 | MemimagerEsegue una discarica di memoria usando Ntsystemdebugcontrol |
| Scarica ora | |
Memimager Classifica e riepilogo
Annuncio pubblicitario
- Licenza:
- Freeware
- Nome editore:
- Arne Vidstrom
- Sistemi operativi:
- Windows All
- Dimensione del file:
- 7 KB
Memimager Tag
- memoria scarico cache. discarica dell'immagine discarica passaggio il permesso discarica impostazioni discarica discarica quant Matrice Discarica della memoria Controllo di debug del sistema NT memoria cache Data Dump Editor. dump della directory discarica del file Discarica discarica intestazione Crea discarica contenuto di scarico cartella di discarica comando dump svnadmin. Nome dell'account Dump. File spazzatura discarica del documento visualizzare il dump della memoria Modifica la discarica della memoria Esegui Kernel Memory Dump Memory Dump Analyzer Database di preferenze di scarico Dump Octal analizzare heap dump esadecimale Dump discarica del mucchio Debugger file dump. Dump entrypoint. redundance Dump Dump Resource. discarica Dump di accesso. discarica di mysql php. Borland Delphi 6. Aggiornamento AVG 10.0.1424. Discarica odbc. iPod USB sconosciuto. Compressore BZ2. menu dvdstyler 1.8.3 sfondi carino per worktime crepa Cross Fire 1031 xbox360mp4 3D Chess Ubuntu. A-legge a wav indice azionario Symbian Cab 2 PPD. screen dump
Memimager Descrizione
L'applicazione MemImager stato progettato per essere uno strumento che esegue un dump di memoria utilizzando NtSystemDebugControl. Utilizzando NtSystemDebugControl per lo scarico Per il codice di controllo 10 si usa una struttura con la seguente disposizione come buffer di ingresso: - DWORD PhysicalAddress; - DWORD Reserved1; - void * Buffer; - DWORD Lunghezza; Successivo possiamo per esempio malloc un buffer di pagina di dimensioni che segnaliamo Buffer, scrivere 4096 di lunghezza, e il punto PhysicalAddress all'indirizzo della pagina desideriamo copiare il contenuto di. Poi eseguiamo NtSystemDebugControl e se tutto va bene il nostro tampone ora contiene una copia dei dati nella pagina fisica. Piuttosto banale realtà. all'interno NtSystemDebugControl Per capire se, e se sì, come, maniglie NtSystemDebugControl caching problemi che abbiamo dovuto fare un tuffo nel kernel. Il kernel esporta la routine chiamata NtSystemDebugControl, che contiene un'istruzione switch con il compito di dispacciamento alla funzionalità corretta in base al codice di controllo. Nel seguente Non descriverò ogni piccolo piccolo dettaglio del codice. La prima ragione è che ci sono molti dettagli che non sono pertinenti a ciò che stiamo guardando. In secondo luogo non ho decompilato il codice, ma seguito solo le parti rilevanti del disassemblaggio (da un kernel 2003 SP0 Windows Server). Il codice di gestione di controllo 10 chiama la routine non documentata _ExLockUserBuffer che rende le pagine nel nostro tampone (buffer *) residente, li blocca in memoria di codice, e ritorna (in un puntatore passato come parametro) un indirizzo virtuale spazio di sistema punta ad esso. Poi un'altra funzione non documentata denominata _KdpCopyMemoryChunks si chiama. I parametri passati ad esso sono tra gli altri l'indirizzo virtuale spazio di sistema che punta al nostro buffer, il numero di byte da copiare (lunghezza), e l'indirizzo di copia da (PhysicalAddress). Ora un'altra funzione non documentata si chiama: _MmDbgCopyMemory. Questa funzione esegue la copia effettiva dei dati. Ma prima che possa fare qualsiasi copia ha bisogno di avere un indirizzo virtuale della fonte, invece di un indirizzo fisico. Quindi chiama la nostra ultima funzione non documentata: _MiDbgTranslatePhysicalAddress. Ora siamo davvero in chiusura sulla risposta alla nostra domanda. _MiDbgTranslatePhysicalAddress riceve il nostro indirizzo fisico come parametro. Utilizza quindi una variabile chiamata _ValidKernelPte, che serve come una sorta di modello per il kernel PTE: s. Le bandiere del modello vengono combinati con l'indirizzo fisico per formare un PTE che punta alla pagina che vogliamo copiare. Poi il database PFN è indicizzato per trovare la voce corrispondente alla nostra pagina di origine. In questa voce gli sguardi del kernel alle bandiere CacheAttribute degli Stati u3.e1. Le bandiere CacheAttribute vengono poi utilizzati per impostare l'indice PAT nella PTE. Ora abbiamo la nostra risposta in realtà, ma continuerò un pochino più lontano comunque. Il PTE il kernel ha costruito è ora copiato nella posizione indicata dal _MmDebugPte variabile di kernel. Infine, la funzione restituisce l'indirizzo virtuale che utilizzerà il PTE per la mappatura. Ora _MmDbgCopyMemory è libero di copiare i dati dalla pagina di origine fisica al nostro buffer utilizzando solo indirizzi virtuali.
Memimager Software correlato
