透过MmIsAddressValid看Windows分页机制

这两天在逆向分析MmIsAddressValid这个函数，学习了下PAE分页机制,并且也发现了一个问题。就是本机ntoskrnl中导出的MmIsAddressValid函数是采用非PAE方式的，而本机XP SP2系统采用的却是PAE方式的分页机制。这个可以通过windbg中看到。 在这里写出来与大家分享。关于PAE (Physical Address Extension 物理地址扩展)是 Intel x86 Pentium Pro处理器引入的一种内存映射模式。在此模式下CPU可以访问多达64GB的物理内存。在PAE模式下PDE和PTE为64位，而不是原来的32位。其结构如下：lkd dt _hardware_ptent!_HARDWARE_PTE +0x000 Valid : Pos 0, 1 Bit +0x000 Write : Pos 1, 1 Bit +0x000 Owner : Pos 2, 1 Bit +0x000 WriteThrough : Pos 3, 1 Bit +0x000 CacheDisable : Pos 4, 1 Bit +0x000 Accessed : Pos 5, 1 Bit +0x000 Dirty : Pos 6, 1 Bit +0x000 LargePage : Pos 7, 1 Bit +0x000 Global : Pos 8, 1 Bit +0x000 CopyOnWrite : Pos 9, 1 Bit +0x000 Prototype : Pos 10, 1 Bit +0x000 reserved0 : Pos 11, 1 Bit +0x000 PageFrameNumber : Pos 12, 26 Bits +0x000 reserved1 : Pos 38, 26 Bits +0x000 LowPart : Uint4B +0x004 HighPart : Uint4B以上具体理论部分可以看下intel的v3.System Programming Guide。上面有这两种分页方式的介绍。非PAE分页，理论部分，看图，分4K 和 4M两种页。下面是ida 看到的ntoskrnl.exe中导出的MmIsAddressValid。.text:0040C661 ; BOOLEAN _stdcall MmIsAddressValid(PVOID VirtualAddress).text:0040C661 public MmIsAddressValid.text:0040C661 MmIsAddressValid proc near ; CODE XREF: sub_40D65E+Cp.text:0040C661 ; sub_415459:loc_415470p .text:0040C661.text:0040C661 VirtualAddress = dword ptr 8.text:0040C661.text:0040C661 ; FUNCTION CHUNK AT .text:0041B84E SIZE 00000007 BYTES.text:0040C661 ; FUNCTION CHUNK AT .text:0044A4F2 SIZE 00000019 BYTES.text:0040C661.text:0040C661 mov edi, edi.text:0040C663 push ebp.text:0040C664 mov ebp, esp.text:0040C666 mov ecx, ebp+VirtualAddress.text:0040C669 mov eax, ecx.text:0040C66B shr eax, 14h ; 右移20位.text:0040C66E mov edx, 0FFCh ; 取高10位.text:0040C673 and eax, edx.text:0040C675 sub eax, 3FD00000h ; 加上0xc0300000.text:0040C675 ; PDE = (VA 22) 12) 22)12) 22) 12) u MmIsAddressValid l 50nt!MmIsAddressValid:80510fa0 8bff mov edi,edi80510fa2 55 push ebp80510fa3 8bec mov ebp,esp80510fa5 51 push ecx ;申请空间 EBP - 480510fa6 51 push ecx ;申请空间 EBP - 880510fa7 8b4d08 mov ecx,dword ptr ebp+8 ; 取参数，虚拟地址80510faa 56 push esi80510fab 8bc1 mov eax,ecx80510fad c1e812 shr eax,12h ; 右移12H(18位,相当于213),即线性地址高11位（32- 21）代表页目录索引，而页目录中每 ; 个索引占8个字节，故该索引在页目录中的相对偏移位置是页目录索引*8，也就是12 12)21)12)21)12) !pte VA 00000000PD