Windows分页管理机制的学习（一）实践2

（二）针对开启PAE模式来进行分析

测试机器Win7 32位系统：（Dbgview.exe程序的线性（虚拟）地址与物理地址的对应）

根据读INTEL手册可知，开启了PAE模式后线性（虚拟）地址的结构发生了变化(开启PAE后PDE共4*4kb，每项8byte )：

 

30~31位变成了PDPTE

 

首先在虚拟机中打开OD，加载Dbgview.exe记录下入口点地址：00415757

 

 

将线性（虚拟）地址转化为二进制后：00000000 01000001 01010111 01010111

根据INTEL手册进行分段：

00       000000010     000010101     011101010111

PDPTE    PDE      PTE          物理地址

 

打开WindDbg，查看DebugView 中EPROCESS==>KPROCESS==>DirectoryTableBase：

 

为0x7ed17600

 

PDPTE:00 ==》 0 ==》 5bc8e801 ==》 起始地址：5bc8e000

由于PDE：000000010 ==》 0x2 所以有：

 

403dc867 ==》 起始地址： 403dc000，

由于PTE ：000010101 ==》 0x15 所以有：

 

3d7f2005 ==》 起始地址： 3d7f2000，

由于物理地址：011101010111 ==》 0x757 

所以：

 

对比OD加载的虚拟机地址处的机器码：

 

一致！接下来修改物理地址：!eb 3d7f2757 80 执行完毕后查看OD~

 

 

对应的也修改了，说明找到物理地址是正确的！