Win7中的页目录

最新推荐文章于 2022-08-26 15:41:14 发布
转载 最新推荐文章于 2022-08-26 15:41:14 发布 · 2.6k 阅读 · 1

转自:http://user.qzone.qq.com/31731705/blog/1324046552


文章  PAE下的虚拟内存映射 分析  (  http://user.qzone.qq.com/31731705/blog/1323414733  )   PAE下的虚拟内存映射 实践  ( http://user.qzone.qq.com/31731705/blog/1323426728  ) 观察了Win7下PAE模式中的内存映射,也谈到了DirBase的特殊性,现在来看看DirBase到底在哪。
 
下面的脚本可以输出进程名称和DirBase的值,
r @$t0 = 0; .printf /D "Address\t\tImageFile\r\n"; !for_each_process "$$ DirBase; r @$t1 = @#Process + 18; $$ ImageFile; r @$t2 = @#Process + 16c; r @$t0=@$t0+1; .printf /D \"%p\\t\\t%ma\\r\\n\", poi(@$t1), @$t2"; .printf /D "There are total %d items.\r\n", @$t0;
 
使用Excel排序后的输出,
Address  ImageFile 
185000  System
dc922020 smss.exe 
dc922040 csrss.exe
dc922060 csrss.exe
dc922080 svchost.exe
dc9220a0 wininit.exe
dc9220c0 services.exe
dc9220e0 lsass.exe
dc922100 lsm.exe
dc922120 winlogon.exe
dc922140 nvvsvc.exe
dc922160 svchost.exe
dc922180 svchost.exe
dc9221a0 engie.exe
dc9221c0 svchost.exe
dc9221e0 svchost.exe
dc922200 stacsv.exe
dc922220 LiveUpdate360.
dc922260 svchost.exe
dc922280 WUDFHost.exe
dc9222a0 ZhuDongFangYu.
dc9222c0 svchost.exe
dc9222e0 wlanext.exe
dc922300 conhost.exe
dc922320 spoolsv.exe
dc922340 HostControlSer
dc922360 HostStorageSer
dc922380 svchost.exe
dc9223a0 svchost.exe
dc9223c0 svchost.exe
dc9223e0 AEstSrv.exe
dc922400 svchost.exe
dc922420 btwdins.exe
dc922440 dsNcService.ex
dc922460 EvtEng.exe
dc922480 svchost.exe
dc9224a0 sqlservr.exe
dc9224c0 svchost.exe
dc9224e0 svchost.exe
dc922500 RegSrvc.exe
dc922520 snmp.exe
dc922540 sqlwriter.exe
dc922560 txupd.exe
dc922580 TdmService.exe
dc9225a0 TDMEAgent.exe
dc9225c0 PEAgent.exe
dc9225e0 PEAgentMonitor
dc922600 vmnat.exe
dc922620 vmware-convert
dc922640 unsecapp.exe
dc922660 vmware-convert
dc922680 WmiPrvSE.exe
dc9226a0 tomcat6.exe
dc9226c0 vmware-convert
dc9226e0 conhost.exe
dc922700 svchost.exe
dc922720 wlcrasvc.exe
dc922740 WLIDSVC.EXE
dc922760 wlcrdpsystem.e
dc922780 DCPButtonSvc.e
dc9227a0 CcmExec.exe
dc9227c0 WLIDSVCM.EXE
dc9227e0 DCPSysMgrSvc.e
dc922800 vmware-authd.e
dc922820 vmnetdhcp.exe
dc922840 vmware-hostd.e
dc922860 WmiPrvSE.exe
dc922880 conhost.exe
dc9228a0 alg.exe
dc9228c0 hidfind.exe
dc9228e0 svchost.exe
dc922900 svchost.exe
dc922920 WmiPrvSE.exe
dc922940 nvvsvc.exe
dc922980 WmiPrvSE.exe
dc9229a0 ApMsgFwd.exe
dc9229c0 svchost.exe
dc9229e0 LMS.exe
dc922a00 svchost.exe
dc922a20 EmEditor.exe
dc922a40 IAStorDataMgrS
dc922a60 SearchIndexer.
dc922a80 TXPlatform.exe
dc922aa0 UNS.exe
dc922ac0 taskhost.exe
dc922b00 explorer.exe
dc922b20 iexplore.exe
dc922b40 chrome.exe
dc922b60 wlcomm.exe
dc922b80 dwm.exe
dc922ba0 chrome.exe
dc922bc0 RMAgent.exe
dc922c00 livekd.exe
dc922c20 SynTPEnh.exe
dc922c40 sttray.exe
dc922c60 IAStorIcon.exe
dc922c80 BTStackServer.
dc922ca0 rundll32.exe
dc922cc0 TDMEAgent.exe
dc922ce0 conhost.exe
dc922d00 WavXDocMgr.exe
dc922d20 Dell.ControlPo
dc922d40 BcmDeviceAndTa
dc922d60 Apoint.exe
dc922d80 wmdc.exe
dc922dc0 ONENOTEM.EXE
dc922de0 acrotray.exe
dc922e00 communicator.e
dc922e20 TdmNotify.exe
dc922e40 Stormtray.exe
dc922e60 chrome.exe
dc922e80 msnmsgr.exe
dc922ea0 BTTray.exe
dc922ee0 ApntEx.exe
dc922f00 DCPSysMgr.exe
dc922f20 QQ.exe
dc922f40 conhost.exe
dc922f60 OUTLOOK.EXE
dc922f80 360tray.exe
dc922fa0 rundll32.exe
dc922fc0 chrome.exe
dc922fe0 QQExternal.exe
defd1020 OSPPSVC.EXE 
defd1080 DctSer.exe
defd10e0 windbg.exe
defd1100 WmiApSrv.exe
defd1120 YodaoDict.exe
defd1140 chrome.exe
defd1160 WordBook.exe
defd1180 chrome.exe
defd11a0 windbg.exe
defd11e0 audiodg.exe
defd1200 taskeng.exe
 
从输出结果看,DirBase的地址分成3块,
1. 185000 System
这个进程始终是特别的,用了一个4K的page存放页目录。
0: kd> !vtop 0 80185000 
X86VtoP: Virt 80185000, pagedir defd11a0
X86VtoP: PAE PDPE defd11b0 - 0000000029b6c801
X86VtoP: PAE PDE 29b6c000 - 0000000000191063
X86VtoP: PAE PTE 191c28 - 0000000000185123
X86VtoP: PAE Mapped phys 185000
Virtual address 80185000 translates to physical address 185000.
0: kd> !pte 80185000 
                    VA 80185000
PDE at C0602000            PTE at C0400C28
contains 0000000000191063  contains 0000000000185123
pfn 191       ---DA--KWEV   pfn 185       -G--A--KWEV
 
2. dc922020 smss.exe
SMSS进程是Windows中第1个真正意义上的进程,它和后续进程的页目录被保存在一个2M的Large Page上。(PAE模式下Large Page是2M)
0: kd> !vtop 0 8a722020 
X86VtoP: Virt 8a722020, pagedir defd11a0
X86VtoP: PAE PDPE defd11b0 - 0000000029b6c801
X86VtoP: PAE PDE 29b6c298 - 00000000dc8009e3
X86VtoP: PAE Large page mapped phys dc922020
Virtual address 8a722020 translates to physical address dc922020.
0: kd> !pte 8a722020 
                    VA 8a722020
PDE at  C0602298            PTE at C0453910
contains 00000000DC8009E3  contains 0000000000000000
pfn dc800     -GLDA--KWEV   LARGE PAGE pfn dc922   
根据页的大小,计算页的起始地址,
0: kd> !vtop 0 8a600000 
X86VtoP: Virt 8a600000, pagedir defd11a0
X86VtoP: PAE PDPE defd11b0 - 0000000029b6c801
X86VtoP: PAE PDE 29b6c298 - 00000000dc8009e3
X86VtoP: PAE Large page mapped phys dc800000
Virtual address 8a600000 translates to physical address dc800000.
0: kd> !pte 8a600000 
                    VA 8a600000
PDE at  C0602298            PTE at C0453000
contains 00000000DC8009E3  contains 0000000000000000
pfn dc800     -GLDA--KWEV   LARGE PAGE pfn dc800    
通过上面的结果得知,0x8a600000是页边界,而DirBase则从8a722020开始,结合上面的进程列表,推测Win7使用近4K(从dc922020到dc923000,实际上是4K少20个字节,0xfe0大小)的空间来保存进程的页目录,因此这页最多可以保存fe0/20=7f(0n127)个进程。上面的进程列表中,DirBase中间的不连续处我猜测是一些曾经运行但已经终止的进程使用过的。
 
3. defd1020 OSPPSVC.EXE
超过了127个进程怎么办?再使用一个Page呗。
0: kd> !pte 881d1020 
                    VA 881d1020
PDE at  C0602200            PTE at C0440E88
contains 00000000DEE009E3  contains 0000000000000000
pfn dee00     -GLDA--KWEV   LARGE PAGE pfn defd1    
0: kd> !vtop 0 881d1020 
X86VtoP: Virt 881d1020, pagedir defd11a0
X86VtoP: PAE PDPE defd11b0 - 0000000029b6c801
X86VtoP: PAE PDE 29b6c200 - 00000000dee009e3
X86VtoP: PAE Large page mapped phys defd1020
Virtual address 881d1020 translates to physical address defd1020.
还是一个Large Page,观察页的起始地址,
0: kd> !vtop 0 88000000 
X86VtoP: Virt 88000000, pagedir defd11a0
X86VtoP: PAE PDPE defd11b0 - 0000000029b6c801
X86VtoP: PAE PDE 29b6c200 - 00000000dee009e3
X86VtoP: PAE Large page mapped phys dee00000
Virtual address 88000000 translates to physical address dee00000.
0: kd> !pte 88000000 
                    VA 88000000
PDE at  C0602200            PTE at C0440000
contains 00000000DEE009E3  contains 0000000000000000
pfn dee00     -GLDA--KWEV   LARGE PAGE pfn dee00    
页边界在88000000,而DirBase是从881d1020开始,根据上个Page 8a600000的观察结果,这页应该是使用881d1020到881d2000的空间保存页目录。
 
最后的总结:System是特别的,测试过几次,System进程的DirBase总是在80185000这个4K的页。其它的进程的DirBase都被保存在一个2M大小的Large page中,进程多的情况下,可能会有多个这样的Large Page。Large Page一般由操作系统来使用,一方面减少开销(不需要PTE了),一方面减少了处理器在Page中的切换提高性能。通常Large Page也是常驻物理内存的。MSDN( http://msdn.microsoft.com/en-us/library/windows/desktop/aa366720(v=vs.85).aspx)上这样描述
•The memory is always read/write and nonpageable (always resident in physical memory). ,
 
最后,附上一张PAE模式下Large Page中地址映射的过程图:



Windbg验证物理地址
m0_62601763的博客
09-21 422
【代码】Windbg验证物理地址。
必备理论知识
weixin_30718391的博客
04-12 191
1.Windows的分段 系统级的段在GDT中定义,GDT存放在内存中,而寄存器GDTR指向该GDT. 通过rM 0x100 查看特殊寄存器: kd> rM 0x100 gdtr=8003f000 gdtl=03ff idtr=8003f400 idtl=07ff tr=0028 ldtr=0000 由此可见,本次gdtr指向0x8003f000 . 或者直...
Windows中表寻址之奥妙
10-14 1821
<br />在Windows的虚拟内存管理方案中,有一个设计值得特别一提,那就是Windows目录自映射机制。Dave Probert很早在一份讲义中提到了这一机制(称为self-mapping page tables),并且给出了清楚的解释(http://i-web.i.u-tokyo.ac.jp/edu/training/ss/msprojects/data/07-ProcessesThreadsVM.pdf,2004年7月)。<br />首先,看下面的一个宏:<br />#define MiGetV
windows和linnux 平台如何启用 Large page?
cpda53349199的博客
12-30 1782
Oracle database在10gR1之后开始支持Large page。我们知道操作系统默认的面大小为4k。如果内存空间比较大,则需要进行频繁的分配和管理寻址动作,管理这些内存的消耗就比较大。启用大后,HugePage...
IIS搭建文件下载服务
ncaptain_的博客
01-10 8201
这里写自定义目录标题一、功能需求二、IIS文件下载服务的搭建三、功能测试 一、功能需求 在学习ESP8266的OTA时,了解到需要一个http服务来下载程序,以便升级使用,正好手头有个腾讯云的服务器,运行的是windows的系统,并且之前已经在上面搭建了IIS组件。so,开始折腾~ 二、IIS文件下载服务的搭建 根据 link了解到IIS文件下载服务需要用到下面4个功能组件。 但是我的IIS中没...
吐槽一下IIS文件下载的坑
qq_42773229的博客
11-08 407
吐槽一下IIS文件下载的坑 如果文件下载地址和文件名中有空格或者加号,你会发现你的文件下载url访问后是404!!!!吃惊!~ 举例说明一下: https://abc.com/Fileurl/File/Contract/测试文件+080/测试文件1183+080.docx https://abc.com/Fileurl/File/Contract/"测试文件+080"销售 工单/测试文件1183+080.docx 解决办法,如下: IIS网站=》请求筛选=》编辑功能设置…=》允许双重转义 =》II
iis配置网站服务器配置不小心把网站删了,配置IIS网站,我遇到的那些坑~
weixin_42398629的博客
08-04 921
配置错误不能在此路径中使用此配置节。如果在父级别上锁定了该节,便会出现这种情况。锁定是默认设置的(overrideModeDefault="Deny"),或者是通过包含 overrideMode="Deny" 或旧有的 allowOverride="false" 的位置标记明确设置的。解决方案:出现这个错误是因为 IIS 7 采用了更安全的 web.config 管理机制,默认情况下会锁住配置项不...
一招解决IIS6.0所有问题。看了还解决不了你抽我~!
nailwl
08-27 2598
这里都是转载,不过我忘了出处,站在我的文章的时候自己搜索一下吧,我这里标明不是原创,希望大家不要太崇拜我。^_^ 其一:2007年09月25日 星期二 22:09Windows系统的Internet Information Server(简称IIS)是大家常用的WEB和FTP站点架设工具,由于其操作简单、易于上手,在互联网中得到广泛应用。网络中IIS的应用是复杂多样的,它的默认配置参数
Windows server 2003安装IIS教程怎么安装iis?win2003 iis服务器实验报告
V13807970340的博客
08-26 1828
到这里Windows server 2003安装IIS就完成了,刚安装的程序在桌面不会显示,可以在开始——程序——管理工具——Internet信息服务(IIS)管理器中打开。4.在组件向导中找到【应用程序服务器】双击打开,能看到【Internet信息服务(IIS)】打钩了,取消勾选会弹出窗口提示是否可以删除组件,点击【是】5.点击【是】后能看到【IIS】和【应用程序服务器控制台】前的勾已经取消了,点击【确定】【下一步】修改 IIS 管理器的Web 服务扩展,将Web 服务扩展中的Active。...
进程与目录
lifemap的专栏
10-06 5859
每个进程都有自己的4G地址空间,从 0x00000000-0xFFFFFFFF 。通过每个进程自己的一套目录表来实现。由于每个进程有自己的目录表,所以每个进程的地址空间映射的物理内存是不一样的。两个进程的同一个虚拟地址处(如果都有物理内存映射)的值一般是不同的,因为他们往往对应不同的物理
[windows内核]目录表基址/表基址
r250414958的博客
08-15 3211
如果系统要保证某个线性地址是有效的,那么必须为其填充正确的PDE与PTE. 如果我们想填充PDE与PTE,那么必须能够访问PDT与PTT,这样就存在2个问题: 系统已经为我们访问PDT与PTT挂好了PDE与PTE,我们只用找到这个线性地址就可以了 系统是怎么帮我们挂好PDE与PTE的? 注意: CR3中存储的是物理地址,不能在程序中直接读取的。如果想读取,也要把Cr3的值挂到PDT和PTT中才能访问,那么怎么通过线性地址访问PDT和PTT呢? 一.目录表基址 目录表基址 = 线性地址:0xC0
【双层鲸鱼算法求解】基于非合作博弈的居民负荷分层调度模型(Matlab代码实现)
06-29
内容概要:本文提出了一种基于非合作博弈理论的居民负荷分层调度模型,并结合双层鲸鱼优化算法(Two-level Whale Optimization Algorithm)进行高效求解,模型与算法均通过Matlab代码实现。研究针对电力系统中居民侧用电负荷的复杂调度问题,引入非合作博弈机制刻画各用户之间的利益竞争关系,实现负荷的分层优化分配;同时设计双层优化架构,上层优化资源配置,下层模拟用户自主决策行为,提升了模型的实用性与合理性。通过智能优化算法求解多层级、非凸非线性的博弈模型,有效提高了调度方案的收敛性与全局寻优能力,适用于现代智能电网中的需求侧管理与能源优化场景。; 适合人群:具备电力系统基础理论知识和Matlab编程能力,从事智能电网、能源优化调度、需求侧管理、博弈论应用等方向的科研人员、高校研究生及工程技术人员。; 使用场景及目标:①应用于居民区电力负荷的分层优化调度系统设计与仿真分析;②为非合作博弈在多主体能源系统建模中的应用提供方法论支持;③利用双层鲸鱼算法解决具有嵌套结构的复杂双层优化问题,提升求解效率与调度方案的可行性。; 阅读建议:建议读者结合提供的Matlab代码深入理解模型构建逻辑与算法实现流程,重点关注博弈模型的效用函数设计、纳什均衡求解思路以及双层优化结构的迭代机制,宜配合实际用电数据开展复现实验以验证模型有效性与鲁棒性。
如何打造区域科技成果转化高地.docx
06-29
如何打造区域科技成果转化高地
【基于可再生能源的微电网功率管理系统】基于自适应神经模糊推理系统智能控制器的可再生能源微电网功率管理系统及经济机组组合调度研究(Simulink仿真实现)
06-29
内容概要:本文围绕基于自适应神经模糊推理系统(ANFIS)智能控制器的可再生能源微电网功率管理系统展开研究,结合Simulink仿真实现,深入探讨了微电网中功率的智能调控与经济机组组合调度问题。通过引入ANFIS控制器,有效应对风能、光伏等可再生能源出力的波动性与不确定性,提升系统运行的稳定性与电能质量。研究内容涵盖微电网多源协调控制策略、功率平衡管理、优化调度模型构建及仿真验证,实现了对分布式电源、储能系统和负荷的协同优化,兼顾经济性与可靠性目标,并通过仿真平台验证了所提方法的有效性与优越性。; 适合人群:具备电力系统、自动化或新能源相关专业背景,熟悉Matlab/Simulink仿真环境,从事微电网能量管理、智能控制、能源优化等领域研究的研究生、科研人员及工程技术人员。; 使用场景及目标:①用于高比例可再生能源接入场景下的微电网能量管理系统研发与教学实践;②为实现微电网功率稳定控制与经济高效运行提供先进的智能控制解决方案;③支撑高水平学术论文复现、科研课题攻关及实际工程项目的仿真验证与方案优化。; 阅读建议:建议结合提供的Simulink模型与相关代码进行动手实践,重点关注ANFIS控制器的设计流程、规则库构建与参数调优方法,并通过与传统PID或MPC控制策略的对比实验,深入理解其在动态响应与鲁棒性方面的优势。同时可进一步拓展文中提出的优化调度逻辑,应用于多目标、多约束的复杂实际应用场景中。
如何构建开放协同的产学研合作平台.docx
06-29
如何构建开放协同的产学研合作平台
直流电机双闭环控制Matlab仿真
06-29
内容概要:本文档聚焦于“直流电机双闭环控制Matlab仿真”,系统阐述了基于Matlab/Simulink平台实现直流电机双闭环控制系统(主要包括速度环与电流环)的设计与仿真全过程。通过构建直流电机的数学模型,结合PI控制器进行调控,实现对电机转速和电枢电流的高精度动态控制,验证控制策略的稳定性与响应性能。文档详细介绍了仿真模型的搭建流程、关键参数的整定方法、系统动态波形的分析手段以及仿真结果的有效性验证,体现了经典自动控制理论在实际电机系统中的工程应用,是电机控制与电力电子技术相结合的典型研究案例。; 适合人群:具备自动控制原理、电机与拖动基础、电力电子技术和Matlab/Simulink仿真能力的电气工程、自动化、机电一体化等专业的本科生、研究生及从事电机驱动系统研发的工程技术人员。; 使用场景及目标:①作为高校课程设计或实验教学材料,帮助学生深入理解双闭环调速系统的工作机理与工程实现;②服务于科研项目,为新型电机控制算法(如滑模、模糊PID等)的开发与性能对比提供基础仿真验证平台;③作为工业界产品前期设计的仿真工具,用于评估不同控制策略在动态响应、抗干扰能力和稳态精度方面的可行性。; 阅读建议:建议读者在学习过程中紧密结合自动控制理论知识,亲手在Simulink环境中搭建完整的双闭环仿真模型,通过反复调整PI控制器的比例与积分参数,观察并分析转速、电流的阶跃响应曲线,从而深刻理解反馈控制的本质、系统稳定性条件以及参数整定对动态性能的影响,进而掌握电机控制系统的设计精髓。
工具变量-保护水平DID数据.txt
最新发布
06-29
因文件较多,数据存放网盘,txt文件内包含下载链接及提取码,永久有效。失效会第一时间进行补充。样例数据及详细介绍参见文章:https://blog.csdn.net/T0620514/article/details/162430621
政府科技管理资源配置如何优化.docx
06-29
科易网基于40亿+科创知识图谱数据库,深度探索AI技术在技术转移、成果转化、技术经纪、知识产权、产业创新、科技招商等垂直领域的多样化应用场景,研究科技创新领域的AI+数智化解决方案,推动科技创新与产业创新智能化发展。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值