Как происходит процесс распределения памяти(для процессов) на уровне ядра

На сколько я понял, ядро Windows - распределяет виртуальную память в user пространстве 0x00000000-0x7FFFFFFF для запускаемых процессов и модулей. Но какие именно функции ядра Windows - получают команды/инструкции процесса и устанавливают их в регионах памяти( к примеру Notepad++ получает виртуальный адрес 0x7FF6E8FC0000) как происходит весь процесс ?
И можно ли регулировать это распределение на уровне ядра по средствам драйвера ? Есть ли уже готовые примеры ?

0

В ядре есть набор связанных структур, в которых хранится информация о физических и
виртуальных адресах. Например, Local Descriptor Table (LDR - локальная таблица дескрипторов)
хранит "отображение" между виртуальной памятью процесса и соответствующими физическими
страницами памяти (упрощенно). Есть еще и Global Descriptor Table.
Таблицы эти многоуровневые, их структура зависит от версии и разрядности системы, а
также от различных настроек (PAE, например). Про все это очень хорошо написано в
книге "Windows Internals" М. Руссиновича. Вмешиваться в этот процесс у драйверов
нет возможности, ну разве что через грязные-грязные хаки.

1

Сообщение от Убежденный В ядре есть набор связанных структур, в которых хранится информация о физических и виртуальных адресах. Например, Local Descriptor Table (LDR - локальная таблица дескрипторов) хранит "отображение" между виртуальной памятью процесса и соответствующими физическими страницами памяти (упрощенно). Есть еще и Global Descriptor Table. Таблицы эти многоуровневые, их структура зависит от версии и разрядности системы, а также от различных настроек (PAE, например). Про все это очень хорошо написано в книге "Windows Internals" М. Руссиновича. Вмешиваться в этот процесс у драйверов нет возможности, ну разве что через грязные-грязные хаки.

Т.е если Notepad++ виртуально записан в 0x7FF6E8FC0000 , то его физический адрес будет выглядеть совсем другим ?
И по средствам драйвера можно увидеть как он выглядит и вообще следить за наполнением (Если это так то какие лучше примеры посоветуйте ? чтобы это наглядно увидеть).

И еще 1 момент, мне требуется добавить дополнительные инструкции в процессе(хукнуть), находясь не в его виртуальном пространстве(т.е работать извне из моего процесса, а не модуля), т.е к какой то функции которая обрабатывает нажатие на кнопку, добавить messageBox, у меня есть адрес этой функции и используя trampolineHook, в общем пространстве(через модуль присодененный к процессу) - все работает, но если делать из-вне, jmp в искомом процессе не как не перейдет, в тот процесс где у меня дописан Messagebox и jmp обратно.
Как лучше это решить ? Можно ли по средствам драйвера управлять физической памятью так чтобы jmp в искомом процессе переходил в мой(значения памяти там должны быть более глобальные, а не относительные - по всей видимости).
Либо может лучше увеличить размер виртуальной памяти для искомого процесса, на размер функции с Messagebox(из моего процесса) и скопировать туда весь функционал из моего процесса,а потом указать JMP(в искомой функции) на адресс, где добавлен нужный функционал.
На сколько я понял это можно сделать и в UserMode, но это будет заметно ? Нельзя ли работать непосредственно с физической памятью(на уровне драйвера) или ее все-равно потом нужно перегонять в виртуальную ? И какие лучше посмотреть примеры - подобной работы с памятью.

0

Сообщение от bigbastard Т.е если Notepad++ виртуально записан в 0x7FF6E8FC0000 , то его физический адрес будет выглядеть совсем другим ?

Да.
Мало того, этой страницы может вообще не быть в физической памяти.
Она может быть выгружена в файл и подгружаться по мере необходимости.

Сообщение от bigbastard И по средствам драйвера можно увидеть как он выглядит и вообще следить за наполнением (Если это так то какие лучше примеры посоветуйте ? чтобы это наглядно увидеть).

Для начала можно поэкспериментировать с утилитами RAMMap и VMMap (Sysinternals).
Они показывают "карту" памяти, как виртуальной, так и физической.

Сообщение от bigbastard И еще 1 момент, мне требуется добавить дополнительные инструкции в процессе(хукнуть), находясь не в его виртуальном пространстве(т.е работать извне из моего процесса, а не модуля), т.е к какой то функции которая обрабатывает нажатие на кнопку, добавить messageBox, у меня есть адрес этой функции и используя trampolineHook, в общем пространстве(через модуль присодененный к процессу) - все работает, но если делать из-вне, jmp в искомом процессе не как не перейдет, в тот процесс где у меня дописан Messagebox и jmp обратно. Как лучше это решить ? Можно ли по средствам драйвера управлять физической памятью так чтобы jmp в искомом процессе переходил в мой(значения памяти там должны быть более глобальные, а не относительные - по всей видимости). Либо может лучше увеличить размер виртуальной памяти для искомого процесса, на размер функции с Messagebox(из моего процесса) и скопировать туда весь функционал из моего процесса,а потом указать JMP(в искомой функции) на адресс, где добавлен нужный функционал.

Ты не можешь jmp из одного процесса прыгать в другой. Это нарушение принципов работы ОС.

0