《Undocumented Windows 2000 Secrets》翻譯 --- 第四章(9)
第四章 探索 Windows 2000 的內存管理機制
翻譯: Kendiv( fcczj@263.net )
更新: Tuesday, February 22, 2005
聲明:轉載請注明出處,并保證文章的完整性,本人保留譯文的所有權利。
Windows 2000 的分段和描述符
w2k_mem.exe 的另一個很棒的選項是 +e ,該選項將顯示和說明處理器的段寄存器和描述表的內容。 示列 4-13 給出了其典型輸出。 CS 、 DS 和 ES 段寄存器的內容非常清晰的證明了 Windows 2000 為每個進程提供了平坦的 4GB 地址空間:起始于 0x00000000 ,終止于 0xFFFFFFFF 。 示列 4-13 中最右邊的標志符用來表示段的類型,該段的類型由它的描述符的 Type 成員給出。代碼和數據段的 Type 屬性可分別符號化為“ cra ”和“ ewa ”。省略號“ - ”意味著相應的屬性沒有設置。一個任務狀態段( Task State Segment , TSS )僅能有“ a ”(可用)和“ b ”(忙)兩種屬性。 表 4-5 給出了所有可用的屬性。 示列 4-13 展示了 Windows 2000 的 CS 段的不一致性, CS 段允許執行和讀取,而 DS 、 ES 、 FS 和 SS 段的屬性則是可擴展和讀 / 寫訪問。另一個不明顯但十分重要的細節是 CS 、 FS 和 SS 段的 DPL 在用戶模式和內核模式并不相同。 DPL 是描述符特權級別( Descriptor Privilege Level )。對于代碼段( CS ),僅當調用者位于其 DPL 指定的特權級時才能調用該段中的代碼(參考 Intel 1999c, pp. 4-8f )。在用戶模式, CS 段的 DPL 為 3 ;在內核模式,其 DPL 為 0 。對于數據段( DS ),其 DPL 是最低的特權級,在用戶模式下,所有特權級都可訪問它,而在內核模式下,僅允許特權 0 訪問。
示列 4-13. 顯示 CPU 信息
IDT 和 GDT 寄存器的內容顯示了 GDT 的范圍是: 0x8003F000 --- 0x8003F3FF ,緊隨其后的就是 IDT ,其地址范圍是: 0x8003F400 --- 0x8003FBFF 。由于每個描述符占用 64 位,故 GDT 和 IDT 分別包含 128 和 256 個項。注意, GDT 可容納 8,192 個項,但 Windows 2000 僅使用了其中的一小部分。
表 4-5 代碼和數據段的 Type 屬性
段
屬 性
描 述
CODE
c
使段一致(低特權的代碼可能進入)
CODE
r
允許讀訪問(和僅執行訪問相斥)
CODE
a
段可以訪問
DATA
e
向下擴展段(堆棧段的典型屬性)
DATA
w
允許寫訪問(和僅讀取訪問相斥)
DATA
a
段可以訪問
TSS32
a
任務狀態段可用
TSS32
b
任務狀態段繁忙
W2k_mem.exe 還提供了兩個很有特色的選項 ----+g 和 +i ,這兩個選項可顯示 GDT 和 IDT 的更多細節。 示列 4-14 示范了 +g 選項的輸出。它很類似于 示列 4-13 中的“ kernel-model segment: ”一節,但列出了在內核模式下所有可用的段選擇子( selector ),而不僅僅是存儲在段寄存器中的那些。 W2k_mem.exe 通過遍歷整個 GDT 來獲取所有的段選擇子,可通過 IOCTL 函數 SPY_IO_SEGMENT 來指示 Spy 設備查詢段信息。僅顯示有效的選擇子。比較 示列 4-13 和 4-14 中的 GDT 選擇子將十分有趣, GDT 的選擇子定義于 ntddk.h 中,匯總在 表 4-6 。顯然,它們與 w2k_mem.exe 的輸出是一致的。
示列 4-14. 顯示 GDT 描述符
表 4-6. 定義于 ntddk.h 中的 GDT 選擇子( selector )
符 號
值
注 釋
KGDT_NULL
0x0000
空的段選擇子(無效)
KGDT_R0_CODE
0x0008
內核模式的 CS 寄存器
KGDT_R0_DATA
0x0010
內核模式的 SS 寄存器
KGDT_R3_CODE
0x0018
用戶模式的 CS 寄存器
KGDT_R3_DATA
0x0020
用戶模式的 DS 、 ES 和 SS 寄存器,內核模式的 DS 和 ES 寄存器
KGDT_TSS
0x0028
位于用戶和內核的任務狀態段
KGDT_R0_PCR
0x0030
內核模式的 FS 寄存器(處理器控制區域)
KGDT_R3_TEB
0x0038
用戶模式的 FS 寄存器(線程環境塊)
KGDT_VDM_TILE
0x0040
基地址 0x00000400 ,限制 0x0000FFFF ( Dos 虛擬機)
KGDT_LDT
0x0048
本地描述符表
KGDT_DF_TSS
0x0050
Ntoskrnl.exe 變量 KiDoubleFaultTSS
KGDT_NMI_TSS
0x0058
Ntoskrnl.exe 變量 KiNMITSS
示列 4-14 中的選擇子( selector )沒有在 表 4-6 中列出,其中的某些選擇子可以通過查找熟悉的基地址或其內存內容來確認它們。使用內核調試器可查找其中某些選擇子的基地址對應的符號。 表 4-7 給出了我已經確認的選擇子。
W2k_mem.exe 的 +i 選項可轉儲 IDT 中的門描述符( Gate Descriptor )。 示列 4-15 給出了 IDT 的門描述符的部分內容, Intel 僅定義了 IDT 中的前 20 個門描述符( Intel 1999c, pp. 5-6 )。 IDT 中的中斷 0x14 到 0x1F 由 Intel 保留;剩余的 0x20 到 0xFF 由操作系統使用。
在 表 4-8 中,我給出了所有可確認的特殊的中斷、陷阱和任務門。大多數用戶自定義的中斷都指向啞元例程 ---KiUnexpectedinterruptnNNN() ,在前面我們已經解釋過它。對于某些中斷處理例程的地址,內核調試器也無法解析其地址對應的符號。
表 4-7. 更多的 GDT 選擇子( selector )
值
基地址
描 述
0x0078
0x80400000
Ntoskrnl.exe 的代碼段
0x0080
0x80400000
Ntoskrnl.exe 的數據段
0x00A0
0x814985A8
TSS ( EIP 成員指向 HalpMcaExceptionHandlerWrapper )
0x00E0
0xF0430000
ROM BIOS 代碼段
0x00F0
0x8042DCE8
Ntoskrnl.exe 函數 KiI386CallAbios
0x0100
0xF0440000
ROM BIOS 數據段
0x0108
0xF0440000
ROM BIOS 數據段
0x0110
0xF0440000
ROM BIOS 數據段
示列 4-15. 顯示 IDT 門描述符
表 4-8. Windows 2000 中斷、陷阱和任務門
INT
Intel 定義的描述符
擁有者
處理例程 /TSS
0x00
整除錯誤( DE )
ntoskrnl.exe
KiTrap00
0x01
調試( DB )
ntoskrnl.exe
KiTrap01
0x02
NMI 中斷
ntoskrnl.exe
KiNMITSS
0x03
斷點( BP )
ntoskrnl.exe
KiTrap03
0x04
溢出( OF )
ntoskrnl.exe
KiTrap04
0x05
越界( BR )
ntoskrnl.exe
KiTrap05
0x06
未定義的操作碼( UD )
ntoskrnl.exe
KiTrap06
0x07
沒有數學協處理器( NM )
ntoskrnl.exe
KiTrap07
0x08
Double Fault ( DF )
ntoskrnl.exe
KiDouble
0x09
協處理器段溢出
ntoskrnl.exe
KiTrap09
0x0A
無效的 TSS ( TS )
ntoskrnl.exe
KiTrap0A
0x0B
段不存在( NP )
ntoskrnl.exe
KiTrap0B
0x0C
堆棧段故障( SS )
ntoskrnl.exe
KiTrap0C
0x0D
常規保護( GP )
ntoskrnl.exe
KiTrap0D
0x0E
頁故障( PF )
ntoskrnl.exe
KiTrap0E
0x0F
Intel 保留
ntoskrnl.exe
KiTrap0F
0x10
Math Fault ( MF )
ntoskrnl.exe
KiTrap10
0x11
對齊檢查( AC )
ntoskrnl.exe
KiTrap11
0x12
Machine Check ( MC )
?
?
0x13
流 SIMD 擴展
ntoskrnl.exe
KiTrap0F
0x14-0x1F
Intel 保留
ntoskrnl.exe
KiTrap0F
0x2A
用戶自定義
ntoskrnl.exe
KiGetTickCount
0x2B
用戶自定義
ntoskrnl.exe
KiCallbackReturn
0x2C
用戶自定義
ntoskrnl.exe
KiSetLowWaitHighThread
0x2D
用戶自定義
ntoskrnl.exe
KiDebugSerice
0x2E
用戶自定義
ntoskrnl.exe
KiSystemService
0x2F
用戶自定義
ntoskrnl.exe
KiTrap0F
0x30
用戶自定義
hal.dll
HalpClockInterrupt
0x38
用戶自定義
hal.dll
HalpProfileInterrupt
Windows 2000 的內存區域
W2k_mem.exe 的最后一個還未討論的選項是: +b 選項。該選項會產生 4GB 地址空間中相鄰內存區域的列表,這個列表非常大。 W2k_mem.exe 使用 Spy 設備的 IOCTL 函數 SPY_IO_PAGE_ENTRY 遍歷整個 PTE 數組(位于地址 0xC0000000 )來生成這個列表。在作為結果的每個 SPY_PAGE_ENTRY 結構中,通過將它們的 dSize 成員與其對應的 PTE 線性地址相加即可得到下一個 PTE 的地址。 列表 4-30 給出了該選項的實現方式。
DWord WINAPI DisplayMemoryBlocks (HANDLE hDevice)
{
SPY_PAGE_ENTRY spe;
PBYTE pbPage, pbBase;
DWORD dBlock, dPresent, dTotal;
DWORD n = 0;
pbPage = 0;
pbBase = INVALID_ADDRESS;
dBlock = 0;
dPresent = 0;
dTotal = 0;
n += _printf (L'rnContiguous memory blocks:'
L'rn-------------------------rnrn');
do {
if (!IoControl (hDevice, SPY_IO_PAGE_ENTRY,
&pbPage, PVOID_,
&spe, SPY_PAGE_ENTRY_))
{
n += _printf (L' !!! Device I/O error !!!rn');
break;
}
if (spe.fPresent)
{
dPresent += spe.dSize;
}
if (spe.pe.dValue)
{
dTotal += spe.dSize;
if (pbBase == INVALID_ADDRESS)
{
n += _printf (L'%5lu : 0x%08lX ->',
++dBlock, pbPage);
pbBase = pbPage;
}
}
else
{
if (pbBase != INVALID_ADDRESS)
{
n += _printf (L' 0x%08lX (0x%08lX bytes)rn',
pbPage-1, pbPage-pbBase);
pbBase = INVALID_ADDRESS;
}
}
}
while (pbPage += spe.dSize);
if (pbBase != INVALID_ADDRESS)
{
n += _printf (L'0x%08lXrn', pbPage-1);
}
n += _printf (L'rn'
L' Present bytes: 0x%08lXrn'
L' Total bytes: 0x%08lXrn',
dPresent, dTotal);
return n;
}
列表 4-30. 查找相鄰的線性內存塊
示列 4-16 摘錄了在我的機器上使用 +b 選項的輸出列表,可以看出其中的幾個區域非常有趣。一些非常明顯的地址是: 0x00400000 ,這是 w2k_mem.exe 內存映像的起始地址(第 13 號塊),還有一個是 0x10000000 ,此處是 w2k_lib.dll 的基地址(第 23 號塊)。 TEB 和 PEB 頁也很容易認出(第 104 號塊), hal.dll (第 105 號塊), ntoskrnl.exe (第 105 號塊), win32k.sys (第 106 號塊)。第 340---350 號塊是系統 PTE 數組的一小段,第 347 號塊是頁目錄的一部分。第 2122 號塊包含 SharedUserData 區域,第 2123 號塊由 KPCR 、 KPRCB 和包含線程和進程狀態信息的 CONTEXT 結構組成。
示列 4-16. 相鄰內存塊列表示列
還需要補充一下, W2k_mem.exe 的 +b 選項會報告有大量的內存被使用,這可能超出了一個合理的值(比如,你機器上的物理內存數)。請注意 示列 4-16 底部給出的匯總信息。我現在真的使用了 700MB 的內存嗎? Windows 2000 的任務管理器顯示是 150MB ,那么這兒的又是什么呢?這種奇特的效果都是由第 105 號內存塊產生的,該內存塊表示的范圍: 0x80000000----0xA01A5FFF 占用了 0x201A6000 字節,也就是說占用了 538,599,424 字節。這顯然是不可能的。問題是整個線性地址空間: 0x80000000 ---- 0x9FFFFFFF 都被映射到了物理內存: 0x00000000 ---- 0x1FFFFFFF ,在前面我已經提及過這一點。該區域中的所有 4MB 頁都對應地址 0xC0300000 處的頁目錄中的一個有效的 PDE ,我們可以使用 w2k_mem +d #0x200 0xC0300800 命令來證明這一點( 示列 4-17 )。因為結果列表中的所有 PDE 都是奇數( 譯注:如果 PDE 為奇數,證明其 P 位肯定為 1 ),所以它們對應的頁都必須存在;不過,它們并不需真正占用物理內存。事實上,這一內存區域的大部分都是“空洞( hole )”,如果將其復制到緩沖區中,可發現它們都被 0xFF 填充。因此,對于 w2k_mem.exe 輸出的內存使用情況,你不需要過于認真。
示列 4-17. 地址范圍是: 0x80000000 --- 0x9FFFFFFF 的 PDE
Windows 2000 的內存布局 本章的最后一部分將給出在一個 Windows 2000 進程“看”來, 4GB 線性地址空間的總體布局是什么樣子。 表 4-9 給出了多個基本數據結構的內存范圍。它們之間的“大洞( big hole )” 有不同的用途,如,用于進程模塊和設備驅動程序的加載區域,內存池,工作集鏈表等等。注意,有些內存地址和內存塊的大小在不同的系統之間有很大的差異,這 取決于物理內存和硬件的配置情況、進程的屬性以及其他一些系統變量。因此,這里給出的僅僅是一個草圖而已,并不是精確的布局圖。
有些物理內存塊在線性地址空間中出現的兩次或更多次。例如, SharedUserData 區域位于線性地址 0xFFDF0000 ,并且并鏡像到 0x7FFE0000 。這兩個地址都指向物理內存中的同一個頁,這意味著,如果向 0xFFDF0000+n 處寫入一個字節,那么 0x7FFE0000+n 處的值也會隨之改變。這是一個虛擬內存的世界 ---- 一個物理地址可以被映射到線性地址空間中的任何地方,即使一個物理地址在同一時間映射到多個線性地址也是可以的。回憶一下 圖 4-3 和 圖 4-4 ,它們清楚地展示了線性地址的這種“虛假行為”。它們的目錄和表位域正確的指向用來確定數據實際位置的結構體。如果兩個 PTE 的 PFN 恰好是相同的,那么它們對應的線性地址將指向物理內存相同位置。
表 4-9. 進程地址空間中的可確認的內存區域
起始地址
結束地址
十六進制大小
類型 / 描述
0x00000000
0x0000FFFF
10000
底部的受保護塊( Lower guard block )
0x00010000
0x0001FFFF
10000
WCHAR[]/ 環境字符串,在一個 4KB 頁中分配
0x00020000
0x0002FFFF
10000
PROCESS_PARAMETERS/ 在一個 4KB 頁中分配
0x00030000
0x0012FFFF
1000000
DWORD[4000]/ 進程堆棧(默認; 1MB )
0x7FFDD000
0x7FFDDFFF
1000
TEB/1# 線程的線程環境塊
0x7FFDE000
0x7FFDEFFF
1000
TEB/2# 線程的線程環境塊
0x7FFDF000
0x7FFDFFFF
1000
PEB/ 進程環境塊
0x7FFE0000
0x7FFE02D7
2D8
KUSER_SHARED_DATA/ 用戶模式下的 SharedUserData
0x7FFF0000
0x7FFFFFFF
10000
頂部的受保護塊( Upper guard block )
0x80000000
0x800003FF
400
IVT/ 中斷向量表
0x80036000
0x800363FF
400
KGDTENTRY[80]/ 全局描述符表
0x80036400
0x80036BFF
800
KIDTENTRY[100]/ 中斷描述符表
0x800C0000
0x800FFFFF
40000
VGA/ROM BIOS
0x80244000
0x802460AA
20AB
KTSS/ 內核任務狀態段(繁忙)
0x8046AB80
0x8046ABBF
40
KeServiceDescriptorTable
0x8046AB
0x8046ABFF
40
KeServiceDescriptorTableShadow
0x80470040
0x804700A7
68
KTSS/KiDoubleFaultTSS
0x804700A8
0x8047010F
68
KTSS/KiNMITSS
0x804704D8
0x804708B7
3E0
PROC[F8]/KiServiceTable
0x804708B8
0x804708BB
4
DWORD/KiServiceLimit
0x804708BC
0x804709B3
F8
BYTE[F8]/KiArgumentTable
0x814C6000
0x82CC5FFF
1800000
PFN[100000]/MmPfnDatabase (最大為 4GB )
0xA01859F0
0xA01863EB
9FC
PROC[27F]/W32pServiceTable
0xA0186670
0x A01863EE
27F
BYTE[27F]W32pArgumentTable
0xC0000000
0xC03FFFFF
400000
X86_PE[100000]/ 頁目錄和頁表
0xC1000000
0xE0FFFFFF
20000000
系統緩存( MmSystemCacheStart, MmSystemCacheEnd )
0xE1000000
0xE77FFFFF
6800000
頁池( Paged Pool )( MmPagedPoolStart, MmPagedPoolEnd )
0xF0430000
0xF043FFFF
10000
ROM BIOS 代碼段
0xF0440000
0xF044FFFF
10000
ROM BIOS 數據段
0xFFDF0000
0xFFDF02D7
2D8
KUSER_SHARED_DATA/ 內核模式下的 SharedUserData
0xFFDFF000
0xFFDFF053
54
KPCR/ 處理器控制區(內核模式 FS 段)
0xFFDFF120
0xFFDFF13B
1C
KPRCB/ 處理器控制塊
0xFFDFF13C
0xFFDFF407
2CC
CONTEXT/ 線程 CONTEXT ( CPU 狀態)
0xFFDFF620
0xFFDFF71F
100
后備鏈表目錄( Lookaside list DirectorIEs )
網公網安備