数 (memoryapi.h) 指定位置分配内存 1.VirtualAlloc 函数 (memoryapi.h) 指定位置分配内存 链接 https://docs.microsoft.com/en-us/windows/win32/api/memoryapi/nf-memoryapi-virtualalloc 语法 LPVOID VirtualAlloc( LPVOID lpAddress, SIZE_T dwSize, DWORD flAl
LWN:新增ioctl来检测内存被写入过!
Linux News搬运工
08-24 1163
关注了就能看到更多这么棒的文章哦~An ioctl() call to detect memory writesBy Jonathan CorbetAugust 10, 2023ChatGPT assisted translationhttps://lwn.net/Articles/940704/kernel 需要知道一个进程的内存是何时被写入的,这个用处很多,其中之一就是可以用来确定哪些页面(p...
规则引擎教程--变量跟踪
规则引擎
05-31 541
 功能概述     在规则包测试过程中,若要知道变量在每个规则中执行情况,变量在每个规则中值的变化情况,就可以对该变量进行“调试跟踪”。这样就可以把变量在每个规则、规则集的值赋值、变化、结果情况全部记录下来。这个变量即可以是“传入数据”中的变量,也可以是“临时数据”中的变量,也可以是“内存表”中的变量。   创建个名为“变量跟踪”的规则包,创建过程如下图所示:         ...
29、.NET 内存管理:记忆集与卡表技术解析
n2o3p4的博客
06-07 34
本文深入解析了 .NET 内存管理中的两个关键技术——记忆集(Remembered Sets)和卡表(Card Tables),它们用于处理跨代引用,确保垃圾回收的正确性和高效性。文章还探讨了记忆集和卡表的实现机制、性能优化策略,以及它们在不同 GC 模式下的应用,帮助开发者更好地理解 .NET 的内存管理机制并优化代码性能。
CreateProcess进程创建的内核跟踪分析
zjw1989
09-12 1102
<br />*[标题]:CreateProcess进程创建的内核跟踪分析<br />*[作者]:gz1X [gz1x(at)tom(dot)com]<br />*[来自]:中国黑客联盟 [CHU]<br /><br />    <br />*[正文]:<br /><br /><br />[实现流程]<br />——————————————————————<br />1.打开需要执行的文件(.exe);<br />2.创建执行体进程对象; //<-------重点<br />3.创建初始线程; /
断链实现: 在内核中很多数据使用_LIST_ENTRY,双向循环链表作为数据结构 typedef struct _LIST_ENTRY { struct _LIST_ENTRY *Flink; struct _LIST_ENTRY *Blink; } LIST_ENTRY, *PLIST_ENTRY; 首先要先了解EPROCESS,和KPROCESS两个重要的结构体; 每个windows进程在0环都有这样一个对应的结构体: nt!_EPROCESS +0x000 Pcb : _KPROCESS +0x098 ProcessLock : _EX_PUSH_LOCK 进程锁 +0x0a0 CreateTime : _LARGE_INTEGER 进程创建时间 +0x0a8 ExitTime : _LARGE_INTEGER 进程结束时间 +0x0b0 RundownProtect : _EX_RUNDOWN_REF +0x0b4 UniqueProcessId : Ptr32 Void PID进程id +0x0b8 ActiveProcessLinks : _LIST_ENTRY 活跃进程链表 双向循环链表 可断链 +0x0c0 ProcessQuotaUsage : [2] Uint4B 物理页相关统计 +0x0c8 ProcessQuotaPeak : [2] Uint4B +0x0d0 CommitCharge : Uint4B cpu占用信息 +0x0d4 QuotaBlock : Ptr32 _EPROCESS_QUOTA_BLOCK +0x0d8 CpuQuotaBlock : Ptr32 _PS_CPU_QUOTA_BLOCK cpu占用信息 +0x0dc PeakVirtualSize : Uint4B 虚拟内存相关统计 +0x0e0 VirtualSize : Uint4B +0x0e4 SessionProcessLinks : _LIST_ENTRY +0x0ec DebugPort : Ptr32 Void 调试相关≠0则被调试 +0x0f0 ExceptionPortData : Ptr32 Void +0x0f0 ExceptionPortValue : Uint4B +0x0f0 ExceptionPortState : Pos 0, 3 Bits +0x0f4 ObjectTable : Ptr32 _HANDLE_TABLE 句柄表 内核对象 +0x0f8 Token : _EX_FAST_REF +0x0fc WorkingSetPage : Uint4B +0x100 AddressCreationLock : _EX_PUSH_LOCK +0x104 RotateInProgress : Ptr32 _ETHREAD +0x108 ForkInProgress : Ptr32 _ETHREAD +0x10c HardwareTrigger : Uint4B +0x110 PhysicalVadRoot : Ptr32 _MM_AVL_TABLE +0x114 CloneRoot : Ptr32 Void +0x118 NumberOfPrivatePages : Uint4B +0x11c NumberOfLockedPages : Uint4B +0x120 Win32Process : Ptr32 Void +0x124 Job : Ptr32 _EJOB +0x128 SectionObject : Ptr32 Void +0x12c SectionBaseAddress : Ptr32 Void +0x130 Cookie : Uint4B +0x134 Spare8 : Uint4B +0x138 WorkingSetWatch : Ptr32 _PAGEFAULT_HISTORY +0x13c Win32WindowStation : Ptr32 Void +0x140 InheritedFromUniqueProcessId : Ptr32 Void 父进程id +0x144 LdtInformation : Ptr32 Void +0x148 VdmObjects : Ptr32 Void +0x14c ConsoleHostProcess : Uint4B +0x150 DeviceMap : Ptr32 Void +0x154 EtwDataSource : Ptr32 Void +0x158 FreeTebHint : Ptr32 Void +0x160 PageDirectoryPte : Uint8B +0x168 Session : Ptr32 Void +0x16c ImageFileName : [15] UChar 进程名最多存16个字符,截断 +0x17b PriorityClass : UChar +0x17c JobLinks : _LIST_ENTRY +0x184 LockedPagesList : Ptr32 Void +0x188 ThreadListHead : _LIST_ENTRY 双向循环链表 +0x190 SecurityPort : Ptr32 Void +0x194 PaeTop : Ptr32 Void +0x198 ActiveThreads : Uint4B 活跃线程数量 +0x19c ImagePathHash : Uint4B +0x1a0 DefaultHardErrorProcessing : Uint4B +0x1a4 LastThreadExitStatus : Int4B +0x1a8 Peb : Ptr32 _PEB PEB(process ENVIRONMENT BLOCK 进程环境块) +0x1ac PrefetchTrace : _EX_FAST_REF +0x1b0 ReadOperationCount : _LARGE_INTEGER +0x1b8 WriteOperationCount : _LARGE_INTEGER +0x1c0 OtherOperationCount : _LARGE_INTEGER +0x1c8 ReadTransferCount : _LARGE_INTEGER +0x1d0 WriteTransferCount : _LARGE_INTEGER +0x1d8 OtherTransferCount : _LARGE_INTEGER +0x1e0 CommitChargeLimit : Uint4B +0x1e4 CommitChargePeak : Uint4B +0x1e8 AweInfo : Ptr32 Void +0x1ec SeAuditProcessCreationInfo : 进程路径_SE_AUDIT_PROCESS_CREATION_INFO +0x1f0 Vm : _MMSUPPORT +0x25c MmProcessLinks : _LIST_ENTRY +0x264 HighestUserAddress : Ptr32 Void +0x268 ModifiedPageCount : Uint4B +0x26c Flags2 : Uint4B +0x26c JobNotReallyActive : Pos 0, 1 Bit +0x26c AccountingFolded : Pos 1, 1 Bit +0x26c NewProcessReported : Pos 2, 1 Bit +0x26c ExitProcessReported : Pos 3, 1 Bit +0x26c ReportCommitChanges : Pos 4, 1 Bit +0x26c LastReportMemory : Pos 5, 1 Bit +0x26c ReportPhysicalPageChanges : Pos 6, 1 Bit +0x26c HandleTableRundown : Pos 7, 1 Bit +0x26c NeedsHandleRundown : Pos 8, 1 Bit +0x26c RefTraceEnabled : Pos 9, 1 Bit +0x26c NumaAware : Pos 10, 1 Bit +0x26c ProtectedProcess : Pos 11, 1 Bit 保护进程 +0x26c DefaultPagePriority : Pos 12, 3 Bits +0x26c PrimaryTokenFrozen : Pos 15, 1 Bit +0x26c ProcessVerifierTarget : Pos 16, 1 Bit +0x26c StackRandomizationDisabled : Pos 17, 1 Bit +0x26c AffinityPermanent : Pos 18, 1 Bit +0x26c AffinityUpdateEnable : Pos 19, 1 Bit +0x26c PropagateNode : Pos 20, 1 Bit +0x26c ExplicitAffinity : Pos 21, 1 Bit +0x26c Spare1 : Pos 22, 1 Bit +0x26c ForceRelocateImages : Pos 23, 1 Bit +0x26c DisallowStrippedImages : Pos 24, 1 Bit +0x26c LowVaAccessible : Pos 25, 1 Bit +0x26c RestrictIndirectBranchPrediction : Pos 26, 1 Bit +0x26c AddressPolicyFrozen : Pos 27, 1 Bit +0x26c SpeculativeStoreBypassDisable : Pos 28, 1 Bit +0x270 Flags : Uint4B +0x270 CreateReported : Pos 0, 1 Bit +0x270 NoDebugInherit : Pos 1, 1 Bit +0x270 ProcessExiting : Pos 2, 1 Bit +0x270 ProcessDelete : Pos 3, 1 Bit +0x270 Wow64SplitPages : Pos 4, 1 Bit +0x270 VmDeleted : Pos 5, 1 Bit +0x270 OutswapEnabled : Pos 6, 1 Bit +0x270 Outswapped : Pos 7, 1 Bit +0x270 ForkFailed : Pos 8, 1 Bit +0x270 Wow64VaSpace4Gb : Pos 9, 1 Bit +0x270 AddressSpaceInitialized : Pos 10, 2 Bits +0x270 SetTimerResolution : Pos 12, 1 Bit +0x270 BreakOnTermination : Pos 13, 1 Bit +0x270 DeprioritizeViews : Pos 14, 1 Bit +0x270 WriteWatch : Pos 15, 1 Bit +0x270 ProcessInSession : Pos 16, 1 Bit +0x270 OverrideAddressSpace : Pos 17, 1 Bit +0x270 HasAddressSpace : Pos 18, 1 Bit +0x270 LaunchPrefetched : Pos 19, 1 Bit +0x270 InjectInpageErrors : Pos 20, 1 Bit +0x270 VmTopDown : Pos 21, 1 Bit +0x270 ImageNotifyDone : Pos 22, 1 Bit +0x270 PdeUpdateNeeded : Pos 23, 1 Bit +0x270 VdmAllowed : Pos 24, 1 Bit +0x270 CrossSessionCreate : Pos 25, 1 Bit +0x270 ProcessInserted : Pos 26, 1 Bit +0x270 DefaultIoPriority : Pos 27, 3 Bits +0x270 ProcessSelfDelete : Pos 30, 1 Bit +0x270 SetTimerResolutionLink : Pos 31, 1 Bit +0x274 ExitStatus : Int4B +0x278 VadRoot : _MM_AVL_TABLE +0x298 AlpcContext : _ALPC_PROCESS_CONTEXT +0x2a8 TimerResolutionLink : _LIST_ENTRY +0x2b0 RequestedTimerResolution : Uint4B +0x2b4 ActiveThreadsHighWatermark : Uint4B +0x2b8 SmallestTimerResolution : Uint4B +0x2bc TimerResolutionStackRecord : Ptr32 _PO_DIAG_STACK_RECORD +0x2c0 SequenceNumber : Uint8B +0x2c8 CreateInterruptTime : Uint8B +0x2d0 CreateUnbiasedInterruptTime : Uint8B +0x2d8 SecurityDomain : Uint8B _EPROCESS的第一个成员是KPROCESS nt!_KPROCESS +0x000 Header : _DISPATCHER_HEADER 可等待内核对象 +0x010 ProfileListHead : _LIST_ENTRY +0x018 DirectoryTableBase : Uint4B CR3 通过线性地址以及分页模式定位物理基地址 +0x01c LdtDescriptor : _KGDTENTRY +0x024 Int21Descriptor : _KIDTENTRY 历史遗留 +0x02c ThreadListHead : _LIST_ENTRY 双向循环链表 +0x034 ProcessLock : Uint4B 内核进程锁 +0x038 Affinity : _KAFFINITY_EX cpu亲核性 +0x044 ReadyListHead : _LIST_ENTRY 进程就绪列表 +0x04c SwapListEntry : _SINGLE_LIST_ENTRY交互磁盘 +0x050 ActiveProcessors : _KAFFINITY_EX 活跃核心 +0x05c AutoAlignment : Pos 0, 1 Bit 对齐 +0x05c DisableBoost : Pos 1, 1 Bit +0x05c DisableQuantum : Pos 2, 1 Bit 关闭时间碎片 +0x05c ActiveGroupsMask : Pos 3, 1 Bit +0x05c ReservedFlags : Pos 4, 28 Bits +0x05c ProcessFlags : Int4B +0x060 BasePriority : Char 基础优先级8,进程下所有线程最低的优先级 +0x061 QuantumReset : Char时间碎片 +0x062 Visited : UChar +0x063 Unused3 : UChar +0x064 ThreadSeed : [1] Uint4B +0x068 IdealNode : [1] Uint2B +0x06a IdealGlobalNode : Uint2B +0x06c Flags : _KEXECUTE_OPTIONS +0x06d AddressPolicy : UChar +0x06e IopmOffset : Uint2B +0x070 Unused4 : Uint4B +0x074 StackCount : _KSTACK_COUNT +0x078 ProcessListEntry : _LIST_ENTRY +0x080 CycleTime : Uint8B +0x088 KernelTime : Uint4B +0x08c UserTime : Uint4B +0x090 VdmTrapcHandler : Ptr32 Void //虚拟8086模式下使用 其中在_EPROCESS我们需要关注的是 ActiveProcessLinks 进程活跃链表 SessionProcessLinks 会话链表 ObjectTable 私有句柄表 其中在_KPROCESS我们需要关注的是 ProcessListEntry 进程链表 想要隐藏进程把所在数据的链表进程断链即可 //断链关键代码 FORCEINLINE BOOLEAN MyRemoveEntryList( _In_ PLIST_ENTRY Entry ) { PLIST_ENTRY PrevEntry; PLIST_ENTRY NextEntry; NextEntry = Entry->Flink; PrevEntry = Entry->Blink; if ((NextEntry->Blink != Entry) || (PrevEntry->Flink != Entry)) { return FALSE; } PrevEntry->Flink = NextEntry; NextEntry->Blink = PrevEntry; return (BOOLEAN)(PrevEntry == NextEntry); } // //断链 ProcessListEntry PLIST_ENTRY ProfileListHead = (PLIST_ENTRY)((PUCHAR)mypEProcess + 0x18); MyRemoveEntryList(ProfileListHead); //断链 struct _LIST_ENTRY ThreadListHead; //0x30 PLIST_ENTRY ThreadListHead = (PLIST_ENTRY)((PUCHAR)mypEProcess + 0x30); MyRemoveEntryList(ProfileListHead); //断链struct_LIST_ENTRYSessionProcessLinks PLIST_ENTRY essionProcessLinks = (PLIST_ENTRY)((PUCHAR)mypEProcess + get_eprocess_session_offset()); MyRemoveEntryList(essionProcessLinks); //断链 private ObjectTable _HANDLE_TABLE* table= (_HANDLE_TABLE*)((PUCHAR)mypEProcess + get_eprocess_objecttable_offset()); MyRemoveEntryList(table->HandleTableList); 当然仅仅断链是不够的,因为操作系统还有一张全局句柄表PspCidTable,其中存储了线程和进程,我们还需要把我们的进程从全局句柄表中抹除,可以使用ExDestroyHandle _int64 __fastcall ExDestroyHandle(__int64 a1, __int64 a2, __int64 a3) { unsigned int v6; // ebx if ( *(_QWORD *)(a1 + 96) ) ExpUpdateDebugInfo(a1, KeGetCurrentThread(), a2, 2i64); v6 = ExSweepSingleHandle(a1, a3); ExpFreeHandleTableEntry(a1, a2, a3); return v6; } if (instance->fn_get_os_build_number() == 7600 || instance->fn_get_os_build_number() == 7601) table_code = ((PHANDLE_TABLE_W7)table)->TableCode; else table_code = table->TableCode; auto level = table_code & 3; if (level == 1) { return (PHANDLE_TABLE_ENTRY)(*(uint64_t*)(table_code - 1 + 8 * (u_handle >> 10)) + 4 * (u_handle & 0X3FF)); } else if (level == 2) { return (PHANDLE_TABLE_ENTRY)(*(uint64_t*)(*(uint64_t*)(table_code - 2 + 8 * (u_handle >> 19)) + 8 * (u_handle >> 10 & 0X1FF)) + 4 * (u_handle & 0x3ff)); } else { return (PHANDLE_TABLE_ENTRY)(table_code + 4 * (u_handle & 0x3ff)); } 注:高版本对全局句柄表有加密 实验: 隐藏前DebugView 8404 隐藏后 需要注意,关闭进程前需要还原全局句柄表,不然会蓝屏; 其次在高版本系统上PG增加了对隐藏进程的检测,有概率触发蓝屏,不过没那么快,运气好能挺好几个小时; 具体的隐藏进程完整代码可以参考一份开源的:https://github.com/Oxygen1a1/HideProcess 那么问题来了,如果恶意软件隐藏自己的进程我们如何查询呢? 思考:进程是给用户看的,CPU不认识进程,代码也是跑在线程上面的 ,最重要的是cpu线程的调度是基于某些链表进行调度的,如果把cpu调度链表也断了,进程也就跑不起来了,可谓是真正实现了无痕进程隐藏;其次内核中有很多链表都能回溯到进程信息。 本人采用的方法是通过遍历枚举线程去回溯到进程,在 _ETHREAD中_CLIENT_ID储存了当前线程所属的进程id //0x10 bytes (sizeof) struct _CLIENT_ID { VOID* UniqueProcess; //0x0 VOID* UniqueThread; //0x8 }; 查询恶意隐藏进程思路:正常调用API遍历进程并存储表A,暴力枚举线程回溯进程并存储表B,如果B中的进程在A中找不到基本可以判断进程进行了隐藏。 完善隐藏进程代码,方便学习
最新发布
11-28
### 基于 `_LIST_ENTRY` 双向循环链表断链实现进程隐藏代码完善 ```c #include // 定义 EPROCESS 结构体,这里简化表示 typedef struct _EPROCESS { LIST_ENTRY ActiveProcessLinks; // 其他成员 ...
0x00007FF9518E4F46 (Qt5Gui.dll)处(位于 zw3d.exe 中)引发的异常: 0xC0000005: 读取位置 0x0000000000000000 时发生访问冲突。
11-22
__writewatch(&suspiciousPtr, sizeof(void*)); // VS专用 // 或使用qDebug输出指针值 qDebug() (suspiciousPtr); ``` #### 步骤3:启用Qt诊断 在`main.cpp`中添加: ```cpp #include #include int main(int ...
每隔1s监控系统磁盘、内存、负载使用情况脚本(case语句练习)
weixin_45792518的博客
04-01 501
需求: 编写system_watch.sh脚本,监控系统disk memory upload (每秒显示)情况 disk 监控磁盘使用情况 memory 监控内存使用情况 upload 监控启动负载 脚本: #!/bin/bash case $1 in disk|DISK) ##脚本名称后第一个参数为disk或DISK时,执行以下命令 watch -n 1 df -...
Windows虚拟内存的使用(一)
12-28 1439
虚拟内存API:   VirtualAlloc:虚拟内存的申请   VirtualFree:虚拟内存的释放 /************************************************************************/ /* 功能:以直接预定并提交方式进行虚拟内存申请和赋值 参数:无 返回:无 */ /*************************
关于dll注入方式的学习(远程线程注入)
2201_75856701的博客
02-11 533
的地址(由于Windows引入了基址随机化ASLR安全机制,所以导致每次开机启动时系统DLL加载基址都不一样,有些系统dll(kernel,ntdll)的加载地址,允许每次启动基址可以改变,但是启动之后必须固定,也就是说两个不同进程在相互的虚拟内存中,这样的系统dll地址总是一样的),在注入进程中创建线程(PAGE_GUARD: 区域第一次被访问时进入一个STATUS_GUARD_PAGE异常,这个标志要和其他保护标志合并使用,表明区域被第一次访问的权限。PAGE_READONLY: 该区域为只读。
Windows内存管理
tuhuolong的专栏
03-16 1510
关于内存管理        32位的Windows系统,每个进程都有4GB内存(Gigabytes)大小的虚拟内存空间可以寻址(因为32位指针可以使用从0x00000000 – 0xFFFFFFFF内的任何一个值),而64位的Windows系统,每个进程有8TB(Terabyt
Windows系统的内存管理
★果冻★的专栏
11-27 4329
关于内存管理       32位的Windows系统,每个进程都有4GB(Gigabytes)大小的虚拟内存空间可以寻址(因为32位指针可以使用从0x00000000 – 0xFFFFFFFF内的任何一个值),而64位的Windows系统,每个进程有8TB(Terabytes)大小的虚拟内存空间可以寻址(因为64位指针可以使用从0x0000000000000000 – 0xFFFFFFFFFF
017 虚拟内存2
afqz46812的博客
07-13 147
用户地址空间   ●内存的分配     ○ 当进程被创建并赋予它的地址空间时,该可用地址空间的主体是空闲的,即未被分配的。       若要使用该地址空间的各个部分,必须通过调用 VirtualAlloc函数来分配它里边的各个区域。       每当你保留地址空间的一个区域时,系统要确保该区域从一个分配颗度的边界开始。       当你保留地址空间的一个区域时,系统...
windows虚拟内存管理
Masimaro的专栏
07-21 7537
内存管理是操作系统非常重要的部分,处理器每一次的升级都会给内存管理方式带来巨大的变化,向早期的8086cpu的分段式管理,到后来的80x86 系列的32位cpu推出的保护模式和段页式管理。在应用程序中我们无时不刻不在和内存打交道,我们总在不经意间的进行堆内存和栈内存的分配释放,所以内存是我们进行程序设计必不可少的部分。 CPU的内存管理方式 段寄存器怎么消失了? 在学习8086汇编语
IsBadWritePtr和IsBadreadPtr
q304929130的专栏
06-14 2305
函数原型: BOOL IsBadReadPtr(CONST VOID *lp,UINT_PTR ucb); 参数: lp 表示要检查的内存指针 ucb 要检查的内存块的大小 返回: 如果调用进程有权限访问该内存,返回0 否则,返回非0 说明: 该函数检查调用进程是否有读取指定内存的内容的权限,微软提供的32位操作系统下的API
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值