Статистика физических адресов таблиц страниц ядра

Тема в разделе "WASM.HEAP", создана пользователем l_inc, 2 янв 2011.

  1. l_inc

    l_inc New Member

    Публикаций:
    0
    Регистрация:
    29 сен 2005
    Сообщения:
    2.566
    В общем, понадобилась статистика значений CR3. Кому не в тягость, запустите у себя, пожалуйста, CR3InfoUM.exe из приложенного архива с правами администратора. Всё, что программа делает, — это читает значение cr3 и cr4 в контексте процесса system, после чего отображает диалог с результатами. Просьба указать, запускалось приложение нативно или под VM, и если под VM, то под какой.

    Если у кого-то возникнут сомнения насчёт моей порядочности, исходники в том же архиве.

    Ну и, собственно, начнём с того, что у меня уже имеется.
    Код (Text):
    1. Нативно:
    2. CR3 value: 0x003b5000
    3. PAE: on
    4. OS version: 5.1.2600 SP 3.0 client
    5.  
    6. Нативно:
    7. CR3 value: 0x00122000
    8. PAE: on
    9. OS version: 6.0.6002 SP 2.0 client
    10.  
    11. Нативно:
    12. CR3 value: 0x00185000
    13. PAE: on
    14. OS version: 6.1.7601 SP 1.0 client
    15.  
    16. VMWare:
    17. CR3 value: 0x00319000
    18. PAE: on
    19. OS version: 5.1.2600 SP 3.0 client
    P.S. Забыл упомянуть, что тест только для 32-битных систем.
     
  2. newbie

    newbie New Member

    Публикаций:
    0
    Регистрация:
    2 дек 2008
    Сообщения:
    1.246
    CR3 value: 0x00185000
    PAE: on
    OS version: 6.1.7600 SP 0.0 client

    П.с. нативно
     
  3. l_inc

    l_inc New Member

    Публикаций:
    0
    Регистрация:
    29 сен 2005
    Сообщения:
    2.566
    Кстати, извиняюсь, если кого-то вдруг напугало отсутствие реакции на запуск теста. Имело смысл сначала показывать гуи, а потом грузить драйвер. Загрузка драйвера может занять где-то до 20 секунд.
    newbie
    Спасибо.

    Ещё несколько результатов:
    Код (Text):
    1. VMWare:
    2. CR3 value: 0x00122000
    3. PAE: on
    4. OS version: 6.0.6002 SP 2.0 client
    5.  
    6. VMWare:
    7. CR3 value: 0x00185000
    8. PAE: on
    9. OS version: 6.1.7600 SP 0.0 client
    10.  
    11. VMWare:
    12. CR3 value: 0x00039000
    13. PAE: off
    14. OS version: 5.1.2600 SP 3.0 client
    15.  
    16. VMWare:
    17. CR3 value: 0x00122000
    18. PAE: off
    19. OS version: 6.0.6002 SP 2.0 client
    20.  
    21. VMWare:
    22. CR3 value: 0x00185000
    23. PAE: off
    24. OS version: 6.1.7600 SP 0.0 client
    25.  
    26. Native:
    27. CR3 value: 0x00185000
    28. PAE: on
    29. OS version: 6.1.7600 SP 0.0 client
    30.  
    31. Native:
    32. CR3 value: 0x00185000
    33. PAE: off
    34. OS version: 6.1.7601 SP 1.0 client
    Нетрудно заметить, что при выключении PAE меняется значение CR3 только у XP.
    Попробовал запустить под Win2k, так она тест вообще за win32 приложение не считает. Интересно почему, но не столь важно — разбираться не стал.
     
  4. krabz

    krabz New Member

    Публикаций:
    0
    Регистрация:
    26 май 2010
    Сообщения:
    135
    наверняка в PE хедере SubsystemVersion слишком большая прописана
     
  5. lhc645

    lhc645 New Member

    Публикаций:
    0
    Регистрация:
    9 авг 2009
    Сообщения:
    106
    Код (Text):
    1. VMWare:
    2. CR3 value: 0x00122000
    3. PAE: on
    4. OS version: 6.0.6001 SP 1.0 client
    5.  
    6. VMWare:
    7. CR3 value: 0x00ae2000
    8. PAE: on
    9. OS version: 5.1.2600 SP 2.0 client
    >>понадобилась статистика значений CR3

    Зачем, если не секрет?
     
  6. l_inc

    l_inc New Member

    Публикаций:
    0
    Регистрация:
    29 сен 2005
    Сообщения:
    2.566
    lhc645
    Спасибо. Пока что секрет, но обещаю его раскрыть... в этом году. :)
    Могу сказать, что колебание значений в XP не на пользу. Но целевая система — Win 7, где значения CR3, как и в Vista, кажутся постоянными.
     
  7. newbie

    newbie New Member

    Публикаций:
    0
    Регистрация:
    2 дек 2008
    Сообщения:
    1.246
    Что есть CR3 вообще кстати?
     
  8. Z3N

    Z3N New Member

    Публикаций:
    0
    Регистрация:
    10 фев 2009
    Сообщения:
    812
    newbie
    :S
     
  9. t00x

    t00x New Member

    Публикаций:
    0
    Регистрация:
    15 фев 2007
    Сообщения:
    1.921
    Код (Text):
    1. CR3 value: 0x03740020
    2. PAE: on
    3. OS version: 5.1.2600 SP 3.0 client
     
  10. l_inc

    l_inc New Member

    Публикаций:
    0
    Регистрация:
    29 сен 2005
    Сообщения:
    2.566
    t00x
    Спасибо. Вы не указали, на живой ли машине запускался тест. Странное значение, хоть и допустимое. Обычно последние три разряда обнулены.
    newbie
    Регистр x86, хранящий физический адрес таблиц страниц процесса. Подробности есть в 4-й главе тома 3A известной книжки.
     
  11. rmka

    rmka Member

    Публикаций:
    0
    Регистрация:
    22 окт 2010
    Сообщения:
    108
    Нативно:
    CR3 value: 0x07580020
    PAE: on
    OS version: 5.1.2600 SP 3.0 client
     
  12. s_d_f

    s_d_f New Member

    Публикаций:
    0
    Регистрация:
    15 май 2008
    Сообщения:
    342
    VirtualBox
    CR3 value: 0x00039000
    PAE: off
    OS version: 5.1.2600 SP 2.0 client
     
  13. z0mailbox

    z0mailbox z0

    Публикаций:
    0
    Регистрация:
    3 фев 2005
    Сообщения:
    635
    Адрес:
    Russia СПБ
    Вмварь
    CR3 value: 0x06d00020
    PAE: on
    OS version: 5.1.2600 SP 2.0 client
     
  14. Derek

    Derek New Member

    Публикаций:
    0
    Регистрация:
    2 ноя 2008
    Сообщения:
    121
    Native
    CR3 value: 0xbff84020
    PAE: on
    OS version: 5.2.3790 SP 2.0 server
    VMware
    CR3 value: 0x00319000
    PAE: on
    OS version: 5.1.2600 SP 3.0 client
     
  15. t00x

    t00x New Member

    Публикаций:
    0
    Регистрация:
    15 фев 2007
    Сообщения:
    1.921
    l_inc
    CR3 value: 0x03740020
    PAE: on
    OS version: 5.1.2600 SP 3.0 client
    VMware® Player 3.1.2 build-301548
     
  16. Neonix

    Neonix New Member

    Публикаций:
    0
    Регистрация:
    2 май 2009
    Сообщения:
    839
    CR3 value: 0x0a3b0020
    PAE: on
    OS version: 5.1.2600 SP 2.0 client
    без виртуала
     
  17. l_inc

    l_inc New Member

    Публикаций:
    0
    Регистрация:
    29 сен 2005
    Сообщения:
    2.566
    Ладно. Всем спасибо. :) С XP/2003 всё ясно: адрес зависит не только от включенного/выключенного PAE или /3GB, но даже от объёма оперативной памяти и ещё хз чего. Хотелось бы теперь убедиться, что хотя бы для Vista и Win 7 адреса постоянные: 0x00122000 и 0x00185000 соответственно.
     
  18. l_inc

    l_inc New Member

    Публикаций:
    0
    Регистрация:
    29 сен 2005
    Сообщения:
    2.566
    lhc645
    Как видно, обещание мне сдержать не удалось (нет мне прощения, сча буду оправдываться). С одной стороны, потому что неофициальное разрешение выставить на публику курсовой проект я получил только осенью (официальное, по ходу, даже не получил, но не суть). С другой стороны, потому что получил второй курсовой проект в качестве логического продолжения первого на порядок (шестнадцатиричный, пожалуй) большей трудоёмкости, и вот даже сейчас сижу (благо, уже) дописываю отчёт. Очень надеюсь, что таки к концу весны выкрою время на оформление полноценного раскрытия секрета... где-то между дописыванием уже на полгода задержанной бакалаврской и прохождением Deus Ex 3 и Mass Effect 2 (вон уже третий поспевает, а я всё во второй никак не поиграю).