windows内核情景分析学习笔记12
来源:互联网 发布:网络恐怖小说排行榜 编辑:程序博客网 时间:2024/06/06 01:28
1、windows进程的用户空间
windows用户空间与系统空间的分界线是0x80000000。
应用软件在用户空间可以访问的最高地址是0x7ffeffff,从0x7fff0000就不让访问了,因为在分界线下留了64KB的隔离区。
应用软件在用户空间可以访问的最低地址是0x00010000,从0开始的64KB也不让访问。
特殊空间:
在系统空间的0xffdf0000处,存放着_KUSER_SHARED_DATA结构(4KB),这个结构是所有进程共享的。这个结构的字段都是一些系统信息,如NtSystemRoot字段,存放的是系统根目录的路径名。
用户空间中的格局安排:
用户空间的创建及其大的格局由内核函数MmInitializeProcessAddressSpace()实现。
除了EXE文件,还有一些DLL也要装入或映射到用户空间,其中有ntdll.dll是特殊的。此DLL在内核初始化时候,系统为其创建了一个文件映射区对象,并使全局指针PspSystemDllSection指向该对象的数据结构。
在MmInitializeProcessAddressSpace后,使用PspMapSystemDll建立ntdll.dll的映射。
之后,是进程环境块PEB的建立。这是由MmCreatePeb完成的。
- windows内核情景分析学习笔记12
- windows内核情景分析学习笔记1
- windows内核情景分析学习笔记2
- windows内核情景分析学习笔记3
- windows内核情景分析学习笔记4
- windows内核情景分析学习笔记5
- windows内核情景分析学习笔记6
- windows内核情景分析学习笔记7
- windows内核情景分析学习笔记8
- windows内核情景分析学习笔记9
- windows内核情景分析学习笔记10
- windows内核情景分析学习笔记11
- Windows内核情景分析学习笔记P38---P41
- windows内核情景分析笔记1.3 IRQL
- Windows内核情景分析 学习日志之一
- windows内核情景分析
- windows 内核情景分析---说明
- windows内核情景分析 --APC
- 2 忙,但不能没有目标
- 查看有关备份的信息
- MFC使用Skin++外观美化
- 由约瑟夫问题的O(n)解法展开去
- 如何优化C语言代码(程序员必读)(转211中国电子网)
- windows内核情景分析学习笔记12
- HTTP 1.1与HTTP 1.0的比较
- 在下拉框中显示选定值
- sizeof运算符
- TAPI学习笔记
- Struts中Cannot find bean XXX in any scope的问题
- Wave Driver介绍-4(Wave API waveOutOpen)
- [推荐]林锐:大学十年(一个程序员的路程)
- java执行几条unix命令,并将执行结果追加到文件