• 957阅读
  • 1回复

Windows分页管理机制的学习(一)实践2 [复制链接]

上一主题 下一主题
离线啊冲
 

只看楼主 倒序阅读 使用道具 楼主  发表于: 2016-02-04



(二)针对开启PAE模式来进行分析


测试机器Win7 32位系统:(Dbgview.exe程序的线性(虚拟)地址与物理地址的对应)
根据读INTEL手册可知,开启了PAE模式后线性(虚拟)地址的结构发生了变化(开启PAEPDE4*4kb,每项8byte )

30~31位变成了PDPTE

首先在虚拟机中打开OD,加载Dbgview.exe记录下入口点地址:00415757


将线性(虚拟)地址转化为二进制后:00000000 01000001 01010111 01010111
根据INTEL手册进行分段:
00       000000010     000010101     011101010111
PDPTE    PDE      PTE          物理地址

打开WindDbg,查看DebugView EPROCESS==>KPROCESS==>DirectoryTableBase

为0x7ed17600

PDPTE:00 ==0 ==5bc8e801 ==》 起始地址:5bc8e000
由于PDE000000010 ==0x2 所以有:

403dc867 ==》 起始地址: 403dc000
由于PTE 000010101 ==0x15 所以有:

3d7f2005 ==》 起始地址: 3d7f2000
由于物理地址:011101010111 ==0x757
所以:

对比OD加载的虚拟机地址处的机器码:

一致!接下来修改物理地址:!eb 3d7f2757 80 执行完毕后查看OD~


对应的也修改了,说明找到物理地址是正确的!

善者 慈悲心常在 无怨无恨 以苦为乐
默认压缩密码www.hifyl.com
文件分享密码问题:http://www.hifyl.com/read-htm-tid-4444.html
离线v2680267313

只看该作者 沙发  发表于: 2016-04-30
用户被禁言,该主题自动屏蔽!
快速回复
限100 字节
批量上传需要先选择文件,再选择上传
 
上一个 下一个