相当困惑的一件事,在windows29912分页模式中,我在调试时出现了这样一件事.
问题一:关于线性地址和物理地址的值不对应的问题
首先我找到并附加了一个进程.
然后我用dd查看线性地址c060_1000的内容,之后查看了其对应的物理地址,这两个地址的完全相同,没问题!
接下来问题来了,我用ed修改了c060_1000处的内容,并且查看确实修改了.
但是对应的物理地址还是显示之前的值.没有跟随改变,.我以为是没有更新的问题,重新运行后还是这样,c060_1000和其对应的物理地址,被修改的地方不一样了.
于是我用其他的地址进行测试,没有发现存在此问题,比如我修改了线性地址0x0021feac处的值,其对应的物理地址处的值也改变了.唯独这个c060_1000不行,我尝试了c060_2000,也是不行.
十分困惑,百思不得其解,望高人解答.由衷的感谢.
问题二:主要是使用WinDeb操作内存的一些方法,以下
1,使用eq可以修改线性地址的内容,如果我想修改物理地址的内容应该用什么指令,!eq不行,试过了.
2,用dd查看内存时,查看的是线性地址,那么这个线性地址默认是哪个线程的呢?
3,如果我想用dd查看特定的某个线程的线性地址只有.process xxxxx这一种方法吗?

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课