在win10内存中，很多win7中的结构体都被微软废除了，取而代之的使用了一个全局的变量来存放内存相关信息。看了很多中文的资料，发现对win10内存的资料介绍甚少，仅有的几篇也是我豆总在看雪发表的，不知道是大哥们对这个不屑一顾，还是不屑一顾，win10版本马上都停止维护了，但是在我看来比较有用的知识点还是没有人点出，（英文的资料还是有的），windows虽然日薄西山把，但也不至于这么日薄西山吧。这篇文章就来说下win10 内存的一些知识点
另外丑话说前面，这篇文章算是纯逆向所得，如果出现有明显错误的观点，请直接说出你认为的正确观点及证据。

MiState ： 这么说吧，你拿到他，win10内存基本就不用看了。 一切你认为的没有符号，都源自于你没注意到他。
MI_SYSTEM_INFORMATION ： MiState的类型就是它。具体这样

MI_SYSTEM_VA_TYPE 这个是微软提供的内存类型，

nt内核中有一个函数为 MiGetSystemRegionType(ULONG64 va)， 传入一个虚拟地址进去， 返回的是一个MI_SYSTEM_VA_TYPE枚举类型的值，该值代表了虚拟地址属于那种类型。

很明显， byte_140c6A018是一个数组，在没有对MiState的类型重新定义的时候，就是这样的，如果修改了MiState类型为MI_SYSTEM_INFORMATION，

嗯，没错是MiState.Vs.SysTemVaType,SysTemVaType ，这个就是豆总前几年说的那个0x100个标记的，另外指出一个错误。在FaEry作者的[原创]Windows内存篇Ⅱ x64内核内存布局的迁移演变-编程技术-看雪-安全社区|安全招聘|kanxue.com 文章中有错误的表示，说是从Win10 2004之后这个标记已经找不到了， 我这边拿到的是win11 23h2的内核查看的，这个依然存在。
其实到这里依旧是拾人牙慧，只不过是从符号的角度来讲，说明当初豆总说的那个mark标记在哪里。如果只是单纯的想要判断那些地址是在那个内存区域，到这里基本就不用看了，下面讲解的都是为什么能够从这个成员变量得到内存区域枚举值。

想一下，((a1 >> 0x27) & 0x1FF) - 0x100 这个偏移是如何被设计的，SysTemVaType这个成员变量是如何被设计填充。了解这些设计后面的知识，才能明白windows内存区域划分的关键。

SystemVaRegions 是 MiState.Vs.SysTemVaType 之后的一个成员数组，这个数组的个数在win10的各个版本都存在变化的情况，我选取的win10 版本有 13个 ,SystemVaRegions 的类型为_MI_SYSTEM_VA_ASSIGNMENT ，具体定义：

看到这里是不是觉得开始有趣， 这个BaseAddress是不是和我们的内存区域有关。 是的，很明确的告诉，在上一节提到的 FaEry的[原创]Windows内存篇Ⅱ x64内核内存布局的迁移演变-编程技术-看雪-安全社区|安全招聘|kanxue.com，文中 提到的MiQuerySystembase函数用到的一个未导出变量，该变量为 SystemVaRegions，打开ida看一下在符号下的样子

嗯。有符号确实好看哈。但是这个结构体成员变量是如何被填充的，它是如何和SysTemVaType数组进行关联的。
这个是问题的关键。

还有一个枚举值： MI_ASSIGNED_REGION_TYPES

通过该枚举值 我们可以知道 SystemVaRegions 的13个数组成员 分别代表了什么 ，那么MI_ASSIGNED_REGION_TYPES 和 MI_SYSTEM_VA_TYPE 是如何被转换的？这也是我们需要思考的

总所周知，windows是会分阶段初始化的， 在调用KiInitializeBootStructures过程中，会在0xff阶段的时候调用MmInitSystem函数 ，其实 MmInitSystem 函数 也是分为多个阶段被调用，现在只说和我们相关的，在0xff阶段的时候会调用 MiInitializeSystemVa
MiInitializeSystemVa 函数是负责填充 SystemVaRegions 结构体的关键函数，也是 windows内存区域能够动态初始化的关键。

MiInitializeSystemVa 函数被执行后，会调用 MiInitializeTopLevelBitmap 函数，用来初始化 一个bitmap 这个bitmap 指向了 MiState.SystemVa.SystemVaAssignment， SystemVaAssignment是一个int[8]类型的成员， 如果你留意其大小，你就会发现， SystemVaAssignment 的大小是32个字节，256bit， 还有一个 MiState.SystemVa.SystemVaAssignmentHint，请记住，这个变量是动态初始化的关键一步。
在初始化这个bitmap之后， MiInitializeSystemVa 会调用 MiAssignTopLevelRanges ，而 MiAssignTopLevelRanges 是梦最初的地方。
ps: 如果想要通过windbg 调试MmInitSystem 的0xff阶段的话，可能需要进行 额外的设置。

MiAssignTopLevelRanges 如下图所示， 其中通过逆向，对Base 这个数组的类型进行 了重定义。 通过qsort函数可知 每个BASE的结构体大小为 0x18 ， 总共有13个， 上文提到过，我选取的win10内核中的SystemVaRegions也是13个。
嗯。没错，这个Base 和 SystemVaRegions 有着千丝万缕的关系。

其中我定义的Base 的结构体为：

从上面截图可以看出， Base结构体数组 ,对 结构体的 index ，randseed ，Length 都进行了 赋值。

通过MiAssignSystemVa 函数我们得到 Base数组元素中BaseAddress的值。

然后 对MiState.Vs.SystemVaRegions的数组进行初始化填充。

MiAssignSystemVa是 动态内存区域划分的关键函数，其函数原型为
int64 MiAssignSystemVa(ULONG NumberToFind, unsigned int a2)

首先解释 MiAssignSystemVa 函数的 第一个参数，也就是我们上一节提到的。

NumberToFind 就是 length >> 0x27得到的。
MiAssignSystemVa 的主要功能是取到已经初始化好的MiState.SystemVa.SystemVaAssignment 和 已经随机化好的MiState.SystemVa.SystemVaAssignmentHint，通过RtlFindClearBitsAndSet 去查找到符合满足条件的位图索引。

其中内存区域的动态随机设置就和这个位图的find过程有关，根据以上截图我们可以看出。只有满足找到的索引值是随机值或至少满足10次循环才会跳出find过程。
最后，得到位图的索引值 ,通过 index - 0x100 ，通过左移0x27，得到baseaddress。

根据上面我们可以得出一个结论： windows内核内存区域的动态随机初始化由 两个变量影响:

在 win10和win11 中， MiInitializeSystemVa 在调用完 MiAssignTopLevelRanges 之后，会调用 MiConvertAssignedRegionToVaType(i) 。
MiConvertAssignedRegionToVaType 的原理就是内建了一张表，通过 输入MI_ASSIGNED_REGION_TYPES类型的枚举值，然后根据表 输出 对应的MI_SYSTEM_VA_TYPE类型的值。
在win11中，MiConvertAssignedRegionToVaType被封装到了MiSetSystemRegionTypes(i)中，各个小版本之间这张表可能也不同。
放win11 23h2 和 win10的 代码。

在 MiInitializeSystemVa 函数执行完上面所提到的流程后，还会对wsl的内存区域进行一个分配。并不在我们讨论的范围，所以跳过。

随着 BaseAddress被填充到 SystemVaRegions 后， 程序会进入一个循环。 一个把 SystemVaRegions 与SystemVaType 连起来的循环。

因为ida本身反汇编识别的问题，所以我们这段是直接通过汇编手动还原成c代码。

asm:

ida 反汇编：

手动还原：

通过手动还原，我们可以知道， SystemVaRegions 与 SystemVaType 建立映射关系的步骤分为：

根据还原后的代码，我们可以看出为什么通过 MiGetSystemRegionType 函数可以获取到 指定虚拟地址的 内存区域类型。因为在 填充SystemVaType 成员的时候，就是根据规则偏移来填充的。填充的值还是SystemVaRegions经过转换后的枚举值。填充的长度也和NumberOfBytes>>0x27。

回想一下 在引子部分提到的 ：((a1 >> 0x27) & 0x1FF) - 0x100 ，我们可以进一步思考：
a1 为 一个内核的虚拟地址， a1 >> 0x27 是在取 pml4的值， (pml4 & 0x1ff) 这个是 确保能取到 pml4索引，因为pml4 占位 9bit，最终 pml4的index - 0x100 得出最终的索引。 因为虚拟地址是连续的，假设存在 nopagedpool 的内存地址 A, A必定满足 大于等于nopagedpool.baseaddress，小于等于
nopagedpool.baseaddress+nopagedpool.length，如果使用我们的符号表示：
systemVaRegions[0].BaseAddress<= A <= systemVaRegions[0].BaseAddress +systemVaRegions[0].NumberOfBytes , 所以 A地址代表的pml4索引必定Systemvatype中代表nopagedpool的连续为分区内。

所以 通过MiGetSystemRegionType去内存区域的本质是 ，通过pml4索引的值 去取已经填充好的“位图”的值。

到此 ，分析告一段落。

1.本篇文章通过 MiGetSystemRegionType 函数能够获取 某个虚拟地址为 引子，介绍了一下几个知识点：

本文仅用作抛砖引玉，希望广大windows内核爱好者能够基于本文的些许启发，对windows 内核的内存有更深的了解。

妈的，文邹邹写了一段，快累死了。大白话说一点。使用MiState 变量可以 搞到很多关于内存的知识点， 比如在内存初始化的0阶段， 可以通过逆向MiInitNucleus函数 清晰的看到 各个内存区域是如何被建立的，以及物理页帧的几个链表是如何被初始化的。 在逆向nt内核过程中我们其实也可以发现 也有其他的关键变量可以去读取内存的关键信息，比如 MiSystemPartition 全局变量。 一切关于内存的逆向，还看各位大佬们出手了。
(ps:使用MiState 有一个小坑， 正式版本的 MI_SYSTEM_INFORMATION 微软提供的有些许问题，需要自己改动，如果自己仔细思考的话，解决这个问题应该不在话下)。

[峰会]看雪.第八届安全开发者峰会10月23日上海龙之梦大酒店举办！