如何在Windows中从内核模式查找进程所使用的内存

在Windows中，可以通过以下步骤从内核模式查找进程所使用的内存：

获取进程的EPROCESS结构体：EPROCESS是Windows内核中表示进程的数据结构。可以通过遍历系统的进程链表或使用PsLookupProcessByProcessId函数来获取指定进程的EPROCESS结构体。
遍历进程的虚拟内存描述符（VAD）树：每个进程都有一个虚拟内存描述符树，用于管理进程的虚拟内存空间。可以通过遍历进程的VAD树来获取进程所使用的内存区域。
分析VAD节点：对于每个VAD节点，可以通过分析其属性来确定该内存区域的类型和属性。常见的VAD属性包括可执行、可读、可写、可共享等。
获取内存区域的物理页框：对于需要查找的内存区域，可以通过遍历VAD节点的页表来获取对应的物理页框。可以使用MmGetPhysicalAddress函数将虚拟地址转换为物理地址。
分析物理页框的内容：获取物理页框后，可以进一步分析其内容。这可能涉及到解析数据结构、查找特定的模式或标志等。

需要注意的是，从内核模式查找进程所使用的内存是一项复杂的任务，需要对Windows内核的工作原理和数据结构有深入的了解。此外，由于涉及到内核模式编程，需要使用适当的内核调试工具和技术。

腾讯云提供了一系列与云计算相关的产品，包括云服务器、云数据库、云存储等。这些产品可以帮助用户在云端部署和管理应用程序，提供高可用性、弹性扩展和安全性等优势。具体的产品介绍和链接地址可以参考腾讯云的官方网站：https://cloud.tencent.com/

内存分析- VAD标记和代码注入

windows、memory、memory-management、code-injection

我正在做一项关于内存取证的研究，目前我需要学习通过几种技术在内存中找到代码注入的方法。其中一种方法是使用VAD标签进行代码注入。我试图找出什么是VAD和什么是VAD标签，但我就是找不到一个简单的解释。我唯一理解的是VAD是一种win32结构，它与进程的地址空间有关。但我不明白VAD到底做了什么，你如何使用它注入你的代码，以及你如何发现RAM中使用VAD标签的代码注入。如果你能指导我解决这个问题，我将不胜感激。谢谢:)

浏览 4提问于2013-12-25得票数 5

2回答

Linux内核空间和用户空间

kernel、space

我不知道内核和用户空间究竟是如何构造的，以及占用的内存的哪些部分。我目前(可能错了)的理解是：创建一个进程，该进程的虚拟内存被划分为用户空间和内核空间区域，其中用户空间区域包含进程的数据、代码、堆栈、堆等，内核空间区域包含进程的页表和内核代码。我不确定be...driver代码或类似的内核代码会是什么？另外，系统调用表是否总是映射到进程内核空间中的同一区域？(说“进程的内核空间”是正确的吗？如果我编写自己的驱动程序/模块并插入它，那么该驱动程序代码会自动复制到创建的每个新进程的内核空间中吗？如果not...how正是这样做的话？预先感谢您的任何投入，可以帮助澄清我的

浏览 3提问于2013-06-20得票数 12

回答已采纳

1回答

如何将虚拟地址(WinDbg)转换成物理地址？

windows、memory-management、windbg、paging、virtual-address-space

好像我不明白什么。我正试图在VirtualBox下将VA翻译成Windows 10上的PA (VirtualBox)。我用来做这个。我设置了一个本地内核调试器(bcedit)，并将作为一个测试应用程序启动。然后我启动了WinDbg，连接到内核并获得活动进程： !process 0 0 找到我的测试应用程序： PROCESS a6bd7900 SessionId: 1 Cid: 0988 Peb: 7ffd9000 ParentCid: 0840 DirBase: ba9ac3c0 ObjectTable: acaeedc0 HandleCount: <D

浏览 21提问于2019-10-04得票数 2

1回答

Linux内核虚拟内存中的直接映射

linux、linux-kernel、virtual-memory、mmu

正如在中所指出的，内核虚拟内存( IA-32地址空间中的前1GB )被划分为内核逻辑地址和内核虚拟地址。内核逻辑地址直接映射，这意味着您可以通过减去某个(0xC0000000)值将虚拟地址映射到物理地址。对于移动btwn映射，定义了一对宏：__pa()和__va()。我的问题是：“这些宏的用途是什么？”和：“直接映射的好处是什么？”。我听说直接映射允许使用更大的页面(例如，4MB)，从而导致更高效的翻译。直接映射区域的翻译是否使用页表执行？

浏览 9提问于2017-04-13得票数 3

1回答

进程的页表是否映射到内核地址空间？

windows、systems-programming、virtual-address-space、page-tables

我在做Windows系统编程，想知道我是否可以在源代码级别上访问进程的页面表。以下是我对与虚拟内存相关的页表的了解。让我们假设一个用户只是在Windows操作系统(32位)上运行一个名为'A‘的进程。首先，操作系统为进程创建和维护4GB虚拟地址空间。 (其中2GB是内核地址空间，其他2GB是用户地址空间。用户地址空间中的任何代码都不能直接访问内核地址空间。) 然后，操作系统为物理内存中的一个进程创建并维护一个页面表，以将虚拟内存地址映射到物理内存地址。这是我的问题。在OS为A进程创建页表之后，该页表是否映射到A的内核地址空间，以便用户可以从源代码间接访问页表？或者页面表没

浏览 4提问于2017-01-04得票数 0

回答已采纳

3回答

操作系统内核数据的定位

operating-system、location、kernel、heap-memory、stack-memory

我是一个操作系统初学者，我有一个关于操作系统内核的问题。我已经习惯了每个用户进程都有一个包含堆栈、堆、数据和代码的虚拟地址空间的标准概念。我的问题是，当OS内核发生上下文切换时，内核中运行的代码是否被视为具有堆栈、堆、数据和代码的进程？我知道有一个专用的内核堆栈，用户程序无法访问它。这是否位于用户程序地址空间？我知道操作系统需要维护一些数据结构来完成它的工作，比如进程控制块。这些数据结构位于哪里？他们在用户程序地址空间吗？它们是否位于内核数据结构的专用内存段中？它们是否散落在有空间的物理记忆周围？最后，我看到了一些图表，其中OS代码位于用户程序地址空间的顶部。整个操作系统内核都在这里吗

浏览 0提问于2019-01-08得票数 5

2回答

内核虚拟内存空间与进程虚拟内存空间

memory、memory-management、linux-kernel、virtualization

我在阅读第9.7.2章:Linux虚拟内存系统(第三版)中关于虚拟内存的教科书:计算机系统--程序员的观点。我对linux进程的虚拟内存结构感到有点困惑，如下所示：我的问题是:内核虚拟内存是否为内核运行保留，而虚拟内存的其余部分是否为用户进程保留？内核代码和数据是做什么的？内核虚拟内存中的物理内存是什么？

浏览 6提问于2020-02-05得票数 2

回答已采纳

2回答

Windows内存工作方式.页表和数据

windows、memory、ram、virtual-memory、page-tables

我试着理解以下几点：我知道页面表是为虚拟内存和物理内存之间的转换而构建的，在某种程度上是由虚拟内存管理器实现的。由于一个系统上有许多进程在运行，即使一次只有进程处于活动状态，我想知道非活动进程的页表是否在任何时候被移动到页面文件中？考虑到较低的2GB区域是为windows保留的，windows将为系统上的所有进程保留页表是有意义的。尽管如果切换了当前进程，那么将它们移动到页面文件也是有意义的？也适用于可写(数据)页面。windows是否会将所有进程的所有数据页保存在内存中，或者在某个时候将它们移动到页面文件中。在我的机器上，任务管理器说，3GB的内存中有1.5GB内存，性能选项卡中有1.5G

浏览 1提问于2011-09-07得票数 1

3回答

堆是否在内存页上分配？

linux、memory

在Linux x86-64环境中，整个进程是否分配在虚拟内存页面上？我所说的整个过程是指文本、数据、bss、堆和堆栈？另外，当libc调用Brk时，内核是否返回由虚拟内存管理器通过分页管理的内存？最后，进程能否获得堆上的内存，而堆不是由虚拟内存管理器管理的，换句话说，进程能否访问物理内存？

浏览 4提问于2011-12-31得票数 1

3回答

进程的虚拟地址范围

linux、memory、process、operating-system、linux-kernel

简而言之:进程的虚拟地址空间是连续的吗？我需要知道一些关于内核分配给进程的虚拟地址的信息。如果我说错了，请纠正我。在创建进程时，内核为进程分配虚拟内存，并将进程不同段的虚拟地址的开始和结束存储在task_struct的mm_struct中。现在假设a进程已经用完堆，需要增加堆size.calls brk()。如果虚拟地址范围是连续的，那么新分配的堆区块是从最初为该进程分配的范围之外提供的吗？或者它是以新块与原始块相邻的方式分配的。如果没有空间(因为内存映射段就在那里)，该怎么办呢？它是如何被跟踪的？如果虚拟地址范围不是连续的，vm_struct如何跟踪堆(或任何其他段)的地址范围的不同

浏览 1提问于2011-05-08得票数 6

1回答

i386 C进程-在剩余的1GB可寻址空间中会发生什么？

c、memory、heap-memory、stack-memory

据记录，堆上分配的变量存储在低地址区域，并向堆栈增长，反之亦然。我决定测试一下： #include <stdio.h> #include <stdlib.h> const char my_const_global_var = '0'; char my_global_var = '0'; int main(void) { char my_stack_var = '0'; char* my_heap_var = (char*) malloc(1); *my_heap_var = '0'

浏览 1提问于2014-09-17得票数 0

回答已采纳

2回答

如何从memfd_create中获取内存地址？

shared-memory、mmap

在我的应用程序中，我需要在父级和子级之间共享内存(使用fork+execl)。我使用memfd_create来分配内存，因为它提供了一个文件描述符，它可以方便地在子进程中使用( discriptor通过dup2绑定到stdin，而不是execl)来附加到分配的内存。我不使用write和read --我使用指针直接读写内存。剩下要解决的唯一难题是如何获得通过fd = memfd_create ...分配的内存地址。使用mmap是不可取的，因为它重复内存，而不是给出memfd_create已经分配的内存地址。下面的代码演示了这一点。在其输出中，每个mmap地址都由4096递增，这是fd引用

浏览 0提问于2018-03-30得票数 2

回答已采纳

1回答

我能用一个过程中的PTEs来表示物理记忆的片段，在另一个过程中创建合适的PTEs吗？

c、linux、memory-management、linux-kernel、posix

当我们在Linux中使用函数mmap (,,, MAP_ANON | MAP_SHARED);时，对于同一区域的物理内存(在进程之间分配的)是分配虚拟内存页(PTEs)。这些PTE从一个进程的页表复制到另一个进程的页表(具有相同的物理地址分配内存片段序列)，这是真的吗？但是mmap ()需要在fork ()之前完成。如果我们已经有了两个工作过程(即fork ()之后)，那么我们需要为mmap()使用一个文件。哪些函数用于在两个已经建立的进程之间复制PTE的机制以创建共享内存？我能用PTEs /SGL(分散-聚集-列表)来指示物理内存的碎片，这些内存被分配给使用linux内核在其他进程中创建

浏览 1提问于2013-12-01得票数 1

3回答

操作系统内核是否为自己使用虚拟内存？

operating-system、virtual-memory

操作系统内核是否使用虚拟内存，或者操作系统内核的某些部分是否可以驻留在硬盘中？

浏览 0提问于2010-04-29得票数 1

5回答

虚拟内存真的存在吗？

linux、memory、memory-management、operating-system

虚拟内存是否真的存在于我们的计算机系统中的某个地方(即硬盘上)？如果不是这样，如果数据不在主存储器中，即(发生页错误)，如何进行从虚拟存储器到硬盘中的真实数据的映射，则.Is存在维护从虚拟存储器到硬盘数据的映射的任何表。

浏览 3提问于2013-01-29得票数 0

3回答

在Windows中运行程序时，是什么决定了该程序允许的内存？

c、windows

如果我用C语言编写一个程序，并在Windows中运行它，Win API中是否有什么东西规定了该程序是否可以访问某个内存块？如果我想让程序访问任何我想要的内存块，有没有什么我必须禁用的？我意识到这是有风险的，并且可能会损坏操作系统。

浏览 1提问于2012-09-04得票数 2

回答已采纳

3回答

开放系统调用的工作

file、file-io、operating-system、memory-mapped-files

我正在阅读有关内存映射文件的内容，souce说，与传统方法相比，打开文件或读取文件(如打开的系统调用和读取系统调用)比传统方法更快，而没有说明开放或读取系统调用是如何工作的。下面是我的问题开放系统调用是如何工作的？据我所知，它将把文件加载到内存中，而通过使用映射的文件，只会将它们的地址保存在内存中，并且在需要时，请求的页面可能会被带到内存中。我希望能澄清我迄今为止的理解。编辑我先前写的理解几乎是错误的，请参阅Pawel所接受的答案。

浏览 5提问于2012-10-07得票数 4

回答已采纳

2回答

我应该为此写一个设备驱动程序吗？

linux、device-driver、linux-device-driver

我计划做一个小小的业余项目，在Linux上用GPIO在SBC上运行。我的想法是在GPIO引脚上产生PWM输出，并允许每个引脚在/dev中作为一个文件可用，就像GPIO引脚一样。我希望能够以与GPIO相同的方式使用PWM设备。所以我想我想写一个设备驱动程序，它似乎符合要求。唯一的问题是，由于我将通过/dev/GPIO访问引脚，我的程序可以在用户空间中存在。“可以存在于用户空间”通常意味着“应该存在于用户空间”。我确信这可以写成用户空间守护进程或内核空间设备驱动程序，或者其他什么东西。最好的办法是什么？

浏览 3提问于2011-11-22得票数 1

回答已采纳

1回答

我们如何在不使用64位高内存的情况下，为每个进程创建一个独立的附件空间？

linux、kernel、memory、64bit

我的问题可能很傻。但是，即使经过一些搜索，我仍然不明白为什么在64位架构中没有必要使用highmem。据我搜索，在x64bit，没有高海拔。换句话说，所有物理内存都直接映射到虚拟内存中。但同时，由于各种原因，包括安全性在内，所有进程都将有自己的地址空间，从0x00000开始到某事物。如果所有物理内存都已经直接映射到每个虚拟内存中，那么我们如何为每个进程创建一个单独的、隔离的地址空间而不改变物理内存和虚拟内存之间的映射呢？

浏览 0提问于2021-01-22得票数 1

2回答

Linux进程交换的使用率大于系统交换的总体使用量。

linux、centos5、top、swap、linux-kernel

我有一个奇怪的问题，当我运行top命令时，它显示出一些进程正在使用大约1.5GB的交换空间，但是系统交换空间的总体使用量要少到117 to左右，那么为什么呢？我认为整个系统交换使用是所有进程的聚合使用，在本例中似乎并非如此。这是输出： Tasks: 392 total, 16 running, 373 sleeping, 0 stopped, 3 zombie Cpu0 : 95.1%us, 4.9%sy, 0.0%ni, 0.0%id, 0.0%wa, 0.0%hi, 0.0%si, 0.0%st Cpu1 : 98.0%us, 2.0%sy, 0.0%ni,

浏览 0提问于2013-01-31得票数 2