[推荐]冒昧的问一个关于内存分页的问题。见笑。-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
kingcomer 雪币： 73 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 190 粉丝 0 关注私信	kingcomer 2 楼被自己整的一头雾水，分页内存的访问究竟什么时候会蓝？(排除中断级别的情况下)。假设某内存的present为0，那么究竟是代表这块分页内存不存在，还是这块内存的物理页面被切换出去了？访问present==0的页面究竟会不会蓝呢？当某个段从内存中卸载后是否代表这块内存不映射到任何位置，是一块无用的内存？那是否代表非分页内存并没有PDE和PTE？ 2012-6-15 16:11 0
kingcomer 雪币： 73 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 190 粉丝 0 关注私信	kingcomer 3 楼另外论坛里看到一位大牛说只要讲Ntoskrnl进行文件映射，进行暴搜的时候就不会出现蓝屏的问题了，那么内存映射后的新内存不也没有INIT节么？。。。。 2012-6-15 16:19 0
kingcomer 雪币： 73 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 190 粉丝 0 关注私信	kingcomer 4 楼另外论坛里看到一位大牛说只要讲Ntoskrnl进行文件映射，进行暴搜的时候就不会出现蓝屏的问题了，那么内存映射后的新内存不也没有INIT节么？。。。。INIT位置的地址不还是……无效的么？难道是映射文件了？可映射了文件是否代表需要对新内存进行重定位。。。。 2012-6-15 16:21 0
wusha 雪币： 8720 活跃值： (18470) 能力值： ( LV4，RANK：40 ) 在线值：发帖 185 回帖 990 粉丝 130 关注私信	wusha 5 楼不太清楚，访问present==0的页面应该不会蓝，这个页面好像是系统把它放到虚拟内存里去了（就是pagefile.sys),然后访问到它时会触发缺页中断，系统就会从磁盘虚拟内存文件里读进内存，不知说得对不对 2012-6-15 17:15 0
wusha 雪币： 8720 活跃值： (18470) 能力值： ( LV4，RANK：40 ) 在线值：发帖 185 回帖 990 粉丝 130 关注私信	wusha 6 楼刚才搜了一下，发现有个贴和你的情况类似，请参考 http://bbs.pediy.com/showthread.php?t=107986 2012-6-15 17:42 0
yeliangang 雪币： 183 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 60 粉丝 0 关注私信	yeliangang 7 楼你说的是非分页内存吧？我理解的非分页内存就是不能被交换到页面文件中的页面，而你所谓的访问会蓝屏有最少两种情况：1.访问地址所在页面没有实际映射到的物理内存；2.访问地址的代码所在的IRQL级别过高导致页面交换无法完成 2012-6-15 21:57 0
kingcomer 雪币： 73 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 190 粉丝 0 关注私信	kingcomer 8 楼第一种。ntoskrnl的INIT节初始化后卸载。 2012-6-15 22:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
kingcomer 雪币： 73 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 190 粉丝 0 关注私信	kingcomer 2 楼被自己整的一头雾水，分页内存的访问究竟什么时候会蓝？(排除中断级别的情况下)。假设某内存的present为0，那么究竟是代表这块分页内存不存在，还是这块内存的物理页面被切换出去了？访问present==0的页面究竟会不会蓝呢？当某个段从内存中卸载后是否代表这块内存不映射到任何位置，是一块无用的内存？那是否代表非分页内存并没有PDE和PTE？ 2012-6-15 16:11 0
kingcomer 雪币： 73 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 190 粉丝 0 关注私信	kingcomer 3 楼另外论坛里看到一位大牛说只要讲Ntoskrnl进行文件映射，进行暴搜的时候就不会出现蓝屏的问题了，那么内存映射后的新内存不也没有INIT节么？。。。。 2012-6-15 16:19 0
kingcomer 雪币： 73 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 190 粉丝 0 关注私信	kingcomer 4 楼另外论坛里看到一位大牛说只要讲Ntoskrnl进行文件映射，进行暴搜的时候就不会出现蓝屏的问题了，那么内存映射后的新内存不也没有INIT节么？。。。。INIT位置的地址不还是……无效的么？难道是映射文件了？可映射了文件是否代表需要对新内存进行重定位。。。。 2012-6-15 16:21 0
wusha 雪币： 8720 活跃值： (18470) 能力值： ( LV4，RANK：40 ) 在线值：发帖 185 回帖 990 粉丝 130 关注私信	wusha 5 楼不太清楚，访问present==0的页面应该不会蓝，这个页面好像是系统把它放到虚拟内存里去了（就是pagefile.sys),然后访问到它时会触发缺页中断，系统就会从磁盘虚拟内存文件里读进内存，不知说得对不对 2012-6-15 17:15 0
wusha 雪币： 8720 活跃值： (18470) 能力值： ( LV4，RANK：40 ) 在线值：发帖 185 回帖 990 粉丝 130 关注私信	wusha 6 楼刚才搜了一下，发现有个贴和你的情况类似，请参考 http://bbs.pediy.com/showthread.php?t=107986 2012-6-15 17:42 0
yeliangang 雪币： 183 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 60 粉丝 0 关注私信	yeliangang 7 楼你说的是非分页内存吧？我理解的非分页内存就是不能被交换到页面文件中的页面，而你所谓的访问会蓝屏有最少两种情况：1.访问地址所在页面没有实际映射到的物理内存；2.访问地址的代码所在的IRQL级别过高导致页面交换无法完成 2012-6-15 21:57 0
kingcomer 雪币： 73 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 190 粉丝 0 关注私信	kingcomer 8 楼第一种。ntoskrnl的INIT节初始化后卸载。 2012-6-15 22:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复