windbg遍历进程页表查看内存
2016-12-09
近期想查看下系统分配了的页的页表项的标志位,但是发现资料较少,所以还是记录下,希望可以对某些朋友有所帮助!
系统:win7 32位虚拟机
平台:KVM虚拟化平台
win7 32位默认是开启了PAE分页模式的,PAE分页模式本质上和普通的32位分页并无区别,只是页表结构和虚拟地址的划分有所不同,这点就不单独讲述,感兴趣可参考另一篇博文:PAE 分页模式详解
首先写了一件简单的内核NT驱动,分配了一个页的内存,然后写入数据0xa1b2c3d4
加载驱动:
看到申请的内存的地址是0x85d55000,我们直接看下这块内存:
确实是我们写入的数据,然后开始查看页表,首先获取的是页表基地址,我们通过当前进程查看:
可以看到页基址是7ee47400,这正是当前CR3寄存器保存的页基址,该地址指向一个页目录指针表(page-directory-pointer-table),需要注意的是该表一共有4个表项,每个表项八个字节,并且在PAE模式下,地址转换不直接使用CR3寄存器,而是第一级的页目录指针分配了四个PDPTE寄存器,每个保存一个页目录指针,但是也目录指针寄存器的值却是来源于CR3指向的页目录指针表。所以我们仍然可以直接利用CR3来寻址。
我们先分解下目标虚拟地址:
按照 结构分成四部分:10 000101110 101010101 000000000000,对应16进制:0x2 0x2e 0x155 0x0
查看7ee47400内容,由于表项是8字节,所以使用dq(大小端模式问题)
根据虚拟地址,知道该地址对应表中第三项,即图中标记的表项,取物理页框号+偏移得:4595b000+0x2e*8=4595b170
查看该地址:
对应的表项内容为05e07863,同样取物理页框号+偏移得:05e07000+0x155*8=05e07aa8
查看地址内容:
得到表项内容为7fe95963 ,这个就是这个就是最终的PTE了,即指向一个4KB 页面,物理页框号为7fe95000,而由于我们是申请的就是一个页,即页内偏移为0,所以这里同样也是我们虚拟地址对应的物理地址
查看内容:
至此,整个查表过程就完成了。