PC逆向 物理地址管理

本套课在线学习视频（网盘地址，保存后即可免费观看）：

https://pan.quark.cn/s/b77c7c33040a

声明：所有发布内容来自网络，仅供用户学习交流测试网速使用，部分影片如有内嵌广告，请勿上当受骗。获取的所有内容请在24小时内删除，禁止非法恶意传播或商业用途。如有侵权，请联系删除，个人微信：sumith，防失联。

讲解了在操作系统中物理地址的管理方法，包括通过六个链表来管理物理数据库的物理地址分配情况。详细解释了链表的功能，如空闲物理页的管理、释放链表的角色、备用链表的使用等。此外，还介绍了虚拟内存的概念，说明了当系统内存不足时，如何通过磁盘上的虚拟内存文件来扩展内存，以及进程在内存管理中的状态变化。

08:18 - 理解链表修改及其在内存管理中的作用

对话内容主要讲解了链表修改在内存管理中的具体应用，包括将修改后的数据写入磁盘的必要性、修改后数据的两种处理方式（是否写入磁盘）以及在内存条物理地址损坏时的处理方法。强调了在不同情况下，修改后的内容是否需要保存到磁盘上，以及物理地址损坏对内存管理的影响。同时，也说明了在某些条件下，人为可以标记物理地址为损坏，尽管仍可能访问到，但在系统检查时会被认定为损坏。

10:44 - Windows内核态物理内存管理解析

讨论集中在Windows 7及后续版本中物理内存管理的实现细节。特别强调了MMPF结构的应用，描述了该结构的组成和功能，包括链表节点的枚举类型及其代表的状态（如零化、释放、备用、修改等），以及活动页和正在转换页的标记。此外，还提到了该结构中双向循环指针的使用，以及如何通过该结构管理空闲页和物理地址的回收。整体上，这段讨论深入解析了Windows内核态下物理内存管理的机制和操作。

14:03 - 物理数据库结构分析

讨论了物理数据库中数组的管理方式，说明了PF结构的大小因系统版本不同而变化，如Win7和Win10的大小差异。详细解释了32位和64位系统下指针大小导致的结构大小差异。同时，介绍了全局变量和其起始地址的指向关系，以及MMPFN的格式和内容。此外，还探讨了数组中元素的联合体结构及其在不同情况下的含义，包括是否在数组中、工作集中的状态以及内存映射情况。

17:30 - 深入解析物理内存映射与管理机制

讨论集中于物理内存的映射与管理机制，包括映射计数、引用计数、内存使用状态、以及内存页的活动状态标记。讨论中提到了物理地址、PTE（页表项）的索引计算方法、内存页状态（如活动、有缓存、错误等状态）的标记方法，以及如何通过修改内存页状态来实现内存管理。特别提到了如何标记物理内存为坏页，以及相关的导出表和函数的使用。

25:30 - 探讨物理地址获取方法及Win 7变化

讨论集中在如何在Win 7操作系统中获取物理地址，展示了索引和内存分配链表的应用，以及如何通过参数判断来访问特定的内存结构。特别强调了Win 7系统中对此过程的改变，分析了利用不同参数进行物理地址访问的技巧，包括使用特定的计算方法和链表结构来定位物理地址。

33:42 - 解析复杂计算流程中的变量操作与条件判断

对话内容涉及对一个复杂计算流程的详细解析，包括变量操作、位移运算以及条件判断等关键步骤。首先介绍了如何使用盒的编号进行位移操作以计算特定值，并将该值与另一变量进行对比，判断相等性并据此执行不同的操作路径。过程中特别注意了高位可能不一致的情况，以及通过特定运算来改变寄存器状态，从而影响程序的执行流程。此外，还涉及了如何通过计算得到物理地址索引，并将其与数据库中的信息进行验证。整个对话揭示了在计算机科学中，对于复杂数据结构和算法的深入理解及应用。

39:15 - 深入理解物理地址与内存管理技术

讨论集中在物理地址的管理和内存回收的算法上。首先强调了不可能无限获取资源而不回收，然后详细探讨了回收过程中一个特定函数的作用，及其在不同系统版本（如win 7 64位）下的表现差异。通过一个链表（失败链表）的使用，介绍了内存分配与回收的机制，以及物理数据库页帧在内存管理中的角色。此外，还讨论了物理地址的获取方法和一些技术细节，如线性地址和物理地址的关系，以及共享和映射技术的使用。最后，强调了在现代系统中，这些机制的实现可能已经发生了变化，但基本原理仍然适用。

欢迎关注

更多精彩内容关注下方公众号：逆向有你

个人微信：sumith

每日自动更新各类学习教程及工具下载合集

https://pan.quark.cn/s/8c91ccb5a474