Windows分页管理机制的学习（一）实践2

（二）针对开启PAE模式来进行分析

测试机器Win7 32位系统：（Dbgview.exe程序的线性（虚拟）地址与物理地址的对应）

根据读INTEL手册可知，开启了PAE模式后线性（虚拟）地址的结构发生了变化(开启PAE后PDE共4*4kb，每项8byte )：



30~31位变成了PDPTE

首先在虚拟机中打开OD，加载Dbgview.exe记录下入口点地址：00415757



将线性（虚拟）地址转化为二进制后：00000000 01000001 01010111 01010111

根据INTEL手册进行分段：

00 000000010 000010101 011101010111

PDPTE PDE PTE 物理地址

打开WindDbg，查看DebugView 中EPROCESS==>KPROCESS==>DirectoryTableBase：



为0x7ed17600



PDPTE:00 ==》 0 ==》 5bc8e801 ==》 起始地址：5bc8e000

由于PDE：000000010 ==》 0x2 所以有：



403dc867 ==》 起始地址： 403dc000，

由于PTE ：000010101 ==》 0x15 所以有：



3d7f2005 ==》 起始地址： 3d7f2000，

由于物理地址：011101010111 ==》 0x757

所以：



对比OD加载的虚拟机地址处的机器码：



一致！接下来修改物理地址：!eb 3d7f2757 80 执行完毕后查看OD~



对应的也修改了，说明找到物理地址是正确的！