内核页表学习

kernel
发布日期:   2025-03-21

页表梳理

动态调试

用户态的页表从头到尾都很稀疏:

用户态页表-0x1000就是内核页表:

可以和上面的图片比对,它们有映射的地方是一致的:

但是到了底部(高地址)内核页表有映射而用户态页表没有映射:

那么此时用户态访问这些内核地址就会发生缺页,然后应该是磁盘里也调不出来这些物理页,最终鉴定为非法地址就可以了;

但是如果没有开KPTI保护的话,就会直接存在映射,需要也表上的权限位来阻止访问。

文章作者: q1ming
文章链接: http://example.com/2025/03/21/%E5%86%85%E6%A0%B8%E9%A1%B5%E8%A1%A8%E5%AD%A6%E4%B9%A0/
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 q1ming !
kernel
  目录