Windows内核分析索引目录：https://www.cnblogs.com/onetrainee/p/11675224.html

10-10-12 分页机制

1. CPU是如何通过线性地址查找物理地址的？

2. MMU是什么？

3.CPU内存管理内部大体结构框架？

4.会写、直接、不缓存什么概念？

5.CR3、PDE、PTE之间的关系？

6.用一进程的内存结构分析

7.操作系统与CPU的页密度

8.使用!vtop指令解析物理地址

9.通过挂物理页来实现0地址读写

10.修改PDE与PTE属性来实现对只读内存(字符串)的操作

11.页属性的A位、D位(Dirty脏位)与G位的说明

12.PDE的PS位(大页)

1. CPU是如何通过线性地址查找物理地址的？

通过一块MMU内存控制单元

2. MMU是什么？

内存管理单元，是一个模块(我们也可以看成一个函数)。

物理地址 func(CR3，线性地址);

其就是将线性地址按我们的步骤拆分成物理地址(10-10-12)。

3.CPU内存管理内部大体结构框架？

4.回写、直接、不缓存什么概念？

三者都是针对缓存来讲的。

1)回写：先写到缓存，等一会数据量够了再写到内存中。

2)直写：写到缓存的同时直接写到内存中。

3)不缓存：不经过缓存，直接写到内存中。

5.CR3、PDE、PTE之间的关系？

6.用一进程的内存结构分析

将一全局变量的程序运行两份进程，地址同时打印出来，然后观察两者的PTE结构。

结论，一个程序运行多份，挂的不是同一个物理页。

Failed to get VadRoot

PROCESS 815d78b0  SessionId: 0  Cid: 00fc    Peb: 7ffdf000  ParentCid: 0604

DirBase: 18d4f000  ObjectTable: e21786b8  HandleCount:   7.

Image: pteTest.exe

Failed to get VadRoot

PROCESS 81e96528  SessionId: 0  Cid: 00d8    Peb: 7ffd5000  ParentCid: 0604

DirBase: 193d7000  ObjectTable: e21f4ea8  HandleCount:   7.

Image: pteTest.exe

第一种情况

18d4f000

18c5a000

18943000

18943a30 02

第二种情况

193d7000

19670000

1950a000

1950aa30  02

7.操作系统与CPU的页密度

操作系统以64K为单位，CPU以4K为单位。

因此申请一块内存，最小不是4K而是一次64K，但是在内核记录时却被记录成多个4K的页的个数。

8.使用!vtop指令解析物理地址

对于分页的拆分，我们往往得到进程的CR3然后手动来拆分，当然如果我们熟练的话，可以直接使用!vtop指令。该指令会手动地帮助我们拆分物理地址。

!vtop [CR3地址] [物理地址]

使用效果：

kd> !vtop 1a3c9000 425a30

X86VtoP: Virt 0000000000425a30, pagedir 000000001a3c9000

X86VtoP: PDE 000000001a3c9004 - 19f1d067 (PDE)

X86VtoP: PTE 0000000019f1d094 - 1a286067 (PTE)

X86VtoP: Mapped phys 000000001a286a30 (物理地址)

Virtual address 425a30 translates to physical address 1a286a30.

9.通过挂物理页来实现0地址读写

线性地址0本质就是没有挂物理页，只要我们挂上物理页很容易实现

源代码：

#include "stdafx.h"

int x = 123;

int main(int argc, char* argv[])

{

printf("%x\n",&x);

getchar();

getchar();

getchar();

printf("%d\n",*(int*)0);

return 0;

}

操作方法：通过查看变量x的地址来获取其物理页的PDE、PTE，在windbg中修改零地址对应的PDE、PTE(其实只修改PTE即可，一般就是该位置为0)，然后你发现就可以读取数据并不会报错。

10.修改PDE与PTE属性来实现对只读内存(字符串)的操作

注意：限制可能还被段限制，但一般是页限制，因为段一次就要限制很多，一般不会做过多限制。

我们知道PDE与PTE的后三位代表属性，具体属性见下图：

其该物理页的最终属性是 PDE & PTE 的结果。

我们结合!vtop指令，能让本来不可写的内存改为可写，具体操作如下。

#include "stdafx.h"

int main(int argc, char* argv[])

{

char *str = "abc";

printf("%x",str);

getchar();

getchar();

getchar();

str[0] = 'b';

printf("%s",str);

return 0;

}

其该地址 !vtop 解析的结果:

kd> !vtop 0de1d000 423020

X86VtoP: Virt 0000000000423020, pagedir 000000000de1d000

X86VtoP: PDE 000000000de1d004 - 0b925067

X86VtoP: PTE 000000000b92508c - 03014025

X86VtoP: Mapped phys 0000000003014020

Virtual address 423020 translates to physical address 3014020.

通过分析可以看出是其PTE的属性加以修改和限制，我们来修改这个即可。

!dq b92508c  03014067

之后运行程序，就可以发现其被修改。

11.页属性的A位、D位(Dirty脏位)与G位的说明

TLB存储缓存时当写满了会进行优化，然后找到最差的将其删除，来空出位置添加新的。

A表示访问，D表示写入，G表示不可删除。

TLB表中存在A位与D位的计数索引，来达到优化的目的，但是如果G位为1，则及时其是性能最差的，其CPU也不会将其从TLB中删除的。

12.PDE的PS位(大页)

大页是以4M为一个单位，当你一次申请100M的内存时，其可能给你分配个大页。

当遇到大页时，其没有PTE，后面22位就是偏移地址，在PDE的基础上来计算其偏移地址就好，这很好理解。

来源：https://www.cnblogs.com/onetrainee/p/12512847.html