因为尝试脱一个壳需要，今天计划用windbg把某一加壳进程的数据段读出，于是首先用
0x400000地址做实验。但是却发生了奇怪的情况。

打开程序后，得到程序的EPROCESS地址 896AC208
于是向获取PDB地址
lkd> dd 896AC208+18 l 10
896ac220  0f7104a0 00025168 00000000 00000000
896ac230  00000000 00000000 000020ac 00000000
896ac240  00000094 000002f4 896ac248 896ac248
896ac250  00000000 00000000 89558a40 89360ca0

后根据公式，去读取 00025000 物理地址值（PTE表首地址）
问题出现了，该地址为0，这是为什么，求教各位。
lkd> !dc 00025000
#   25000 00000000 40000040 7273722e 00000063 ....@..@.rsrc...
#   25010 00003f40 00074000 00004000 00036000 @?...@...@...`..
#   25020 00000000 00000000 00000000 42000040 ............@..B
#   25030 00000000 00000000 00000000 00000000 ................
#   25040 00000000 00000000 00000000 00000000 ................
#   25050 00000000 00000000 00000000 00000000 ................
#   25060 00000000 00000000 00000000 00000000 ................
#   25070 00000000 00000000 00000000 00000000 ................
lkd> !dc 00025168
#   25168 acb5ff50 e8fffffd 000040cf 2d75c085 P........@....u-
#   25178 fdbcb58b f73bffff 8d572374 fffd9c85 ......;.t#W.....
#   25188 b5ff50ff fffffdac fd9cbd89 bd89ffff .P..............
#   25198 fffffda0 004051e8 74c08500 acb5ff10 .....Q@....t....
#   251a8 e8fffffd 00003d26 00013de9 98858d00 ....&=...=......
#   251b8 50fffffd 0000bb56 ff530001 fffdacb5 ...PV.....S.....
#   251c8 3ff8e8ff b5ff0000 fffffdac fbe8f08b ...?............
#   251d8 3b00003c 0f850ff7 8b000001 fffda895 <..;............

PS，我的是Windows xp SP3， 未开启 PAE模式，
内存为2G，CPU为 Intel(R) Celeron(R) D 3.06GHz，未开启HT模式（也没有）
boot.ini启动项为
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /noExecute

求教各位大侠，我哪做错了吗？问题出在哪？谢谢！

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课