windows内核研究（内存管理-线性地址的管理）

内存管理

---

线性地址的管理

进程空间的地址划分

分区	x86 32位Windows
空指针赋值区	0x00000000 - 0x0000FFFF
用户模式区	0x00010000 - 0x7FFEFFFF
64KB禁入区	0x7FFF0000 - 0x7FFFFFFF
内核	0x80000000 - 0xFFFFFFFF

线性地址有4GB，但是并不是所有的地方都能访问（这里的不能访问只是默认情况下，一但给这些区域挂上物理页还是可以访问的），所以需要记录哪些地方分配了

在内核空间是通过一个链表把所有未分配的空间链在一起
但是在用户空间，这样管理的效率太低，而是通过收索二叉树来管理

在_EPROCESS结构体当中有一个成员VadRoot，这个成员就是这个二叉树的入口点

由于我是用64位windbg分析32位的系统，版本等原因导致VadRoot的地址未被正常解析出来，所以我们直接加上偏移来解析这个地址

dt _RTL_AVL_TREE (ac110040 + 310)  // 进程地址ac110040 + 偏移310 VadRoot处

得到地址：0xbb925678

VadRoot通常每一个节点都是_MMVAD结构，但是现在的windows对VadRoot进行了优化，并不直接指向_MMVAD，而是通过AVL 树/红黑树的结构来进行优化访问和存储可以使用以下命令直接遍历VadRoot

!vad 地址 // 遍历vad

字段	示例值	含义
VAD 节点地址	bb923260	该 VAD 节点在内核中的内存地址（_MMVAD 结构地址）
Level	8	该节点在 VAD 树中的深度（层级）
Start	580	内存区域的起始页号（需转换为虚拟地址：Start << PAGE_SHIFT，32位系统 PAGE_SHIFT=12，即 0x580000）
End	5a7	内存区域的结束页号（0x5A7000）
Commit	5	已提交的物理页数量（单位：页，每页通常 4KB）
Type	Mapped	内存类型： • Private（私有内存，如堆/栈） • Mapped（映射文件或共享内存）
Subtype	Exe	子类型（仅适用于 Mapped 类型）： • Exe（可执行文件映射） • Image（镜像文件） • 其他（如 Pagefile）
Protection	EXECUTE_WRITECOPY	内存保护标志： • READONLY/READWRITE • EXECUTE/EXECUTE_WRITECOPY • PAGE_GUARD（保护页）
File/Desc	\Users\...\x32dbg.exe	如果是文件映射，显示文件路径；如果是共享内存，显示描述信息（如 Pagefile section）

Private Memory

申请内存的两种方式：

1. 通过VirtualAlloc/VirtualAllocEx申请的：Private Memory（当前的进程独享内存）
2. 通过CreateFileMapping映射的：Mapped Memory

我们来通过代码来看一下VirtualAlloc在没有分配和分配后的线性地址

#include<iostream>
#include<windows.h>LPVOID lpAddr;int main() {printf("当前内存还未申请！");getchar();lpAddr = VirtualAlloc(NULL, 0x1000 * 2, MEM_COMMIT, PAGE_READWRITE);printf("申请的内存地址：0x%x", lpAddr);system("pasue");return 0;
}

此时内存还未申请，我们用windbg查看一下当前进程的线程地址

回到程序让程序申请内存后我们再来看下

可以看到在我们没有分配内存时，0xbc0位置是没有分配的，可以看上面对应的属性和我们申请时填写的一致

堆与栈

那这个VirtualAlloc和我们在写c/c++程序时，用到的molloc/new关键字有什么区别呢，c/c++使用的申请是在堆当中申请的它们的低层实现是HeapAlloc，它是由操作系统提前通过VirtualAlloc申请好的一块内存空间，当使用molloc/new时，就会把申请好的地址给挂过去

代码测试

#include<iostream>
#include<Windows.h>int num = 0x789;int main() {printf("申请内存之前！");getchar();// 在栈上分配内存int stack = 0x123;// 在堆上分配内存int* heap = new int(0x456);printf("栈空间的地址：0x%x\n",&stack);printf("堆空间的地址：0x%x\n",heap);printf("全局变量的地址：0x%x\n", &num);system("pause");return 0;
}

可以发现在我们程序中无论是全局变量，还是堆空间，栈空间中的内存在程序运行时就已经存在了

可以发现全局变量是在我们的程序中的一个位置写死的

Mapped Memory

上面讲到Private Memory是推私有的，而Mapped Memory是共享的，可以是文件共享或者是物理页共享

在上图中，Mapped后面有对应文件路径的就是文件共享，反之就是物理页共享

代码测试

#include<iostream>
#include<windows.h>int main(){// 第一个参数如果提供一个文件的句柄，那么创建出来的就是文件映射，否则就是内存映射。HANDLE g_hMapFile = CreateFileMapping(INVALID_HANDLE_VALUE,NULL,PAGE_READWRITE,0,BUFSIZ,L"共享内存");// 将物理页与线性地址进行关联LPTSTR g_lpBuff = (LPTSTR)MapViewOfFile(g_hMapFile,FILE_MAP_ALL_ACCESS,0,0,BUFSIZ);*(PDWORD)g_lpBuff = 0x12345678;printf("A进程写入地址内容：%p - %x",g_lpBuff,*(PDWORD)g_lpBuff);system("pause");return 0;
}

我们再到windbg中遍历一下

可以看到B30的位置已经分配好了物理页，然后我们就可以在其他进程获取到这个创建好的内存空间

代码测试

#include <iostream>
#include <windows.h>int main() {HANDLE g_hMapFile = OpenFileMapping(FILE_MAP_ALL_ACCESS, FALSE, L"共享内存");// 将物理页与线性地址进行映射LPTSTR g_lpBuff = (LPTSTR)MapViewOfFile(g_hMapFile, FILE_MAP_ALL_ACCESS, 0, 0, BUFSIZ);printf("B进程读取%x", *(PDWORD)g_lpBuff);system("pause");return 0;
}

可以看到我们成功的读取到了内容

共享文件

#include<iostream>
#include<windows.h>int main(){HANDLE g_hFile = CreateFile(L"newMemory.exe",GENERIC_READ|GENERIC_WRITE,FILE_SHARE_READ,NULL,OPEN_ALWAYS, FILE_ATTRIBUTE_READONLY, NULL);HANDLE g_hMapFile = CreateFileMapping(g_hFile,NULL,PAGE_READWRITE,0,BUFSIZ,NULL);LPTSTR g_lpBuff = (LPTSTR)MapViewOfFile(g_hMapFile, FILE_MAP_ALL_ACCESS, 0, 0, BUFSIZ);printf("地址：0x%x",g_lpBuff);system("pause");return 0;
}

windbg中查看

可以看到已经成功的映射到了我们的文件上

写拷贝

可以看到这里的有一部分它的类型是EXECUTE_WRITECOPY，Mapped的后面还有一个Exe，这又是什么呢？

代码测试

#include<iostream>
#include<windows.h>int main(){LoadLibrary(L"C:\\Users\\win10x32\\Desktop\\gxnc.exe");system("pause");return 0;
}

可以看到当我们以LoadLibrary载入一个PE文件时，它的属性会被设置为EXECUTE_WRITECOPOY，所以我们看到的kernel32.dll，KernelBase.dll，其实都是操作系统用LoadLibrary一个个加载的，本质上没有任何区别，设置为EXECUTE_WRITECOPOY是因为当前系统环境有很多进程都在使用，也都可以对该文件进行修改，那这样以来，一但某一个进程修改了系统dll，那其他使用这个dll的进程就会出问题