HcyRcer

摘要： 那么何为写拷贝, 在物理页中是没有写拷贝一说，但是为了方便线性地址的管理，所以有了 VAD 二叉树管理 在每个进程中都有一个 EPROCESS 结构体， 在 EPROCESS 结构体中有一个 VadRoot 属性， 其中管理着线性地址的 起始 和 结束 以及 虚拟属性，如图： 我们使用 WinDbg 阅读全文