《Undocumented Windows 2000 Secrets》翻译 --- 第四章（9）

第四章 探索 Windows 2000 的内存管理机制

翻译： Kendiv( fcczj@263.net )

更新： Tuesday, February 22, 2005

声明：转载请注明出处，并保证文章的完整性，本人保留译文的所有权利。

Windows 2000 的分段和描述符

w2k_mem.exe 的另一个很棒的选项是 +e ，该选项将显示和说明处理器的段寄存器和描述表的内容。 示列 4-13 给出了其典型输出。 CS 、 DS 和 ES 段寄存器的内容非常清晰的证明了 Windows 2000 为每个进程提供了平坦的 4GB 地址空间：起始于 0x00000000 ，终止于 0xFFFFFFFF 。 示列 4-13 中最右边的标志符用来表示段的类型，该段的类型由它的描述符的 Type 成员给出。代码和数据段的 Type 属性可分别符号化为“ cra ”和“ ewa ”。省略号“ - ”意味着相应的属性没有设置。一个任务状态段（ Task State Segment ， TSS ）仅能有“ a ”（可用）和“ b ”（忙）两种属性。 表 4-5 给出了所有可用的属性。 示列 4-13 展示了 Windows 2000 的 CS 段的不一致性， CS 段允许执行和读取，而 DS 、 ES 、 FS 和 SS 段的属性则是可扩展和读 / 写访问。另一个不明显但十分重要的细节是 CS 、 FS 和 SS 段的 DPL 在用户模式和内核模式并不相同。 DPL 是描述符特权级别（ Descriptor Privilege Level ）。对于代码段（ CS ），仅当调用者位于其 DPL 指定的特权级时才能调用该段中的代码（参考 Intel 1999c, pp. 4-8f ）。在用户模式， CS 段的 DPL 为 3 ；在内核模式，其 DPL 为 0 。对于数据段（ DS ），其 DPL 是最低的特权级，在用户模式下，所有特权级都可访问它，而在内核模式下，仅允许特权 0 访问。

示列 4-13. 显示 CPU 信息

IDT 和 GDT 寄存器的内容显示了 GDT 的范围是： 0x8003F000 --- 0x8003F3FF ，紧随其后的就是 IDT ，其地址范围是： 0x8003F400 --- 0x8003FBFF 。由于每个描述符占用 64 位，故 GDT 和 IDT 分别包含 128 和 256 个项。注意， GDT 可容纳 8,192 个项，但 Windows 2000 仅使用了其中的一小部分。

表 4-5 代码和数据段的 Type 属性

段

属 性

描 述

CODE

c

使段一致（低特权的代码可能进入）

CODE

r

允许读访问（和仅执行访问相斥）

CODE

a

段可以访问

DATA

e

向下扩展段（堆栈段的典型属性）

DATA

w

允许写访问（和仅读取访问相斥）

DATA

a

段可以访问

TSS32

a

任务状态段可用

TSS32

b

任务状态段繁忙

W2k_mem.exe 还提供了两个很有特色的选项 ----+g 和 +i ，这两个选项可显示 GDT 和 IDT 的更多细节。 示列 4-14 示范了 +g 选项的输出。它很类似于 示列 4-13 中的“ kernel-model segment: ”一节，但列出了在内核模式下所有可用的段选择子（ selector ），而不仅仅是存储在段寄存器中的那些。 W2k_mem.exe 通过遍历整个 GDT 来获取所有的段选择子，可通过 IOCTL 函数 SPY_IO_SEGMENT 来指示 Spy 设备查询段信息。仅显示有效的选择子。比较 示列 4-13 和 4-14 中的 GDT 选择子将十分有趣， GDT 的选择子定义于 ntddk.h 中，汇总在 表 4-6 。显然，它们与 w2k_mem.exe 的输出是一致的。

示列 4-14. 显示 GDT 描述符

表 4-6. 定义于 ntddk.h 中的 GDT 选择子（ selector ）

符 号

值

注 释

KGDT_NULL

0x0000

空的段选择子（无效）

KGDT_R0_CODE

0x0008

内核模式的 CS 寄存器

KGDT_R0_DATA

0x0010

内核模式的 SS 寄存器

KGDT_R3_CODE

0x0018

用户模式的 CS 寄存器

KGDT_R3_DATA

0x0020

用户模式的 DS 、 ES 和 SS 寄存器，内核模式的 DS 和 ES 寄存器

KGDT_TSS

0x0028

位于用户和内核的任务状态段

KGDT_R0_PCR

0x0030

内核模式的 FS 寄存器（处理器控制区域）

KGDT_R3_TEB

0x0038

用户模式的 FS 寄存器（线程环境块）

KGDT_VDM_TILE

0x0040

基地址 0x00000400 ，限制 0x0000FFFF （ Dos 虚拟机）

KGDT_LDT

0x0048

本地描述符表

KGDT_DF_TSS

0x0050

Ntoskrnl.exe 变量 KiDoubleFaultTSS

KGDT_NMI_TSS

0x0058

Ntoskrnl.exe 变量 KiNMITSS

示列 4-14 中的选择子（ selector ）没有在 表 4-6 中列出，其中的某些选择子可以通过查找熟悉的基地址或其内存内容来确认它们。使用内核调试器可查找其中某些选择子的基地址对应的符号。 表 4-7 给出了我已经确认的选择子。

W2k_mem.exe 的 +i 选项可转储 IDT 中的门描述符（ Gate Descriptor ）。 示列 4-15 给出了 IDT 的门描述符的部分内容， Intel 仅定义了 IDT 中的前 20 个门描述符（ Intel 1999c, pp. 5-6 ）。 IDT 中的中断 0x14 到 0x1F 由 Intel 保留；剩余的 0x20 到 0xFF 由操作系统使用。

在 表 4-8 中，我给出了所有可确认的特殊的中断、陷阱和任务门。大多数用户自定义的中断都指向哑元例程 ---KiUnexpectedinterruptnNNN() ，在前面我们已经解释过它。对于某些中断处理例程的地址，内核调试器也无法解析其地址对应的符号。

表 4-7. 更多的 GDT 选择子（ selector ）

值

基地址

描 述

0x0078

0x80400000

Ntoskrnl.exe 的代码段

0x0080

0x80400000

Ntoskrnl.exe 的数据段

0x00A0

0x814985A8

TSS （ EIP 成员指向 HalpMcaExceptionHandlerWrapper ）

0x00E0

0xF0430000

ROM BIOS 代码段

0x00F0

0x8042DCE8

Ntoskrnl.exe 函数 KiI386CallAbios

0x0100

0xF0440000

ROM BIOS 数据段

0x0108

0xF0440000

ROM BIOS 数据段

0x0110

0xF0440000

ROM BIOS 数据段

示列 4-15. 显示 IDT 门描述符

表 4-8. Windows 2000 中断、陷阱和任务门

INT

Intel 定义的描述符

拥有者

处理例程 /TSS

0x00

整除错误（ DE ）

ntoskrnl.exe

KiTrap00

0x01

调试（ DB ）

ntoskrnl.exe

KiTrap01

0x02

NMI 中断

ntoskrnl.exe

KiNMITSS

0x03

断点（ BP ）

ntoskrnl.exe

KiTrap03

0x04

溢出（ OF ）

ntoskrnl.exe

KiTrap04

0x05

越界（ BR ）

ntoskrnl.exe

KiTrap05

0x06

未定义的操作码（ UD ）

ntoskrnl.exe

KiTrap06

0x07

没有数学协处理器（ NM ）

ntoskrnl.exe

KiTrap07

0x08

Double Fault （ DF ）

ntoskrnl.exe

KiDouble

0x09

协处理器段溢出

ntoskrnl.exe

KiTrap09

0x0A

无效的 TSS （ TS ）

ntoskrnl.exe

KiTrap0A

0x0B

段不存在（ NP ）

ntoskrnl.exe

KiTrap0B

0x0C

堆栈段故障（ SS ）

ntoskrnl.exe

KiTrap0C

0x0D

常规保护（ GP ）

ntoskrnl.exe

KiTrap0D

0x0E

页故障（ PF ）

ntoskrnl.exe

KiTrap0E

0x0F

Intel 保留

ntoskrnl.exe

KiTrap0F

0x10

Math Fault （ MF ）

ntoskrnl.exe

KiTrap10

0x11

对齐检查（ AC ）

ntoskrnl.exe

KiTrap11

0x12

Machine Check （ MC ）

?

？

0x13

流 SIMD 扩展

ntoskrnl.exe

KiTrap0F

0x14-0x1F

Intel 保留

ntoskrnl.exe

KiTrap0F

0x2A

用户自定义

ntoskrnl.exe

KiGetTickCount

0x2B

用户自定义

ntoskrnl.exe

KiCallbackReturn

0x2C

用户自定义

ntoskrnl.exe

KiSetLowWaitHighThread

0x2D

用户自定义

ntoskrnl.exe

KiDebugSerice

0x2E

用户自定义

ntoskrnl.exe

KiSystemService

0x2F

用户自定义

ntoskrnl.exe

KiTrap0F

0x30

用户自定义

hal.dll

HalpClockInterrupt

0x38

用户自定义

hal.dll

HalpProfileInterrupt

Windows 2000 的内存区域

W2k_mem.exe 的最后一个还未讨论的选项是： +b 选项。该选项会产生 4GB 地址空间中相邻内存区域的列表，这个列表非常大。 W2k_mem.exe 使用 Spy 设备的 IOCTL 函数 SPY_IO_PAGE_ENTRY 遍历整个 PTE 数组（位于地址 0xC0000000 ）来生成这个列表。在作为结果的每个 SPY_PAGE_ENTRY 结构中，通过将它们的 dSize 成员与其对应的 PTE 线性地址相加即可得到下一个 PTE 的地址。 列表 4-30 给出了该选项的实现方式。

DWord WINAPI DisplayMemoryBlocks (HANDLE hDevice)

{

SPY_PAGE_ENTRY spe;

PBYTE pbPage, pbBase;

DWORD dBlock, dPresent, dTotal;

DWORD n = 0;

pbPage = 0;

pbBase = INVALID_ADDRESS;

dBlock = 0;

dPresent = 0;

dTotal = 0;

n += _printf (L'rnContiguous memory blocks:'

L'rn-------------------------rnrn');

do {

if (!IoControl (hDevice, SPY_IO_PAGE_ENTRY,

&pbPage, PVOID_,

&spe, SPY_PAGE_ENTRY_))

{

n += _printf (L' !!! Device I/O error !!!rn');

break;

}

if (spe.fPresent)

{

dPresent += spe.dSize;

}

if (spe.pe.dValue)

{

dTotal += spe.dSize;

if (pbBase == INVALID_ADDRESS)

{

n += _printf (L'%5lu : 0x%08lX ->',

++dBlock, pbPage);

pbBase = pbPage;

}

}

else

{

if (pbBase != INVALID_ADDRESS)

{

n += _printf (L' 0x%08lX (0x%08lX bytes)rn',

pbPage-1, pbPage-pbBase);

pbBase = INVALID_ADDRESS;

}

}

}

while (pbPage += spe.dSize);

if (pbBase != INVALID_ADDRESS)

{

n += _printf (L'0x%08lXrn', pbPage-1);

}

n += _printf (L'rn'

L' Present bytes: 0x%08lXrn'

L' Total bytes: 0x%08lXrn',

dPresent, dTotal);

return n;

}

列表 4-30. 查找相邻的线性内存块

示列 4-16 摘录了在我的机器上使用 +b 选项的输出列表，可以看出其中的几个区域非常有趣。一些非常明显的地址是： 0x00400000 ，这是 w2k_mem.exe 内存映像的起始地址（第 13 号块），还有一个是 0x10000000 ，此处是 w2k_lib.dll 的基地址（第 23 号块）。 TEB 和 PEB 页也很容易认出（第 104 号块）， hal.dll （第 105 号块）， ntoskrnl.exe （第 105 号块）， win32k.sys （第 106 号块）。第 340---350 号块是系统 PTE 数组的一小段，第 347 号块是页目录的一部分。第 2122 号块包含 SharedUserData 区域，第 2123 号块由 KPCR 、 KPRCB 和包含线程和进程状态信息的 CONTEXT 结构组成。

示列 4-16. 相邻内存块列表示列

还需要补充一下， W2k_mem.exe 的 +b 选项会报告有大量的内存被使用，这可能超出了一个合理的值（比如，你机器上的物理内存数）。请注意 示列 4-16 底部给出的汇总信息。我现在真的使用了 700MB 的内存吗？ Windows 2000 的任务管理器显示是 150MB ，那么这儿的又是什么呢？这种奇特的效果都是由第 105 号内存块产生的，该内存块表示的范围： 0x80000000----0xA01A5FFF 占用了 0x201A6000 字节，也就是说占用了 538,599,424 字节。这显然是不可能的。问题是整个线性地址空间： 0x80000000 ---- 0x9FFFFFFF 都被映射到了物理内存： 0x00000000 ---- 0x1FFFFFFF ，在前面我已经提及过这一点。该区域中的所有 4MB 页都对应地址 0xC0300000 处的页目录中的一个有效的 PDE ，我们可以使用 w2k_mem +d #0x200 0xC0300800 命令来证明这一点（ 示列 4-17 ）。因为结果列表中的所有 PDE 都是奇数（ 译注：如果 PDE 为奇数，证明其 P 位肯定为 1 ），所以它们对应的页都必须存在；不过，它们并不需真正占用物理内存。事实上，这一内存区域的大部分都是“空洞（ hole ）”，如果将其复制到缓冲区中，可发现它们都被 0xFF 填充。因此，对于 w2k_mem.exe 输出的内存使用情况，你不需要过于认真。

示列 4-17. 地址范围是： 0x80000000 --- 0x9FFFFFFF 的 PDE

Windows 2000 的内存布局 本章的最后一部分将给出在一个 Windows 2000 进程“看”来， 4GB 线性地址空间的总体布局是什么样子。 表 4-9 给出了多个基本数据结构的内存范围。它们之间的“大洞（ big hole ）” 有不同的用途，如，用于进程模块和设备驱动程序的加载区域，内存池，工作集链表等等。注意，有些内存地址和内存块的大小在不同的系统之间有很大的差异，这 取决于物理内存和硬件的配置情况、进程的属性以及其他一些系统变量。因此，这里给出的仅仅是一个草图而已，并不是精确的布局图。

有些物理内存块在线性地址空间中出现的两次或更多次。例如， SharedUserData 区域位于线性地址 0xFFDF0000 ，并且并镜像到 0x7FFE0000 。这两个地址都指向物理内存中的同一个页，这意味着，如果向 0xFFDF0000+n 处写入一个字节，那么 0x7FFE0000+n 处的值也会随之改变。这是一个虚拟内存的世界 ---- 一个物理地址可以被映射到线性地址空间中的任何地方，即使一个物理地址在同一时间映射到多个线性地址也是可以的。回忆一下 图 4-3 和 图 4-4 ，它们清楚地展示了线性地址的这种“虚假行为”。它们的目录和表位域正确的指向用来确定数据实际位置的结构体。如果两个 PTE 的 PFN 恰好是相同的，那么它们对应的线性地址将指向物理内存相同位置。

表 4-9. 进程地址空间中的可确认的内存区域

起始地址

结束地址

十六进制大小

类型 / 描述

0x00000000

0x0000FFFF

10000

底部的受保护块（ Lower guard block ）

0x00010000

0x0001FFFF

10000

WCHAR[]/ 环境字符串，在一个 4KB 页中分配

0x00020000

0x0002FFFF

10000

PROCESS_PARAMETERS/ 在一个 4KB 页中分配

0x00030000

0x0012FFFF

1000000

DWORD[4000]/ 进程堆栈（默认； 1MB ）

0x7FFDD000

0x7FFDDFFF

1000

TEB/1# 线程的线程环境块

0x7FFDE000

0x7FFDEFFF

1000

TEB/2# 线程的线程环境块

0x7FFDF000

0x7FFDFFFF

1000

PEB/ 进程环境块

0x7FFE0000

0x7FFE02D7

2D8

KUSER_SHARED_DATA/ 用户模式下的 SharedUserData

0x7FFF0000

0x7FFFFFFF

10000

顶部的受保护块（ Upper guard block ）

0x80000000

0x800003FF

400

IVT/ 中断向量表

0x80036000

0x800363FF

400

KGDTENTRY[80]/ 全局描述符表

0x80036400

0x80036BFF

800

KIDTENTRY[100]/ 中断描述符表

0x800C0000

0x800FFFFF

40000

VGA/ROM BIOS

0x80244000

0x802460AA

20AB

KTSS/ 内核任务状态段（繁忙）

0x8046AB80

0x8046ABBF

40

KeServiceDescriptorTable

0x8046AB

0x8046ABFF

40

KeServiceDescriptorTableShadow

0x80470040

0x804700A7

68

KTSS/KiDoubleFaultTSS

0x804700A8

0x8047010F

68

KTSS/KiNMITSS

0x804704D8

0x804708B7

3E0

PROC[F8]/KiServiceTable

0x804708B8

0x804708BB

4

DWORD/KiServiceLimit

0x804708BC

0x804709B3

F8

BYTE[F8]/KiArgumentTable

0x814C6000

0x82CC5FFF

1800000

PFN[100000]/MmPfnDatabase （最大为 4GB ）

0xA01859F0

0xA01863EB

9FC

PROC[27F]/W32pServiceTable

0xA0186670

0x A01863EE

27F

BYTE[27F]W32pArgumentTable

0xC0000000

0xC03FFFFF

400000

X86_PE[100000]/ 页目录和页表

0xC1000000

0xE0FFFFFF

20000000

系统缓存（ MmSystemCacheStart, MmSystemCacheEnd ）

0xE1000000

0xE77FFFFF

6800000

页池（ Paged Pool ）（ MmPagedPoolStart, MmPagedPoolEnd ）

0xF0430000

0xF043FFFF

10000

ROM BIOS 代码段

0xF0440000

0xF044FFFF

10000

ROM BIOS 数据段

0xFFDF0000

0xFFDF02D7

2D8

KUSER_SHARED_DATA/ 内核模式下的 SharedUserData

0xFFDFF000

0xFFDFF053

54

KPCR/ 处理器控制区（内核模式 FS 段）

0xFFDFF120

0xFFDFF13B

1C

KPRCB/ 处理器控制块

0xFFDFF13C

0xFFDFF407

2CC

CONTEXT/ 线程 CONTEXT （ CPU 状态）

0xFFDFF620

0xFFDFF71F

100

后备链表目录（ Lookaside list DirectorIEs ）