[注意]0day第二版补充资料及勘误整理-《0day:软件漏洞分析技术》-看雪-安全社区|安全招聘|kanxue.com

[注意]0day第二版补充资料及勘误整理

发表于: 2011-7-3 14:17 71923

[注意]0day第二版补充资料及勘误整理

failwest

2011-7-3 14:17

71923

查看主题内容

收藏・23

免费・1

支持

最新回复 (57) ◀ 1 2 3 ▶
nemesis进雪币： 955 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 109 粉丝 0 关注私信	nemesis进 26 楼虽然有点迟但是已经购买希望你们以后写出更好的书籍支持一下哈哈 2012-5-27 18:00 0
反沉沦雪币： 23 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	反沉沦 27 楼随书资料缺少17.3.4一节需要用到的ppt_parse.bt解析脚本 2012-6-4 19:00 0
cnliuqh 雪币： 30 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 39 粉丝 0 关注私信	cnliuqh 28 楼 P168图5.3.5 最下面一个flink没有箭头指向开头。 2012-7-18 22:11 0
cnliuqh 雪币： 30 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 39 粉丝 0 关注私信	cnliuqh 29 楼勘误： P171。L3“0x7ffdf020处存放着指向RtlEnterCriticalSection()” 结果又在L7说“我们不妨以0x7FFDF024的RtlEnterCriticalSection()" 后面的程序都是以0x7ffdf020为实验。 2012-7-19 13:40 0
AJISky 雪币： 269 活跃值： (906) 能力值： ( LV12，RANK：345 ) 在线值：发帖 44 回帖 515 粉丝 21 关注私信	AJISky 7 30 楼第七章7.2.3arm指令部分 p217的SBC,SUB指令在后面的示例中误写为RSC R0,R1,R2指令 P219的MSR指令在示例中误写为MRS CPSR_cxsf,R3 2013-2-11 15:15 0
户大雪币： 2165 活跃值： (4155) 能力值： ( LV6，RANK：85 ) 在线值：发帖 6 回帖 15 粉丝 9 关注私信	户大 1 31 楼 0day第二版的330页关于2003 sp2绕过DEP的注释有问题吧。应该和绕过xp sp3的差不多，多几个pop eax retn啥的，咋会有pop pop pop retn额。和前面说的不符合。。。再说，简单的用eax变相的执行push esp pop esi retn的话，关闭dep必须的eax=1条件也不一定成立了呀。 2013-5-15 23:59 0
枫清淡雪币： 8079 活跃值： (3949) 能力值： ( LV2，RANK：15 ) 在线值：发帖 2 回帖 45 粉丝 0 关注私信	枫清淡 32 楼问下这个勘误整理后会不会出第三版的书啊,各大商城都缺货了 2014-1-16 16:51 0
easonxu 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	easonxu 33 楼请教一下，为什么将ollyfindaddr.dll拷贝到plugin文件下时，再打开OD会报错？ 2014-5-30 17:21 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 199 关注私信	安于此生 34 34 楼你OD神马版本? 2014-5-30 17:24 0
easonxu 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	easonxu 35 楼 1.0.10.0 2014-6-3 08:55 0
easonxu 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	easonxu 36 楼 1.0.10.0 2014-6-3 09:00 0
NewbieR 雪币： 216 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	NewbieR 37 楼 P195 L1中的地址0x77EC044C与图6.1.16中的地址不相符？ 2016-5-26 20:13 0
passpace 雪币： 16 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	passpace 38 楼楼主，ftp的链接打不开了。 2016-10-9 11:50 0
lujuzhi 雪币： 25 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	lujuzhi 39 楼第28章的畸形文件logo.gif没有 2017-3-1 20:40 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 40 楼 lujuzhi 第28章的畸形文件logo.gif没有什么漏洞？看我这里有没有？另外可以在搜索引擎中找一下。 2017-3-1 20:48 0
修竹kirakira 雪币： 408 活跃值： (352) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 2 关注私信	修竹kirakira 41 楼请教一下，最近在学堆管理机制的时候才发现，p.162里面感觉0x00360688处才是Lookaside[0]呀，为什么书上的图Lookaside[0]是0x003606B8啊我在网上搜的时候有人说0x00360688开始的0x30是快表头结构。但是调试过程中实际算了一下从0x00360688到Lookaside刚好也是128项，并没有多申请一个所谓的头结构而且看源码也只给快表申请了128项，FrontEndHeap就是指向的Lookaside[0] 我去看了一下windows2003的源码，看的RtlFreeHeap的代码，发现了如下代码： if ((Lookaside != NULL) && RtlpIsFrontHeapUnlocked(Heap) && (!(BusyBlock->Flags & HEAP_ENTRY_VIRTUAL_ALLOC)) && ((FreeSize = BusyBlock->Size) < HEAP_MAXIMUM_FREELISTS)) { if (RtlpFreeToHeapLookaside( &Lookaside[FreeSize], BaseAddress)) { 发现Lookaside查找的索引是根据堆块里堆块的大小（以8字节为粒度）来决定的，也就是说当释放一个8字节大小的数据，它所在的堆块大小为16个字节（块头+数据），也就是两个单位也就是释放到Lookaside[2]的位置，这样看就能说得通了逆向分析了一下，windows2000的RtlFreeHeap函数里面也是这个逻辑： if ( (BusyBlock_Flags & 0xE0) == 0 ) { if ( (_BYTE )(HeapHandle + 1414) != 1 ) JUMPOUT(0x77FCC9BF); Lookaside = (_DWORD )(HeapHandle + 1408); if ( Lookaside ) { if ( !(_WORD )(HeapHandle + 1412) && (BusyBlock_Flags & 8) == 0 ) { BusyBlock_Size = BusyBlock; FreeSize = BusyBlock_Size; if ( BusyBlock_Size < 0x80 ) { if ( (unsigned __int8)sub_77F829B4(Lookaside + 48 BusyBlock_Size, BaseAddress) ) return 1; } } } } 2022-9-5 11:02 0
修竹kirakira 雪币： 408 活跃值： (352) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 2 关注私信	修竹kirakira 42 楼之前网上有很多说Lookaside表从Lookaside[1]开始，Lookaside[1]就链接的16个字节的堆块。后面发现网上传的很多图都是《Windows高级调试》里的。最近读了《Practical Windows XP/2003 Heap Exploitation》，这上面也说的是Lookaside表从Lookaside[2]开始，Lookaside[0]和Lookaside[1]都不用。实际调试的情况也是这样 2022-9-16 17:29 0
菜鸡雪雪币： 220 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	菜鸡雪 43 楼修竹kirakira 之前网上有很多说Lookaside表从Lookaside[1]开始，Lookaside[1]就链接的16个字节的堆块。后面发现网上传的很多图都是《Windows高级调试》里的。最近读了《Pract ... lookaside一般都是从索引为2的地方开始吧，也就是一共16个字节（加上块头）；比如你请求一个字节加上块首，实际也就是9个字节，需要两个堆单位也就是16字节；自然链到Lookaside[2]里，这部分我觉得书中应该没什么问题把 2022-9-16 23:42 0
修竹kirakira 雪币： 408 活跃值： (352) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 2 关注私信	修竹kirakira 44 楼菜鸡雪 lookaside一般都是从索引为2的地方开始吧，也就是一共16个字节（加上块头）；比如你请求一个字节加上块首，实际也就是9个字节，需要两个堆单位也就是16字节；自然链到Lookaside[2] ... 实际情况是：Lookaside[1]-8个字节（不用），Lookaside[2]-16个字节（从这里开始），但是《Windows高级调试》那本书上的图画的是Lookaside[1]是16个字节，所以我感觉书上这块有点问题图在《Windows高级调试》中文版p.168，英文版p.262 网上好多博客是直接用的这个图，所以查的时候感觉有问题 2022-9-21 14:44 0
修竹kirakira 雪币： 408 活跃值： (352) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 2 关注私信	修竹kirakira 45 楼菜鸡雪 lookaside一般都是从索引为2的地方开始吧，也就是一共16个字节（加上块头）；比如你请求一个字节加上块首，实际也就是9个字节，需要两个堆单位也就是16字节；自然链到Lookaside[2] ... 《0day安全：软件漏洞分析技术（第2版）》中p.162这一页描述了：“根据三个堆块的大小我们可以知道 8 字节的会被插入到Lookaside[1]中、16 字节的会被插入到 Lookaside[2]中、24 字节的会被插入到 Lokkaside[3] 中” 事实上，8 字节的会被插入到Lookaside[2]中、16 字节的会被插入到 Lookaside[3]中、24 字节的会被插入到 Lokkaside[4]，因为书中这里的8字节指的是堆块的用户数据区域，相应的，图 5.2.17中的标注也有问题 2022-9-21 14:49 0
菜鸡雪雪币： 220 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	菜鸡雪 46 楼修竹kirakira 《0day安全：软件漏洞分析技术（第2版）》中p.162这一页描述了：“根据三个堆块的大小我们可以知道 8 字节的会被插入到Lookaside[1]中、16 字节的会被插入到 Lookaside[2] ... 请问你这里说的“8 字节的会被插入到Lookaside[2]中、16 字节的会被插入到 Lookaside[3]中”，带没带块首 2022-9-22 16:16 0
菜鸡雪雪币： 220 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	菜鸡雪 47 楼假如你这里要是没有算堆块，应该是对的；但是得有堆块啊，你所说的8字节加上堆块就是16字节了，放到lookaside[2]里没问题；所以是书中的16 字节的会被插入到 Lookaside[2]中，我觉得没啥问题吧 2022-9-22 16:18 0
菜鸡雪雪币： 220 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	菜鸡雪 48 楼修竹kirakira 实际情况是：Lookaside[1]-8个字节（不用），Lookaside[2]-16个字节（从这里开始），但是《Windows高级调试》那本书上的图画的是Lookaside[1]是16个字节，所以我 ... 本来就是啊我之前回复的例子不就是从您所说的“Lookaside[2]-16个字节（从这里开始）”开始的吗；原回复内容： lookaside一般都是从索引为2的地方开始吧，也就是一共16个字节（加上块头）；比如你请求一个字节加上块首，实际也就是9个字节，需要两个堆单位也就是16字节；自然链到Lookaside[2]里，这部分我觉得书中应该没什么问题把 2022-9-22 16:20 0
修竹kirakira 雪币： 408 活跃值： (352) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 2 关注私信	修竹kirakira 49 楼菜鸡雪假如你这里要是没有算堆块，应该是对的；但是得有堆块啊，你所说的8字节加上堆块就是16字节了，放到lookaside[2]里没问题；所以是书中的16 字节的会被插入到 Lookaside[2]中，我觉 ... 书上这一块写的是不带块首的8字节放到lokkaside[1]里面，所以我说这里是错的 2022-9-22 16:27 0
修竹kirakira 雪币： 408 活跃值： (352) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 2 关注私信	修竹kirakira 50 楼菜鸡雪本来就是啊我之前回复的例子不就是从您所说的“Lookaside[2]-16个字节（从这里开始）”开始的吗；原回复内容： lookaside一般都是从索引为2的地方开始吧，也就是一共16个 ... 您说的是对的，我是说的感觉书上这里这部分的图有问题，书上是直接画的Lookaside[1]链接16个字节的堆块（包括堆首），但实际上是Lookaside[1]不用，从Lookaside[2]开始链接16个字节的堆块（包括堆首） 2022-9-22 16:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

failwest

发帖

回帖

330

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (57) ◀ 1 2 3 ▶
nemesis进雪币： 955 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 109 粉丝 0 关注私信	nemesis进 26 楼虽然有点迟但是已经购买希望你们以后写出更好的书籍支持一下哈哈 2012-5-27 18:00 0
反沉沦雪币： 23 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	反沉沦 27 楼随书资料缺少17.3.4一节需要用到的ppt_parse.bt解析脚本 2012-6-4 19:00 0
cnliuqh 雪币： 30 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 39 粉丝 0 关注私信	cnliuqh 28 楼 P168图5.3.5 最下面一个flink没有箭头指向开头。 2012-7-18 22:11 0
cnliuqh 雪币： 30 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 39 粉丝 0 关注私信	cnliuqh 29 楼勘误： P171。L3“0x7ffdf020处存放着指向RtlEnterCriticalSection()” 结果又在L7说“我们不妨以0x7FFDF024的RtlEnterCriticalSection()" 后面的程序都是以0x7ffdf020为实验。 2012-7-19 13:40 0
AJISky 雪币： 269 活跃值： (906) 能力值： ( LV12，RANK：345 ) 在线值：发帖 44 回帖 515 粉丝 21 关注私信	AJISky 7 30 楼第七章7.2.3arm指令部分 p217的SBC,SUB指令在后面的示例中误写为RSC R0,R1,R2指令 P219的MSR指令在示例中误写为MRS CPSR_cxsf,R3 2013-2-11 15:15 0
户大雪币： 2165 活跃值： (4155) 能力值： ( LV6，RANK：85 ) 在线值：发帖 6 回帖 15 粉丝 9 关注私信	户大 1 31 楼 0day第二版的330页关于2003 sp2绕过DEP的注释有问题吧。应该和绕过xp sp3的差不多，多几个pop eax retn啥的，咋会有pop pop pop retn额。和前面说的不符合。。。再说，简单的用eax变相的执行push esp pop esi retn的话，关闭dep必须的eax=1条件也不一定成立了呀。 2013-5-15 23:59 0
枫清淡雪币： 8079 活跃值： (3949) 能力值： ( LV2，RANK：15 ) 在线值：发帖 2 回帖 45 粉丝 0 关注私信	枫清淡 32 楼问下这个勘误整理后会不会出第三版的书啊,各大商城都缺货了 2014-1-16 16:51 0
easonxu 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	easonxu 33 楼请教一下，为什么将ollyfindaddr.dll拷贝到plugin文件下时，再打开OD会报错？ 2014-5-30 17:21 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 199 关注私信	安于此生 34 34 楼你OD神马版本? 2014-5-30 17:24 0
easonxu 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	easonxu 35 楼 1.0.10.0 2014-6-3 08:55 0
easonxu 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	easonxu 36 楼 1.0.10.0 2014-6-3 09:00 0
NewbieR 雪币： 216 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	NewbieR 37 楼 P195 L1中的地址0x77EC044C与图6.1.16中的地址不相符？ 2016-5-26 20:13 0
passpace 雪币： 16 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	passpace 38 楼楼主，ftp的链接打不开了。 2016-10-9 11:50 0
lujuzhi 雪币： 25 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	lujuzhi 39 楼第28章的畸形文件logo.gif没有 2017-3-1 20:40 0
仙果雪币： 1491 活跃值： (985) 能力值： (RANK：860 ) 在线值：发帖 68 回帖 1507 粉丝 67 关注私信	仙果 19 40 楼 lujuzhi 第28章的畸形文件logo.gif没有什么漏洞？看我这里有没有？另外可以在搜索引擎中找一下。 2017-3-1 20:48 0
修竹kirakira 雪币： 408 活跃值： (352) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 2 关注私信	修竹kirakira 41 楼请教一下，最近在学堆管理机制的时候才发现，p.162里面感觉0x00360688处才是Lookaside[0]呀，为什么书上的图Lookaside[0]是0x003606B8啊我在网上搜的时候有人说0x00360688开始的0x30是快表头结构。但是调试过程中实际算了一下从0x00360688到Lookaside刚好也是128项，并没有多申请一个所谓的头结构而且看源码也只给快表申请了128项，FrontEndHeap就是指向的Lookaside[0] 我去看了一下windows2003的源码，看的RtlFreeHeap的代码，发现了如下代码： if ((Lookaside != NULL) && RtlpIsFrontHeapUnlocked(Heap) && (!(BusyBlock->Flags & HEAP_ENTRY_VIRTUAL_ALLOC)) && ((FreeSize = BusyBlock->Size) < HEAP_MAXIMUM_FREELISTS)) { if (RtlpFreeToHeapLookaside( &Lookaside[FreeSize], BaseAddress)) { 发现Lookaside查找的索引是根据堆块里堆块的大小（以8字节为粒度）来决定的，也就是说当释放一个8字节大小的数据，它所在的堆块大小为16个字节（块头+数据），也就是两个单位也就是释放到Lookaside[2]的位置，这样看就能说得通了逆向分析了一下，windows2000的RtlFreeHeap函数里面也是这个逻辑： if ( (BusyBlock_Flags & 0xE0) == 0 ) { if ( (_BYTE )(HeapHandle + 1414) != 1 ) JUMPOUT(0x77FCC9BF); Lookaside = (_DWORD )(HeapHandle + 1408); if ( Lookaside ) { if ( !(_WORD )(HeapHandle + 1412) && (BusyBlock_Flags & 8) == 0 ) { BusyBlock_Size = BusyBlock; FreeSize = BusyBlock_Size; if ( BusyBlock_Size < 0x80 ) { if ( (unsigned __int8)sub_77F829B4(Lookaside + 48 BusyBlock_Size, BaseAddress) ) return 1; } } } } 2022-9-5 11:02 0
修竹kirakira 雪币： 408 活跃值： (352) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 2 关注私信	修竹kirakira 42 楼之前网上有很多说Lookaside表从Lookaside[1]开始，Lookaside[1]就链接的16个字节的堆块。后面发现网上传的很多图都是《Windows高级调试》里的。最近读了《Practical Windows XP/2003 Heap Exploitation》，这上面也说的是Lookaside表从Lookaside[2]开始，Lookaside[0]和Lookaside[1]都不用。实际调试的情况也是这样 2022-9-16 17:29 0
菜鸡雪雪币： 220 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	菜鸡雪 43 楼修竹kirakira 之前网上有很多说Lookaside表从Lookaside[1]开始，Lookaside[1]就链接的16个字节的堆块。后面发现网上传的很多图都是《Windows高级调试》里的。最近读了《Pract ... lookaside一般都是从索引为2的地方开始吧，也就是一共16个字节（加上块头）；比如你请求一个字节加上块首，实际也就是9个字节，需要两个堆单位也就是16字节；自然链到Lookaside[2]里，这部分我觉得书中应该没什么问题把 2022-9-16 23:42 0
修竹kirakira 雪币： 408 活跃值： (352) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 2 关注私信	修竹kirakira 44 楼菜鸡雪 lookaside一般都是从索引为2的地方开始吧，也就是一共16个字节（加上块头）；比如你请求一个字节加上块首，实际也就是9个字节，需要两个堆单位也就是16字节；自然链到Lookaside[2] ... 实际情况是：Lookaside[1]-8个字节（不用），Lookaside[2]-16个字节（从这里开始），但是《Windows高级调试》那本书上的图画的是Lookaside[1]是16个字节，所以我感觉书上这块有点问题图在《Windows高级调试》中文版p.168，英文版p.262 网上好多博客是直接用的这个图，所以查的时候感觉有问题 2022-9-21 14:44 0
修竹kirakira 雪币： 408 活跃值： (352) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 2 关注私信	修竹kirakira 45 楼菜鸡雪 lookaside一般都是从索引为2的地方开始吧，也就是一共16个字节（加上块头）；比如你请求一个字节加上块首，实际也就是9个字节，需要两个堆单位也就是16字节；自然链到Lookaside[2] ... 《0day安全：软件漏洞分析技术（第2版）》中p.162这一页描述了：“根据三个堆块的大小我们可以知道 8 字节的会被插入到Lookaside[1]中、16 字节的会被插入到 Lookaside[2]中、24 字节的会被插入到 Lokkaside[3] 中” 事实上，8 字节的会被插入到Lookaside[2]中、16 字节的会被插入到 Lookaside[3]中、24 字节的会被插入到 Lokkaside[4]，因为书中这里的8字节指的是堆块的用户数据区域，相应的，图 5.2.17中的标注也有问题 2022-9-21 14:49 0
菜鸡雪雪币： 220 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	菜鸡雪 46 楼修竹kirakira 《0day安全：软件漏洞分析技术（第2版）》中p.162这一页描述了：“根据三个堆块的大小我们可以知道 8 字节的会被插入到Lookaside[1]中、16 字节的会被插入到 Lookaside[2] ... 请问你这里说的“8 字节的会被插入到Lookaside[2]中、16 字节的会被插入到 Lookaside[3]中”，带没带块首 2022-9-22 16:16 0
菜鸡雪雪币： 220 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	菜鸡雪 47 楼假如你这里要是没有算堆块，应该是对的；但是得有堆块啊，你所说的8字节加上堆块就是16字节了，放到lookaside[2]里没问题；所以是书中的16 字节的会被插入到 Lookaside[2]中，我觉得没啥问题吧 2022-9-22 16:18 0
菜鸡雪雪币： 220 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	菜鸡雪 48 楼修竹kirakira 实际情况是：Lookaside[1]-8个字节（不用），Lookaside[2]-16个字节（从这里开始），但是《Windows高级调试》那本书上的图画的是Lookaside[1]是16个字节，所以我 ... 本来就是啊我之前回复的例子不就是从您所说的“Lookaside[2]-16个字节（从这里开始）”开始的吗；原回复内容： lookaside一般都是从索引为2的地方开始吧，也就是一共16个字节（加上块头）；比如你请求一个字节加上块首，实际也就是9个字节，需要两个堆单位也就是16字节；自然链到Lookaside[2]里，这部分我觉得书中应该没什么问题把 2022-9-22 16:20 0
修竹kirakira 雪币： 408 活跃值： (352) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 2 关注私信	修竹kirakira 49 楼菜鸡雪假如你这里要是没有算堆块，应该是对的；但是得有堆块啊，你所说的8字节加上堆块就是16字节了，放到lookaside[2]里没问题；所以是书中的16 字节的会被插入到 Lookaside[2]中，我觉 ... 书上这一块写的是不带块首的8字节放到lokkaside[1]里面，所以我说这里是错的 2022-9-22 16:27 0
修竹kirakira 雪币： 408 活跃值： (352) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 2 关注私信	修竹kirakira 50 楼菜鸡雪本来就是啊我之前回复的例子不就是从您所说的“Lookaside[2]-16个字节（从这里开始）”开始的吗；原回复内容： lookaside一般都是从索引为2的地方开始吧，也就是一共16个 ... 您说的是对的，我是说的感觉书上这里这部分的图有问题，书上是直接画的Lookaside[1]链接16个字节的堆块（包括堆首），但实际上是Lookaside[1]不用，从Lookaside[2]开始链接16个字节的堆块（包括堆首） 2022-9-22 16:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复