[求助]关于页表问题-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (11)
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 2 楼 0xC0000000是页表 0xC0300000是页目录 0说明没有映射任何内容 windows xp sp2: lkd> dd 0xC0000000 c0000000 00000000 00000000 00000000 00000000 c0000010 00000000 00000000 00000000 00000000 c0000020 00000000 00000000 00000000 00000000 c0000030 00000000 00000000 00000000 00000000 c0000040 00ac3067 00000000 00000000 00000000 c0000050 00000000 00000000 00000000 00000000 c0000060 00000000 00000000 00000000 00000000 c0000070 00000000 00000000 00000000 00000000 lkd> dd 0xC0300000 c0300000 07fba067 053d0067 02ad4067 06048067 c0300010 01b8d067 09984067 0ac3b067 00000000 c0300020 0744e067 00000000 00000000 00000000 c0300030 04002067 00000000 00000000 00000000 c0300040 00000000 00000000 00000000 00000000 c0300050 00000000 00000000 00000000 00000000 c0300060 00000000 00000000 00000000 00000000 c0300070 00000000 00000000 00000000 00000000 2007-9-9 14:25 0
gzgzlxg 雪币： 238 活跃值： (326) 能力值： ( LV12，RANK：450 ) 在线值：发帖 12 回帖 346 粉丝 7 关注私信	gzgzlxg 11 3 楼楼上的是高人，哈哈，写的是天书。 2007-9-9 21:41 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 4 楼为什么0c0000000+(ntoskrnl.exe的基址>>12)*4h 的内容还是0呢? 这个模块不会也没有映射吧! 2007-10-11 15:51 0
思弦雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	思弦 5 楼 0c0000000+(ntoskrnl.exe的基址>>22)*4h 吧 2007-10-11 18:01 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 6 楼应该是你的计算问题。你把你的计算步骤贴上来。 0x804d8000 >> 12 = 0x804d8 0x804d8 * 4 = 0x201360 0x201360 + 0xC0000000 = C0201360 ------------------------------------------------------------------------------------------------------------ ... Windows XP Kernel Version 2600 (Service Pack 2) UP Free x86 compatible Product: WinNt, suite: TerminalServer SingleUserTS Built by: 2600.xpsp_sp2_gdr.070227-2254 Kernel base = 0x804d8000 PsLoadedModuleList = 0x8055b620 ... lkd> dd C0201360 c0201360 004d8163 004d9121 004da121 004db121 c0201370 004dc121 004dd121 004de121 004df121 c0201380 004e0121 004e1121 004e2121 004e3161 c0201390 004e4121 004e5121 004e6121 004e7121 c02013a0 004e8121 004e9121 004ea121 004eb121 c02013b0 004ec121 004ed121 004ee121 004ef121 c02013c0 004f0121 004f1121 004f2121 004f3121 c02013d0 004f4121 004f5121 004f6121 004f7121 2007-10-12 21:23 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 7 楼 mov esi,0c0000000h+804d8h*4h mov eax,[esi] 结果是 : eax=0 在XP sp2下测试的 2007-10-12 21:46 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 8 楼 Windows XP Kernel Version 2600 UP Free x86 compatible Product: WinNt, suite: TerminalServer SingleUserTS Kernel base = 0x804d8000 PsLoadedModuleList = 0x805543a0 Debug session time: Fri Oct 12 21:47:28.318 2007 (GMT+8) System Uptime: 2 days 5:15:54.394 lkd> dd c0201360 c0201360 ???????? ???????? ???????? ???????? c0201370 ???????? ???????? ???????? ???????? c0201380 ???????? ???????? ???????? ???????? c0201390 ???????? ???????? ???????? ???????? c02013a0 ???????? ???????? ???????? ???????? c02013b0 ???????? ???????? ???????? ???????? c02013c0 ???????? ???????? ???????? ???????? c02013d0 ???????? ???????? ???????? ???????? 2007-10-12 21:48 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 9 楼为什么WinDbg会显示问号呢? 对了,炉子,我的QQ:77389867 你QQ多少 2007-10-12 21:57 0
StarsunYzL 雪币： 454 活跃值： (1673) 能力值： ( LV3，RANK：30 ) 在线值：发帖 29 回帖 440 粉丝 1 关注私信	StarsunYzL 10 楼页表在0xC0000000 页目录会受到PAE的影响，启用PAE页目录在0x00000000C0600000，未启用PAE页目录就在0xC0300000，cr4的第5位标志着是否启用了PAE kd> r cr4 cr4=000006f9 kd> .formats 000006f9 Evaluate expression: Hex: 000006f9 Decimal: 1785 Octal: 00000003371 Binary: 00000000 00000000 00000110 11111001 Chars: .... Time: Thu Jan 01 08:29:45 1970 Float: low 2.50132e-042 high 0 Double: 8.81907e-321 kd> !pte VA 00000000 PDE at 00000000C0600000 PTE at 00000000C0000000 contains 000000000708D067 contains 0000000000000000 pfn 708d ---DA--UWEV 从虚拟地址算PTE：启用PAE时：PTE=(虚拟地址 >> 12)8+0xC0000000 未启用PAE时：PTE=(虚拟地址 >> 12)4+0xC0000000 http://starsunyzl.blog.163.com/blog/static/360026422007816102644707/ 2007-10-13 12:24 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 11 楼先多谢StarsunYzl了,试一下!!! 2007-10-13 12:56 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 12 楼那应该就是PAE了大内存似乎会自动开启PAE。。内存管理很头大＝。＝ 2007-10-14 07:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (11)
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 2 楼 0xC0000000是页表 0xC0300000是页目录 0说明没有映射任何内容 windows xp sp2: lkd> dd 0xC0000000 c0000000 00000000 00000000 00000000 00000000 c0000010 00000000 00000000 00000000 00000000 c0000020 00000000 00000000 00000000 00000000 c0000030 00000000 00000000 00000000 00000000 c0000040 00ac3067 00000000 00000000 00000000 c0000050 00000000 00000000 00000000 00000000 c0000060 00000000 00000000 00000000 00000000 c0000070 00000000 00000000 00000000 00000000 lkd> dd 0xC0300000 c0300000 07fba067 053d0067 02ad4067 06048067 c0300010 01b8d067 09984067 0ac3b067 00000000 c0300020 0744e067 00000000 00000000 00000000 c0300030 04002067 00000000 00000000 00000000 c0300040 00000000 00000000 00000000 00000000 c0300050 00000000 00000000 00000000 00000000 c0300060 00000000 00000000 00000000 00000000 c0300070 00000000 00000000 00000000 00000000 2007-9-9 14:25 0
gzgzlxg 雪币： 238 活跃值： (326) 能力值： ( LV12，RANK：450 ) 在线值：发帖 12 回帖 346 粉丝 7 关注私信	gzgzlxg 11 3 楼楼上的是高人，哈哈，写的是天书。 2007-9-9 21:41 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 4 楼为什么0c0000000+(ntoskrnl.exe的基址>>12)*4h 的内容还是0呢? 这个模块不会也没有映射吧! 2007-10-11 15:51 0
思弦雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	思弦 5 楼 0c0000000+(ntoskrnl.exe的基址>>22)*4h 吧 2007-10-11 18:01 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 6 楼应该是你的计算问题。你把你的计算步骤贴上来。 0x804d8000 >> 12 = 0x804d8 0x804d8 * 4 = 0x201360 0x201360 + 0xC0000000 = C0201360 ------------------------------------------------------------------------------------------------------------ ... Windows XP Kernel Version 2600 (Service Pack 2) UP Free x86 compatible Product: WinNt, suite: TerminalServer SingleUserTS Built by: 2600.xpsp_sp2_gdr.070227-2254 Kernel base = 0x804d8000 PsLoadedModuleList = 0x8055b620 ... lkd> dd C0201360 c0201360 004d8163 004d9121 004da121 004db121 c0201370 004dc121 004dd121 004de121 004df121 c0201380 004e0121 004e1121 004e2121 004e3161 c0201390 004e4121 004e5121 004e6121 004e7121 c02013a0 004e8121 004e9121 004ea121 004eb121 c02013b0 004ec121 004ed121 004ee121 004ef121 c02013c0 004f0121 004f1121 004f2121 004f3121 c02013d0 004f4121 004f5121 004f6121 004f7121 2007-10-12 21:23 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 7 楼 mov esi,0c0000000h+804d8h*4h mov eax,[esi] 结果是 : eax=0 在XP sp2下测试的 2007-10-12 21:46 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 8 楼 Windows XP Kernel Version 2600 UP Free x86 compatible Product: WinNt, suite: TerminalServer SingleUserTS Kernel base = 0x804d8000 PsLoadedModuleList = 0x805543a0 Debug session time: Fri Oct 12 21:47:28.318 2007 (GMT+8) System Uptime: 2 days 5:15:54.394 lkd> dd c0201360 c0201360 ???????? ???????? ???????? ???????? c0201370 ???????? ???????? ???????? ???????? c0201380 ???????? ???????? ???????? ???????? c0201390 ???????? ???????? ???????? ???????? c02013a0 ???????? ???????? ???????? ???????? c02013b0 ???????? ???????? ???????? ???????? c02013c0 ???????? ???????? ???????? ???????? c02013d0 ???????? ???????? ???????? ???????? 2007-10-12 21:48 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 9 楼为什么WinDbg会显示问号呢? 对了,炉子,我的QQ:77389867 你QQ多少 2007-10-12 21:57 0
StarsunYzL 雪币： 454 活跃值： (1673) 能力值： ( LV3，RANK：30 ) 在线值：发帖 29 回帖 440 粉丝 1 关注私信	StarsunYzL 10 楼页表在0xC0000000 页目录会受到PAE的影响，启用PAE页目录在0x00000000C0600000，未启用PAE页目录就在0xC0300000，cr4的第5位标志着是否启用了PAE kd> r cr4 cr4=000006f9 kd> .formats 000006f9 Evaluate expression: Hex: 000006f9 Decimal: 1785 Octal: 00000003371 Binary: 00000000 00000000 00000110 11111001 Chars: .... Time: Thu Jan 01 08:29:45 1970 Float: low 2.50132e-042 high 0 Double: 8.81907e-321 kd> !pte VA 00000000 PDE at 00000000C0600000 PTE at 00000000C0000000 contains 000000000708D067 contains 0000000000000000 pfn 708d ---DA--UWEV 从虚拟地址算PTE：启用PAE时：PTE=(虚拟地址 >> 12)8+0xC0000000 未启用PAE时：PTE=(虚拟地址 >> 12)4+0xC0000000 http://starsunyzl.blog.163.com/blog/static/360026422007816102644707/ 2007-10-13 12:24 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 11 楼先多谢StarsunYzl了,试一下!!! 2007-10-13 12:56 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 12 楼那应该就是PAE了大内存似乎会自动开启PAE。。内存管理很头大＝。＝ 2007-10-14 07:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复