关于准备

我们在之前的学习中，已经学习了相当一部分有关段的知识，CPU提供了段的机制来给我们的内存进行保护，但实际上我们在x86下的段base是0，实际上并没有偏移

两种分页模式

我们有两种分页模式，29912分页和101012分页，这里先不细说，先给自己的实验环境设置成为相对简单的101012分页

win7 32位机子管理员权限输入以下命令

bcdedit /copy {current} /d debug-101012//自己起个名字bcdedit /displayorder {} /addlast//大括号里面是自己的标识符，在输入上一个命令后就会出现bcdedit /dbgsettings SERIAL DEBUGPORT:1 BAUDRATE:115200bcdedit /bootdebug {} ONbcdedit /debug {} ONbcdedit /timeout 30

然后重启电脑，之后继续打开管理员权限，输入以下命令，之后再重启

bcdedit /set /pae ForceDisable //先把pae关了bcdedit /set nx AlwaysOff //再关nx

最后的效果在windbg中用!process 0 0指令检验，如果DirBase结尾都是000，那么就成功了

基础知识

我们之前提到了在段的视角下CPU如何访问的数据，那么现在我们进入到了页的这个过程来看

比如，当我们执行mov eax ，ds:[0x12345678]的时候，首先查询缓存和TLB里面有没有之前的记录，如果有直接返回到CPU，如果没有，则进入MMU中进行处理

MMU

CPU为了方便管理物理内存，在实际中是按照页的方式进行管理内存的，对于32位来说，它分别有10-10-12分页和2-9-9-12分页，我们在上面已经配置好了10-10-12的分页环境。

我们都知道，在所有进程的视角里面，其占有了整个进程，也就是在win7中，每个进程都有4GB的虚拟地址空间。

它们并不是真正的地址，而是一个索引，通过转换来指向真正的的物理地址，而这样的转换，就是通过MMU来达成的，它会解析我们送给CPU的地址

这里先介绍一个寄存器，CR3寄存器

CR3寄存器

每个进程都会有自己的物理起始地址，我们称之为DirBase。通过CR3去查询页目录表，再查询页表，最后查询到具体的物理页，而这个DirBase就被存储在CR3中

1: kd> !process 0 0
**** NT ACTIVE PROCESS DUMP ****
PROCESS 9f979d08  SessionId: none  Cid: 0004    Peb: 00000000  ParentCid: 0000DirBase: 00185000//在这里  ObjectTable: a6401bb8  HandleCount: 452.Image: System

首先，每个进程都有一个CR3寄存器，我们先暂时不需要知道太复杂，只要记住，这个寄存器里面存了我们进程真正的物理地址的起点，因为它指向了我们进程的页目录表

对于我们马上要研究的10-10-12分页来说，虚拟地址是有具体的含义的

（这里再次借用羽夏 大佬的图）

前10个位指的是PDE（页目录表号），中间是PTE（页表号），大小都是4个字节，这里我们要和PDT（页目录表）和PTT（页表）作一个区分

实践一下

学到这里的理论知识已经足够我们实践，来在我们已经设置好的Win7中来验证一下我们寻址的理论

首先打开一个记事本，随便输入一个字符串，然后用CE的字符串搜索来找到我们的这个字符串

可以看见，现在是有四个结果，但是这肯定是不对的，所以我们略微改下字符串，Next Scan一下

这时候只有两个结果了，我们就以第一个0x0045e8b0为例

我们按照10-10-12的分页方式来看这个地址

我们就知道了PDE是1，PTE是5e，页内偏移为8B0

用windbg来找

0: kd> !process 0 0
**** NT ACTIVE PROCESS DUMP ****
PROCESS 86cdd8e8  SessionId: none  Cid: 0004    Peb: 00000000  ParentCid: 0000DirBase: 00185000  ObjectTable: 8ec01b28  HandleCount: 492.Image: System
..........................................
PROCESS 86e62d40  SessionId: 1  Cid: 0848    Peb: 7ffdc000  ParentCid: 062cDirBase: 8dbaf000  ObjectTable: b5b6bb88  HandleCount:  63.Image: notepad.exePROCESS 887ea898  SessionId: 1  Cid: 0ec4    Peb: 7ffd6000  ParentCid: 0374DirBase: 1dbb1000  ObjectTable: b5bf53f8  HandleCount: 185.Image: cheatengine-i386.exe0: kd> !dd 8dbaf000+1*4//这里按照4字节偏移来找
#8dbaf004 97e76867 8f1f2867 97f67867 00000000
#8dbaf014 00000000 94b48867 9474a867 00000000
#8dbaf024 00000000 00000000 00000000 00000000
#8dbaf034 00000000 00000000 00000000 00000000
#8dbaf044 00000000 00000000 00000000 00000000
#8dbaf054 00000000 00000000 00000000 00000000
#8dbaf064 00000000 00000000 00000000 00000000
#8dbaf074 00000000 00000000 00000000 00000000
0: kd> !dd 97e76000 + 4*5E//还是4字节
#97e76178 96156867 9a558847 99857847 9995b847
#97e76188 9695a847 95970847 8f671847 93a77847
#97e76198 98576847 00000000 00000000 00000000
#97e761a8 00000000 00000000 00000000 00000000
#97e761b8 00000000 00000000 00000000 00000000
#97e761c8 00000000 00000000 00000000 00000000
#97e761d8 00000000 00000000 00000000 00000000
#97e761e8 00000000 00000000 00000000 00000000
0: kd> !dd 96156000 + 8B0//这里已经找到了我们要的内容
#961568b0 00680054 00200065 006c0070 00630061
#961568c0 00200065 00680077 00720065 00200065
#961568d0 00650077 00620020 00670065 006e0069
#961568e0 00000000 00000000 00000000 00000000
#961568f0 00000000 00000000 00000000 00000000
#96156900 00000000 00a90004 4151296f 000003f9
#96156910 004600a0 0045a158 0045e598 0045e5d8
#96156920 0045e618 0045e658 5550297a 080003f1
0: kd> !du 961568b0//把这里地址所反汇编一下
#961568b0 "The place where "

PDE和PTE

在具体操作过这两个结构之后，我们来继续学习理论知识

在上面搜索字符串的例子中，有一个细节，我使用PDE来寻址的时候，去掉了低12位，这个细节现在由上图得到了回答——前12位是属性位，用来描述结构的属性

P位

P位决定了当前结构是否有效，这和我们在之前学习段的知识时是一样的

R/W位

0为可读，1为可写

U/S位

User和super，为1时可以被R3访问，为0时只能被R0访问，这也是我们R3时无法访问到一些内存的原因

回答一个之前的问题

我们在之前的学习中提到了如果是被声明/被分配的内存，必须要主动置零再使用，这里我们可以用一次实践来给出为什么要这么做的原因了

// Page Alloc.cpp : 定义控制台应用程序的入口点。
//#include "stdafx.h"
#include<Windows.h>int _tmain(int argc, _TCHAR* argv[])
{PVOID Base = VirtualAlloc(NULL,0x2000,MEM_COMMIT,PAGE_READWRITE);printf("%x\r\n",Base);system("pause");memset(Base,0,0x200);system("pause");return 0;
}

我们运行这段代码，首先知道基址

根据之前学习的知识，PDE为0，PTE为D，页内偏移还是0

我们这时候用windbg去找到我们的进程，找到相关的页，结果却发现没有挂上页

0: kd> !process 0 0
**** NT ACTIVE PROCESS DUMP ****
PROCESS 86cdd8e8  SessionId: none  Cid: 0004    Peb: 00000000  ParentCid: 0000DirBase: 00185000  ObjectTable: 8ec01b28  HandleCount: 513.Image: System
.......................................................
PROCESS 873e9d40  SessionId: 1  Cid: 0fb4    Peb: 7ffdb000  ParentCid: 02b8DirBase: 47e8a000  ObjectTable: b9742ec0  HandleCount:  24.Image: Page Alloc.exePROCESS 873b7d40  SessionId: 1  Cid: 0fe4    Peb: 7ffdf000  ParentCid: 01a8DirBase: 228c3000  ObjectTable: b5cc7a28  HandleCount:  62.Image: conhost.exePROCESS 87733d40  SessionId: 1  Cid: 0cd4    Peb: 7ffdd000  ParentCid: 0fb4DirBase: 83e68000  ObjectTable: b99319f8  HandleCount:  30.Image: cmd.exe0: kd> !dd 47e8a000
#47e8a000 53e16867 17d4d867 33365867 00000000
#47e8a010 00000000 00000000 00000000 00000000
#47e8a020 00000000 00000000 00000000 00000000
#47e8a030 00000000 00000000 00000000 00000000
#47e8a040 00000000 00000000 00000000 00000000
#47e8a050 00000000 00000000 00000000 00000000
#47e8a060 00000000 00000000 00000000 00000000
#47e8a070 00000000 00000000 00000000 00000000
0: kd> !dd 53e16000+d0*4//我们发现这里没有被挂上页，也就是没有办法被直接使用
#53e16340 00000000 00000000 00000000 00000000
#53e16350 00000000 00000000 00000000 00000000
#53e16360 00000000 00000000 00000000 00000000
#53e16370 00000000 00000000 00000000 00000000
#53e16380 00000000 00000000 00000000 00000000
#53e16390 00000000 00000000 00000000 00000000
#53e163a0 00000000 00000000 00000000 00000000
#53e163b0 00000000 00000000 00000000 00000000

这时候我们继续运行程序，用memset向内存中写入值，再用Windbg来看值

1: kd> !dd 53e16000+d0*4//这时候，我们的页就被成功分配了
#53e16340 1486e867 00000000 00000000 00000000
#53e16350 00000000 00000000 00000000 00000000
#53e16360 00000000 00000000 00000000 00000000
#53e16370 00000000 00000000 00000000 00000000
#53e16380 00000000 00000000 00000000 00000000
#53e16390 00000000 00000000 00000000 00000000
#53e163a0 00000000 00000000 00000000 00000000
#53e163b0 00000000 00000000 00000000 00000000

所以，我们知道，在WIn系统中，当我们申请一块内存时，系统并不会会给我们真的直接挂上页，它必须要在我们真正使用了这块内存之后才会真正的挂页。

我们之前提到过，操作系统里面的进程每个都认为自己占了整个内存，如果我们真的申请一块内存，就分配一块内存，那么每个程序你申请一块我申请一块，我们的内存根本就不够用

我们C盘里面有一个隐藏的文件pagefile.sys正是为了解决这种情况而出现的，这里面就存了一些暂时没有使用的内存（比如申请了一块内存，但是一段时间没有用，其他的程序同时页申请了同一块内存所以就会暂时储存起来）

我们还可以知道一个新的知识，那就是VirtualAlloc里面MEM_COMMIT属性，这个属性的意思就是当我们使用这块内存的时候，为我们挂上页，如果我们没有设置COMMIT，那么使用了之后也不会挂上页