windows内核研究(内存管理-物理地址的管理)

最新推荐文章于 2025-08-09 20:23:45 发布
原创 最新推荐文章于 2025-08-09 20:23:45 发布 · 591 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windwos内核研究 #内存管理 #物理地址的管理

内存管理

物理地址的管理

物理内存

  1. 最大物理内存(x86)
    • 10-10-12分页 最多识别物理内存为4GB
    • 2-9-9-12分页 最多识别物理内存为64GB
  2. 操作系统限制
    • 为什么在Xp中,已经是2-9-9-12分页了,但是还是只能识别4GB的内存空间呢?
  3. 实际的物理内存
    • MmNumberOfPhysicalPages * 4 = 物理内存(在Xp上的高版本已不再导出)

可以使用winDbg查看

!vm

在这里插入图片描述

可以看到Physical Memory为3145176大约3G的内存,这和我们在任务管理器中看到的一致

物理内存如何管理

  1. 全局数组
    • 数组指针:_MMPFN* MmPfnDatabase(起始位置)
    • 数组长度:MmNumberOfPhysicalPages
  2. 数组成员
    • _MMPFN(一个物理页对应一个这样的结构体)

在winDbg中查看

dd MmPfnDatabase

在这里插入图片描述

dt _MMPFN

在这里插入图片描述

我们可以看下这个结构体有多大,最后一个结构体成员u4占4个字节,所以这个_MMPFN一共占1C个字节

如何通过物理地址查找对应的物理页结构体描述呢?

从上图中可以知道83e00000是第一个物理页结构体,它所对应的物理页就是0000,那么一个物理页结构体占1C个字节,那么第二个物理页结构体就是83e00000 + 1C * 1,后面以此内推,相反如果我们知道了一个物理地址那么如何知道它对应的物理页结构呢?比如8000这个地址,首先减3个0,就是8,然后用MmPfnDatabase首地址83e00000 + IC * 8 就得到了对应地址的结构体

物理页的不同状态

物理页在不同情况下所处的状态是不一样的,比如当前物理页不够用了,当前物理页损坏了,当前物理页正在被使用等。在上面结构体当中u3这个成员就描述了当前物理页所处的状态

// Mm internal 
typedef struct _MMPFN
{
    union
    {
        PFN_NUMBER Flink;
        ULONG WsIndex;
        PKEVENT Event;
        NTSTATUS ReadStatus;
        SINGLE_LIST_ENTRY NextStackPfn;

        // HACK for ROSPFN
        SWAPENTRY SwapEntry;
    } u1;
    PMMPTE PteAddress;
    union
    {
        PFN_NUMBER Blink;
        ULONG_PTR ShareCount;
    } u2;
    union
    {
        struct
        {
            USHORT ReferenceCount;
            MMPFNENTRY e1;
        };
        struct
        {
            USHORT ReferenceCount;
            USHORT ShortFlags;
        } e2;
    } u3;
    union
    {
        MMPTE OriginalPte;
        LONG AweReferenceCount;

        // HACK for ROSPFN
        PMM_RMAP_ENTRY RmapListHead;
    };
    union
    {
        ULONG_PTR EntireFrame;
        struct
        {
            ULONG_PTR PteFrame:25;
            ULONG_PTR InPageError:1;
            ULONG_PTR VerifierAllocation:1;
            ULONG_PTR AweAllocation:1;
            ULONG_PTR Priority:3;
            ULONG_PTR MustBeCached:1;
        };
    } u4;

// e1对应的结构体
typedef struct _MMPFNENTRY
{
    USHORT Modified:1;
    USHORT ReadInProgress:1;                 // StartOfAllocation
    USHORT WriteInProgress:1;                // EndOfAllocation
    USHORT PrototypePte:1;
    USHORT PageColor:4;
    USHORT PageLocation:3;					// 当前页所处的状态
    USHORT RemovalRequested:1;
    USHORT CacheAttribute:2;
    USHORT Rom:1;
    USHORT ParityError:1;
} MMPFNENTRY;

物理页空闲下的6种状态(windows通过这6个链表把所有的不同状态的物理页给串起来了):

Windows 内存管理链表详解

1. MmZeroedPageListHead(清零页链表)

  • 状态: 已显式清零(内容全为0)
  • 用途:
    • 分配给需要干净内存的进程(如进程创建时)
    • 避免敏感数据泄漏
  • 特点:
    • 由零页线程异步清零
    • 分配时无性能开销

2. MmFreePageListHead(空闲页链表)

  • 状态: 空闲但可能含残留数据
  • 用途:
    • 快速分配内核非分页内存
    • 不要求清零的场景
  • 特点:
    • 分配速度最快
    • 可能包含历史数据

3. MmStandbyPageListHead(备用页链表)

  • 状态: 含有效缓存数据
  • 用途:
    • 工作集修剪后的缓存页
    • 支持软缺页快速恢复
  • 特点:
    • 可快速重用
    • 仍关联原进程VAD

4. MmModifiedPageListHead(已修改页链表)

  • 状态: 脏页(未写入磁盘)
  • 用途:
    • 暂存待写入磁盘的修改页
  • 特点:
    • 需要写回操作
    • 崩溃可能导致数据丢失

5. MmModifiedNoWritePageListHead(不可写修改页链表)

  • 状态: 脏页(禁止写回)
  • 用途:
    • 设备内存映射
    • AWE内存分配
  • 特点:
    • 直接丢弃内容
    • 需驱动程序显式请求

6. MmBadPageListHead(坏页链表)

  • 状态: 硬件损坏页
  • 用途:
    • 隔离故障内存
  • 特点:
    • 永不分配
    • 记录WHEA事件

链表生命周期

分配
分配
修剪
回收
修改
写回
不写回
Zeroed
WorkingSet
Free
NonPagedPool
Standby
Modified
ModifiedNoWrite
Windows内存管理—内存映射、PAE、MmPfnDatabase
qq_42814021的博客
10-14 3516
Windows内存管理 内存有两种,一种是由内存条构成的所谓的物理内存,这种内存读取速度快; 还有一种是虚拟内存,由硬盘构成,也就是把硬盘的一部分容量拿来当作内存用,但是速度没有内存条那么快。 两者的关系: 每个进程都有4GB的虚拟内存,但不是所有的虚拟内存都有对应的物理内存,它其实是在物理内存和磁盘之间进行倒换的。 虚拟内存在用的时候,会从磁盘倒入物理内存,不用的时候就还是存在磁盘上。因此,同一个物理内存在不同的时间可以被用于不同进程的不同虚拟内存。 基于页面映射的虚拟内存机制: 在硬件上:由CPU芯片内
Windows下虚拟地址到物理地址的映射——Windows内存管理
weixin_43742894的博客
04-26 2078
Windows内存管理知识总结 本篇文章主要是理解32位Windows操作系统下的虚拟地址到物理地址的映射。 首先我们对Windows内存管理机制做简要介绍。 Windows为每个进程分配了4GB的虚拟地址空间,让每个进程都认为自己拥有4GB的内存空间。 然后Windows系统把这4GB大小的空间划分为进程和系统两个部分,每个进程可以获得2GB的虚拟内存,根据可用的容量。分配给所有进程的虚拟内...
windows内核学习-内存管理
weixin_45880501的博客
09-29 1427
内存管理 使用virtualkd+windbg+winxp sp3 进行双机调试, kd> ! process 0 0 查看所有进程 查看notepad.exe进程EPROCESS结构体 kd> dt _EPROCESS 81c502a0 0x11c VADRoot :是一个搜索二叉树的入口点 ,树的每一个节点记录了被占用的虚拟内存地址空间,这个搜索二叉树就是VAD树。 VAD的属性以及遍历 VAD是管理虚拟内存的,每一个进程有自己单独的一个VAD树 使用VirtualAlloca
Windows内核中的内存管理
Masimaro的专栏
11-26 3068
内存管理的要点 内核内存是在虚拟地址空间的高2GB位置,且由所有进程所共享,进程进行切换时改变的只是进程的用户分区的内存 驱动程序就像一个特殊的DLL,这个DLL被加载到内核的地址空间中,DriverEntry和AddDevice例程在系统的system进程中运行,派遣函数会运行在应用程序的进程上下文中所能访问的地址空间是这个进程的虚拟地址空间利用_EPROCESS结构可以查看该进程的相关信息 当程
Windows内存管理(二):内存架构 浅谈一二
Mr.Sugarcane
01-09 1866
windows内存管理
Windows内存管理学习笔记(二)—— 物理内存的管理
lzyddf的博客
01-14 2043
Windows内存管理学习笔记(二)—— 物理内存的管理前言物理内存实验一:理解MmNumberOfPhysicalPagesMmPfnDatabase_MMPFN物理页状态六个链表实验二:理解零化链表实验三:查看进程占用的所有物理页 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 物理内存 最大物理内存 10-10-12分页:最多识别4GB物理内存 2-9-9-12分页:最多识别64GB物理内存 操作系统限制 在xp系统中,即使采用2-9
驱动开发:内核物理内存寻址读写
热门推荐
CSDN
06-26 2万+
在某些时候我们需要读写的进程可能存在虚拟内存保护机制,在该机制下用户的`CR3`以及`MDL`读写将直接失效,从而导致无法读取到正确的数据,本章我们将继续研究如何实现物理级别的寻址读写。首先,驱动中的物理页读写是指在驱动中直接读写物理内存页(而不是虚拟内存页)。这种方式的优点是它能够更快地访问内存,因为它避免了虚拟内存管理的开销,通过直接读写物理内存,驱动程序可以绕过虚拟内存的保护机制,获得对系统中内存的更高级别的访问权限。
linux内存管理-地址映射的全过程
guoguangwu的专栏
10-04 2107
linux内核采用页式存储管理。虚拟地址空间划分成固定大小的页面,由MMU在运行时将虚拟地址映射成(或者说变换成)某个物理内存页面中地址。与段式存储管理相比,页式存储管理有很多好处。首先,页面都是固定大小的,便于管理。更重要的是,当要将一部分屋里空间的内容换出到磁盘上的时候,在段式存储管理中要将整个段(通常都很大)都换出,而在页式存储管理中则是按页进行,效率显然要高得多。页式存储管理与段式存储罐所要求的硬件支持不同,一种CPU既然支持页式存储管理,就无需再支持段式存储管理。但是,i386的情况比较特殊,不管
U-Boot内存管理
生活需要深度
04-09 1843
如《Linux内核内存管理架构》一文中提到,linux内核中的内存管理支持内存地址映射、内存分配、内存回收、内存碎片管理、页面缓存等众多功能。但U-Boot做为启动引导程序,其核心功能就是引导内核镜像,所以其内存管理功能并不用像Linux内核中的内存管理一样功能齐全。U-Boot中没有内存分配、回收、缓存等功能,内存管理其实只做一件事:虚实地址映射,而且是固定映射。 为了提高效率,现代处理器的内存管理都由MMU(Memory Management Unit)硬件单元实现(示意图如下),其核心模块主要有..
Windows内存管理机制
Albert_weiku的博客
06-27 3912
内存管理方式建议大家多看看计算机组成原理,回过头来看windows内存管理机制就能更好的明白windows为啥这么做~而不是直接让你操作物理内存
Windows内存管理内核源码详细分析-综合文档
05-22
Windows内核源码中,内存管理主要涉及以下模块: - **MM系统**:这是内存管理的主要模块,包含内存分配、释放、页面错误处理等功能。在源码中,这部分通常以mm命名空间出现。 - **分页机制**:Windows使用分页...
OpenHarmony(鸿蒙南向开发)——小型系统内核(LiteOS-A)【内存管理
鸿蒙开发知识记录
09-20 1116
内核采用伙伴算法管理空闲页面,可以降低一定的内存碎片率,提高内存分配和释放的效率,但是一个很小的块往往也会阻塞一个大块的合并,导致不能分配较大的内存块。堆内存管理,即在内存资源充足的情况下,根据用户需求,从系统配置的一块比较大的连续内存(内存池,也是堆内存)中分配任意大小的内存块。堆内存管理的主要工作是动态分配并管理用户申请到的内存区间,主要用于用户需要使用大小不等的内存块的场景,当用户需要使用内存时,可以通过操作系统的动态内存申请函数索取指定大小的内存块。相同大小的内存块挂在同一个链表上进行管理
OpenHarmony(鸿蒙南向开发)——轻量系统内核(LiteOS-M)【内存管理
maniuT的博客
08-02 1258
内存管理模块管理系统的内存资源,它是操作系统的核心模块之一,主要包括内存的初始化、分配以及释放。
【C语言】动态内存管理详解
以码证道,这一世,我必成为Java开发宗师,让整个技术圈,记住我重生的名号!💻🔥🚀
08-05 1103
本文聚焦 C 语言动态内存管理,先阐述因静态分配局限需动态分配内存,介绍 `malloc`/`free`、`calloc`、`realloc` 函数用法,剖析常见内存错误(如空指针、越界等),分析经典笔试题,讲解柔性数组特性优势,最后说明程序内存区域划分,助掌握动态内存管理关键知识。
SAP内存分析
woniu_maggie的博客
08-07 101
SAP内存分析
C++动态内存管理:new和delete
2402_89177355的博客
08-06 286
c++实现了new和delete管理内存,实现了构造函数和析构函数的自动调用,关于new与delete的知识还有很多如定位new等,之后会详细介绍希望大家有所收获。
C++ 中的智能指针
最新发布
Vallelonga的博客
08-09 108
C++ 智能指针笔记(自用)
Netty入门()——内存管理
记不住所以写下来
08-09 536
Netty通过精妙的内存管理设计优化了高并发网络通信性能。其核心机制包括:1) 使用堆外内存减少GC压力,通过DirectByteBuffer和Unsafe类直接管理内存;2) 改进ByteBuf设计,实现读写指针分离和引用计数机制;3) 采用jemalloc思想的内存分配算法,结合伙伴系统和Slab分配减少碎片。这些优化使Netty在内存分配、数据结构和零拷贝等方面表现优异,支撑了其低延迟、高吞吐的特性,但同时也要求开发者注意内存泄漏风险。
Mozilla Firefox(火狐浏览器)v141.0.2正式便携版,轻装上阵,兼容极速双满分
midou55com的博客
08-06 496
这是由 tete009 亲自调制的 Firefox 第三方编译,主打“轻、快、稳”。启动与图片载入速度在所有 Firefox 分支里名列前茅重写 tmemutil.dll,根据 CPU 指令集优化内存管理渲染管线精简,Module Binder 进一步缩短冷启动时间提供多 CPU 专用版本,真正做到“因地制宜”简体中文切换设置 → 常规 → 语言English(US) → 搜索更多语言 → 添加简体中文 → OK开启便携模式在根目录新建 tmemutil.ini 并写入。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值