|
一. 地址的本质
前言:
本文旨在加强理解,实际情况并非如此。这是简化版。
1. 基本概念
虚拟地址=逻辑地址=[段选择子]:[线形地址],利用段选择子找到描述符,
描述符有字段表示段的基地址(在Win32中都是0,所以线形地址就是真正地址)
还有字段表示段属性,实际上起到保护作用。
事实上,在Win32中,其他地址已经不重要了。关键还是线形地址。
我们在程序中使用的都是线形地址,我们完全可以忘记虚拟内存的概念,认为每个进程确实具有4G的物理内存,OS和CPU屏蔽了这个细节。不考虑它,也不会影响病毒的编写。程序在执行时,cpu会将我们使用的地址(可能是硬编码或寄存器)转换为物理地址。
2. 虚拟内存原理
但是,喜欢探索本质的人还是想了解细节,下面形象的解释一下:
1)硬件时钟中断,转中断处理程序,程序进行一些必要工作后,取出调度程序的pcb(进程控制块),设置寄存器数值,调度进程得到运行,按照某中算法选择一个进程P执行。cpu切换为P的环境。
与寻址关系最密切的是eip和CR3.
CR3的内容是物理地址,这在寻址过程中是很特殊的,因为Win32在保护模式下,感觉上都是虚拟地址,但是,如果真的都是虚拟地址,可就真的没办法定位到物理内存了。
cpu对以上发生的事一无所知,只是根据eip的值一条一条的执行。
此时访问的地址就是P的4G空间,执行P的指令。
如何实现的呢?关键是页表。
2)映射的本质
内存通过主板连接到cpu,之间有一个MMU部件(Memory Management Unit),cpu执行时,把eip高20位作为一个索引,再将[index+CR3]的作为高20位,eip的低12位作为低12位组合在一起,形成新的32位地址,这就是物理地址.
把页表想象成一个数组,个数为2^20(1M),大小为4M,页表当然存储在物理内存中,CR3就是数组首地址。数组的每一项为一个DWORD,双字的前20位表示一个物理页面。形象地:
页号(0~19) ...页属性 保留(30) 提交(31)
CR3 --> 00100 rw 1 1
01001 r 1 0
01010 0 0 0
00111 0 0 0
...
10011 0 0 0
这表明,物理内存的第4个物理页面提交,第9个保留.
每个进程都含有这样一个页表,其中的页号可能一样,就是对应相同的物理页面,比如内存映射文件。此时一个进程修改的数据,其他进程访问时也会改变。每个进程都有4G的内存可以使用,只是很多页面没有提交而已,这就是每个进程有4G的原理。
再来想象,当我们使用VirtualAlloc请求4k内存时。
VirtualAlloc(0,4*1024,PAGE_READWRITE,MEM_RESERVE or MEM_COMMIT)
函数内部搜索页表,找到第一个空闲页,这里是01010h,根据参数设置相应项,如果没有MEM_COMMIT,则‘保留’设为1,‘提交’为0,就是这个原理。
那么,VirtualFree就不言而喻了。
在看看MapViewOfFile,就是把文件从硬盘读到物理内存页面M中,比如M=00111h,这一项在页表中的索引等于3,再加上页内偏移000h,返回00003000h (pMapping=00003000h),以后用这个值访问这块内存,如何访问,则会访问到00111h这个物理页面,前面已经说了,自己可以分析一遍。
那么UnmapViewOfFile的作用相反了。
所谓映射,简单的说,就是将页表项的保留和提交设置为1而已。
解除映射则置0。
解除后,再使用pMapping(线形地址)访问内存时,找到页表相应项,发现此页面没有保留,就会发生内存错误。
值得注意的是,即使使用MapViewOfFile,页表中‘提交’字段也未必是1,只是作了保留标志,其他函数请求内存时就不会重复分配了,真正访问这个页面时再产生页错误而真正分配物理页。
3. 应用
自删除程序就是一个典型例子。
为什么要在堆栈中执行,而不是直接在代码段写呢。因为如果这样写,那么执行UnmapViewOfFile后,页表相应项(保留)置0,下一条指令就会发生内存错误。可是,如果把代码放在堆栈中,exe映射虽然解除,但堆栈对应的页表项仍在,所以可以继续执行,当然,也可以动态分配内存,将删除代码拷贝其中来执行,原理一样了,归根结底,就看页表的保留位是否是1,也就是是否映射。
|
