《Undocumented Windows 2000 Secrets》翻译 --- 第四章（9）

第四章  探索Windows 2000的内存管理机制

翻译：Kendiv( fcczj@263.net )

更新：Tuesday, February 22, 2005

 

声明：转载请注明出处，并保证文章的完整性，本人保留译文的所有权利。

 

Windows 2000的分段和描述符

w2k_mem.exe的另一个很棒的选项是+e，该选项将显示和说明处理器的段寄存器和描述表的内容。示列4-13给出了其典型输出。CS、DS和ES段寄存器的内容非常清晰的证明了Windows 2000为每个进程提供了平坦的4GB地址空间：起始于0x00000000，终止于0xFFFFFFFF。示列4-13中最右边的标志符用来表示段的类型，该段的类型由它的描述符的Type成员给出。代码和数据段的Type属性可分别符号化为“cra”和“ewa”。省略号“-”意味着相应的属性没有设置。一个任务状态段（Task State Segment，TSS）仅能有“a”（可用）和“b”（忙）两种属性。表4-5给出了所有可用的属性。示列4-13展示了Windows 2000的CS段的不一致性，CS段允许执行和读取，而DS、ES、FS和SS段的属性则是可扩展和读/写访问。另一个不明显但十分重要的细节是CS、FS和SS段的DPL在用户模式和内核模式并不相同。DPL是描述符特权级别（Descriptor Privilege Level）。对于代码段（CS），仅当调用者位于其DPL指定的特权级时才能调用该段中的代码（参考Intel 1999c, pp. 4-8f）。在用户模式，CS段的DPL为3；在内核模式，其DPL为0。对于数据段（DS），其DPL是最低的特权级，在用户模式下，所有特权级都可访问它，而在内核模式下，仅允许特权0访问。

 

示列4-13.  显示CPU信息

 

IDT和GDT寄存器的内容显示了GDT的范围是：0x8003F000 --- 0x8003F3FF，紧随其后的就是IDT，其地址范围是：0x8003F400 --- 0x8003FBFF。由于每个描述符占用64位，故GDT和IDT分别包含128和256个项。注意，GDT可容纳8,192个项，但Windows 2000仅使用了其中的一小部分。

 

表4-5   代码和数据段的Type属性

段	属  性	描          述
CODE	c	使段一致（低特权的代码可能进入）
CODE	r	允许读访问（和仅执行访问相斥）
CODE	a	段可以访问
DATA	e	向下扩展段（堆栈段的典型属性）
DATA	w	允许写访问（和仅读取访问相斥）
DATA	a	段可以访问
TSS32	a	任务状态段可用
TSS32	b	任务状态段繁忙

 

 

W2k_mem.exe还提供了两个很有特色的选项----+g和+i，这两个选项可显示GDT和IDT的更多细节。示列4-14示范了+g选项的输出。它很类似于示列4-13中的“kernel-model segment:”一节，但列出了在内核模式下所有可用的段选择子（selector），而不仅仅是存储在段寄存器中的那些。W2k_mem.exe通过遍历整个GDT来获取所有的段选择子，可通过IOCTL函数SPY_IO_SEGMENT来指示Spy设备查询段信息。仅显示有效的选择子。比较示列4-13和4-14中的GDT选择子将十分有趣，GDT的选择子定义于ntddk.h中，汇总在表4-6。显然，它们与w2k_mem.exe的输出是一致的。

 

示列4-14.   显示GDT描述符

 

表4-6.  定义于ntddk.h中的GDT选择子（selector）

符    号	值	注        释
KGDT_NULL	0x0000	空的段选择子（无效）
KGDT_R0_CODE	0x0008	内核模式的CS寄存器
KGDT_R0_DATA	0x0010	内核模式的SS寄存器
KGDT_R3_CODE	0x0018	用户模式的CS寄存器
KGDT_R3_DATA	0x0020	用户模式的DS、ES和SS寄存器，内核模式的DS和ES寄存器
KGDT_TSS	0x0028	位于用户和内核的任务状态段
KGDT_R0_PCR	0x0030	内核模式的FS寄存器（处理器控制区域）
KGDT_R3_TEB	0x0038	用户模式的FS寄存器（线程环境块）
KGDT_VDM_TILE	0x0040	基地址0x00000400，限制0x0000FFFF（DOS虚拟机）
KGDT_LDT	0x0048	本地描述符表
KGDT_DF_TSS	0x0050	Ntoskrnl.exe 变量 KiDoubleFaultTSS
KGDT_NMI_TSS	0x0058	Ntoskrnl.exe 变量 KiNMITSS

 

示列4-14中的选择子（selector）没有在表4-6中列出，其中的某些选择子可以通过查找熟悉的基地址或其内存内容来确认它们。使用内核调试器可查找其中某些选择子的基地址对应的符号。表4-7给出了我已经确认的选择子。

 

W2k_mem.exe的+i选项可转储IDT中的门描述符（Gate Descriptor）。示列4-15给出了IDT的门描述符的部分内容，Intel仅定义了IDT中的前20个门描述符（Intel 1999c, pp. 5-6）。IDT中的中断0x14到0x1F由Intel保留；剩余的0x20到0xFF由操作系统使用。

 

在表4-8中，我给出了所有可确认的特殊的中断、陷阱和任务门。大多数用户自定义的中断都指向哑元例程---KiUnexpectedinterruptnNNN()，在前面我们已经解释过它。对于某些中断处理例程的地址，内核调试器也无法解析其地址对应的符号。

 

表4-7.  更多的GDT选择子（selector）

值	基地址	描             述
0x0078	0x80400000	Ntoskrnl.exe的代码段
0x0080	0x80400000	Ntoskrnl.exe的数据段
0x00A0	0x814985A8	TSS（EIP成员指向HalpMcaExceptionHandlerWrapper）
0x00E0	0xF0430000	ROM BIOS代码段
0x00F0	0x8042DCE8	Ntoskrnl.exe函数KiI386CallAbios
0x0100	0xF0440000	ROM BIOS数据段
0x0108	0xF0440000	ROM BIOS数据段
0x0110	0xF0440000	ROM BIOS数据段

 

示列4-15.  显示IDT门描述符

 

表4-8.  Windows 2000 中断、陷阱和任务门

INT	Intel定义的描述符	拥有者	处理例程/TSS
0x00	整除错误（DE）	ntoskrnl.exe	KiTrap00
0x01	调试（DB）	ntoskrnl.exe	KiTrap01
0x02	NMI中断	ntoskrnl.exe	KiNMITSS
0x03	断点（BP）	ntoskrnl.exe	KiTrap03
0x04	溢出（OF）	ntoskrnl.exe	KiTrap04
0x05	越界（BR）	ntoskrnl.exe	KiTrap05
0x06	未定义的操作码（UD）	ntoskrnl.exe	KiTrap06
0x07	没有数学协处理器（NM）	ntoskrnl.exe	KiTrap07
0x08	Double Fault（DF）	ntoskrnl.exe	KiDouble
0x09	协处理器段溢出	ntoskrnl.exe	KiTrap09
0x0A	无效的TSS（TS）	ntoskrnl.exe	KiTrap0A
0x0B	段不存在（NP）	ntoskrnl.exe	KiTrap0B
0x0C	堆栈段故障（SS）	ntoskrnl.exe	KiTrap0C
0x0D	常规保护（GP）	ntoskrnl.exe	KiTrap0D
0x0E	页故障（PF）	ntoskrnl.exe	KiTrap0E
0x0F	Intel保留	ntoskrnl.exe	KiTrap0F
0x10	Math Fault（MF）	ntoskrnl.exe	KiTrap10
0x11	对齐检查（AC）	ntoskrnl.exe	KiTrap11
0x12	Machine Check（MC）	?	？
0x13	流SIMD扩展	ntoskrnl.exe	KiTrap0F
0x14-0x1F	Intel保留	ntoskrnl.exe	KiTrap0F
0x2A	用户自定义	ntoskrnl.exe	KiGetTickCount
0x2B	用户自定义	ntoskrnl.exe	KiCallbackReturn
0x2C	用户自定义	ntoskrnl.exe	KiSetLowWaitHighThread
0x2D	用户自定义	ntoskrnl.exe	KiDebugSerice
0x2E	用户自定义	ntoskrnl.exe	KiSystemService
0x2F	用户自定义	ntoskrnl.exe	KiTrap0F
0x30	用户自定义	hal.dll	HalpClockInterrupt
0x38	用户自定义	hal.dll	HalpProfileInterrupt

 

 

Windows 2000的内存区域

W2k_mem.exe的最后一个还未讨论的选项是：+b选项。该选项会产生4GB地址空间中相邻内存区域的列表，这个列表非常大。W2k_mem.exe使用Spy设备的IOCTL函数SPY_IO_PAGE_ENTRY遍历整个PTE数组（位于地址0xC0000000）来生成这个列表。在作为结果的每个SPY_PAGE_ENTRY结构中，通过将它们的dSize成员与其对应的PTE线性地址相加即可得到下一个PTE的地址。列表4-30给出了该选项的实现方式。

 

DWORD WINAPI DisplayMemoryBlocks (HANDLE hDevice)

    {

    SPY_PAGE_ENTRY spe;

    PBYTE          pbPage, pbBase;

    DWORD          dBlock, dPresent, dTotal;

    DWORD          n = 0;

 

    pbPage   = 0;

    pbBase   = INVALID_ADDRESS;

    dBlock   = 0;

    dPresent = 0;

    dTotal   = 0;

 

    n += _printf (L"/r/nContiguous memory blocks:"

                  L"/r/n-------------------------/r/n/r/n");

 

    do  {

        if (!IoControl (hDevice, SPY_IO_PAGE_ENTRY,

                        &pbPage, PVOID_,

                        &spe,    SPY_PAGE_ENTRY_))

            {

            n += _printf (L" !!! Device I/O error !!!/r/n");

            break;

            }

        if (spe.fPresent)

            {

            dPresent += spe.dSize;

            }

        if (spe.pe.dValue)

            {

            dTotal += spe.dSize;

 

            if (pbBase == INVALID_ADDRESS)

                {

                n += _printf (L"%5lu : 0x%08lX ->",

                              ++dBlock, pbPage);

 

                pbBase = pbPage;

                }

            }

        else

            {

            if (pbBase != INVALID_ADDRESS)

                {

                n += _printf (L" 0x%08lX (0x%08lX bytes)/r/n",

                              pbPage-1, pbPage-pbBase);

 

                pbBase = INVALID_ADDRESS;

                }

            }

        }

    while (pbPage += spe.dSize);

 

    if (pbBase != INVALID_ADDRESS)

        {

        n += _printf (L"0x%08lX/r/n", pbPage-1);

        }

    n += _printf (L"/r/n"

                  L" Present bytes: 0x%08lX/r/n"

                  L" Total   bytes: 0x%08lX/r/n",

                  dPresent, dTotal);

    return n;

    }

列表4-30.  查找相邻的线性内存块

 

示列4-16摘录了在我的机器上使用+b选项的输出列表，可以看出其中的几个区域非常有趣。一些非常明显的地址是：0x00400000，这是w2k_mem.exe内存映像的起始地址（第13号块），还有一个是0x10000000，此处是w2k_lib.dll的基地址（第23号块）。TEB和PEB页也很容易认出（第104号块），hal.dll（第105号块），ntoskrnl.exe（第105号块），win32k.sys（第106号块）。第340---350号块是系统PTE数组的一小段，第347号块是页目录的一部分。第2122号块包含SharedUserData区域，第2123号块由KPCR、KPRCB和包含线程和进程状态信息的CONTEXT结构组成。

示列4-16.  相邻内存块列表示列

 

还需要补充一下，W2k_mem.exe的+b选项会报告有大量的内存被使用，这可能超出了一个合理的值（比如，你机器上的物理内存数）。请注意示列4-16底部给出的汇总信息。我现在真的使用了700MB的内存吗？Windows 2000的任务管理器显示是150MB，那么这儿的又是什么呢？这种奇特的效果都是由第105号内存块产生的，该内存块表示的范围：0x80000000----0xA01A5FFF占用了0x201A6000字节，也就是说占用了538,599,424字节。这显然是不可能的。问题是整个线性地址空间：0x80000000 ---- 0x9FFFFFFF都被映射到了物理内存：0x00000000 ---- 0x1FFFFFFF，在前面我已经提及过这一点。该区域中的所有4MB页都对应地址0xC0300000处的页目录中的一个有效的PDE，我们可以使用w2k_mem +d #0x200 0xC0300800命令来证明这一点（示列4-17）。因为结果列表中的所有PDE都是奇数（译注：如果PDE为奇数，证明其P位肯定为1），所以它们对应的页都必须存在；不过，它们并不需真正占用物理内存。事实上，这一内存区域的大部分都是“空洞（hole）”，如果将其复制到缓冲区中，可发现它们都被0xFF填充。因此，对于w2k_mem.exe输出的内存使用情况，你不需要过于认真。

 

示列4-17.  地址范围是：0x80000000  --- 0x9FFFFFFF的PDE

 

Windows 2000 的内存布局 
   本章的最后一部分将给出在一个Windows 2000进程“看”来，4GB线性地址空间的总体布局是什么样子。表4-9给出了多个基本数据结构的内存范围。它们之间的“大洞（big hole）”有不同的用途，如，用于进程模块和设备驱动程序的加载区域，内存池，工作集链表等等。注意，有些内存地址和内存块的大小在不同的系统之间有很大的差异，这取决于物理内存和硬件的配置情况、进程的属性以及其他一些系统变量。因此，这里给出的仅仅是一个草图而已，并不是精确的布局图。

 

有些物理内存块在线性地址空间中出现的两次或更多次。例如，SharedUserData区域位于线性地址0xFFDF0000，并且并镜像到0x7FFE0000。这两个地址都指向物理内存中的同一个页，这意味着，如果向0xFFDF0000+n处写入一个字节，那么0x7FFE0000+n处的值也会随之改变。这是一个虚拟内存的世界----一个物理地址可以被映射到线性地址空间中的任何地方，即使一个物理地址在同一时间映射到多个线性地址也是可以的。回忆一下图4-3和图4-4，它们清楚地展示了线性地址的这种“虚假行为”。它们的目录和表位域正确的指向用来确定数据实际位置的结构体。如果两个PTE的PFN恰好是相同的，那么它们对应的线性地址将指向物理内存相同位置。

 

表4-9.  进程地址空间中的可确认的内存区域

起始地址	结束地址	十六进制大小	类型/描述
0x00000000	0x0000FFFF	10000	底部的受保护块（Lower guard block）
0x00010000	0x0001FFFF	10000	WCHAR[]/环境字符串，在一个4KB页中分配
0x00020000	0x0002FFFF	10000	PROCESS_PARAMETERS/在一个4KB页中分配
0x00030000	0x0012FFFF	1000000	DWORD[4000]/进程堆栈（默认；1MB）
0x7FFDD000	0x7FFDDFFF	1000	TEB/1#线程的线程环境块
0x7FFDE000	0x7FFDEFFF	1000	TEB/2#线程的线程环境块
0x7FFDF000	0x7FFDFFFF	1000	PEB/进程环境块
0x7FFE0000	0x7FFE02D7	2D8	KUSER_SHARED_DATA/用户模式下的SharedUserData
0x7FFF0000	0x7FFFFFFF	10000	顶部的受保护块（Upper guard block）
0x80000000	0x800003FF	400	IVT/中断向量表
0x80036000	0x800363FF	400	KGDTENTRY[80]/全局描述符表
0x80036400	0x80036BFF	800	KIDTENTRY[100]/中断描述符表
0x800C0000	0x800FFFFF	40000	VGA/ROM BIOS
0x80244000	0x802460AA	20AB	KTSS/内核任务状态段（繁忙）
0x8046AB80	0x8046ABBF	40	KeServiceDescriptorTable
0x8046AB	0x8046ABFF	40	KeServiceDescriptorTableShadow
0x80470040	0x804700A7	68	KTSS/KiDoubleFaultTSS
0x804700A8	0x8047010F	68	KTSS/KiNMITSS
0x804704D8	0x804708B7	3E0	PROC[F8]/KiServiceTable
0x804708B8	0x804708BB	4	DWORD/KiServiceLimit
0x804708BC	0x804709B3	F8	BYTE[F8]/KiArgumentTable
0x814C6000	0x82CC5FFF	1800000	PFN[100000]/MmPfnDatabase（最大为4GB）
0xA01859F0	0xA01863EB	9FC	PROC[27F]/W32pServiceTable
0xA0186670	0x A01863EE	27F	BYTE[27F]W32pArgumentTable
0xC0000000	0xC03FFFFF	400000	X86_PE[100000]/页目录和页表
0xC1000000	0xE0FFFFFF	20000000	系统缓存（MmSystemCacheStart, MmSystemCacheEnd）
0xE1000000	0xE77FFFFF	6800000	页池（Paged Pool）（MmPagedPoolStart, MmPagedPoolEnd）
0xF0430000	0xF043FFFF	10000	ROM BIOS代码段
0xF0440000	0xF044FFFF	10000	ROM BIOS数据段
0xFFDF0000	0xFFDF02D7	2D8	KUSER_SHARED_DATA/内核模式下的SharedUserData
0xFFDFF000	0xFFDFF053	54	KPCR/处理器控制区（内核模式FS段）
0xFFDFF120	0xFFDFF13B	1C	KPRCB/处理器控制块
0xFFDFF13C	0xFFDFF407	2CC	CONTEXT/线程CONTEXT（CPU状态）
0xFFDFF620	0xFFDFF71F	100	后备链表目录（Lookaside list directories）

 

……………….本章完………………