你正在下载：《

透过MmIsAddressValid看Windows分页机制.docx

》 [预览]

格式：DOCX ，页数：11 ，大小：245.05KB ,
资源ID：11589510 下载积分：3 金币

快捷下载

登录下载

邮箱/手机：
温馨提示：	快捷下载时，用户名和密码都是您填写的邮箱或者手机号，方便查询和重复下载（系统自动生成）。如填写123，账号就是123，密码也是123。
特别说明：	请自助下载，系统不会自动发送文件的哦；如果您已付费，想二次下载，请登录后访问：我的下载记录
支付方式：
验证码：	换一换

加入VIP,免费下载

温馨提示：由于个人手机设置不同，如果发现不能下载，请复制以下地址【https://www.bdocx.com/down/11589510.html】到电脑端继续下载（重复下载不扣费）。

已注册用户请登录：

账号：
密码：
验证码：	换一换
当日自动登录忘记密码？

三方登录：

1: 本站所有资源如无特殊说明，都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档，如果标题没有明确说明有答案则都视为没有答案，请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台，并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容，请与我们联系，我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

本文（透过MmIsAddressValid看Windows分页机制.docx）为本站会员（b****4）主动上传，冰豆网仅提供信息存储空间，仅对用户上传内容的表现方式做保护处理，对上载内容本身不做任何修改或编辑。若此文所含内容侵犯了您的版权或隐私，请立即通知冰豆网（发送邮件至service@bdocx.com或直接QQ联系客服），我们立即给予删除！

透过MmIsAddressValid看Windows分页机制.docx

1、透过MmIsAddressValid看Windows分页机制标题:【原创】透过MmIsAddressValid看Windows分页机制作者:combojiang时间:2008-03-16,00:53:01链接:这两天在逆向分析MmIsAddressValid这个函数，学习了下PAE分页机制,并且也发现了一个问题。就是本机ntoskrnl中导出的MmIsAddressValid函数是采用非PAE方式的，而本机XPSP2系统采用的却是PAE方式的分页机制。这个可以通过windbg中看到。在这里写出来与大家分享。关于PAE(PhysicalAddressExtension物理地址扩展)是In

2、telx86PentiumPro处理器引入的一种内存映射模式。在此模式下CPU可以访问多达64GB的物理内存。在PAE模式下PDE和PTE为64位，而不是原来的32位。其结构如下：lkddt_hardware_ptent!_HARDWARE_PTE+0x000Valid:Pos0,1Bit+0x000Write:Pos1,1Bit+0x000Owner:Pos2,1Bit+0x000WriteThrough:Pos3,1Bit+0x000CacheDisable:Pos4,1Bit+0x000Accessed:Pos5,1Bit+0x000Dirty:Pos6,1Bit+0x000LargeP

3、age:Pos7,1Bit+0x000Global:Pos8,1Bit+0x000CopyOnWrite:Pos9,1Bit+0x000Prototype:Pos10,1Bit+0x000reserved0:Pos11,1Bit+0x000PageFrameNumber:Pos12,26Bits+0x000reserved1:Pos38,26Bits+0x000LowPart:Uint4B+0x004HighPart:Uint4B以上具体理论部分可以看下intel的v3.SystemProgrammingGuide。上面有这两种分页方式的介绍。非PAE分页，理论部分，看图，分4K和4M两种页。

4、下面是ida看到的ntoskrnl.exe中导出的MmIsAddressValid。.text:0040C661;BOOLEAN_stdcallMmIsAddressValid(PVOIDVirtualAddress).text:0040C661publicMmIsAddressValid.text:0040C661MmIsAddressValidprocnear;CODEXREF:sub_40D65E+Cp.text:0040C661;sub_415459:loc_415470p.text:0040C661.text:0040C661VirtualAddress=dwordptr8.text

5、:0040C661.text:0040C661;FUNCTIONCHUNKAT.text:0041B84ESIZE00000007BYTES.text:0040C661;FUNCTIONCHUNKAT.text:0044A4F2SIZE00000019BYTES.text:0040C661.text:0040C661movedi,edi.text:0040C663pushebp.text:0040C664movebp,esp.text:0040C666movecx,ebp+VirtualAddress.text:0040C669moveax,ecx.text:0040C66Bshreax,14

6、h;右移20位.text:0040C66Emovedx,0FFCh;取高10位.text:0040C673andeax,edx.text:0040C675subeax,3FD00000h;加上0xc0300000.text:0040C675;PDE=(VA22)12)22)12)22)12)uMmIsAddressValidl50nt!MmIsAddressValid:80510fa08bffmovedi,edi80510fa255pushebp80510fa38becmovebp,esp80510fa551pushecx;申请空间EBP-480510fa651pushecx;申请空间EBP-880510fa78b4d08movecx,dwordptrebp+8;取参数，虚拟地址80510faa56pushesi80510fab8bc1moveax,ecx80510fadc1e812shreax,12h;右移12H(18位,相当于213),即线性地址高11位（32-21）代表页目录索引，而页目录中每;个索引占8个字节，故该索引在页目录中的相对偏移位置是页目录索引*8，也就是1212)21)12)3)&0x7FFFF8+0xC0000000;PTEContext=(ULONG)*(PVOID)PTE;if(!(PTEContext&P