对于Windowsx64上的内核空间虚拟地址(VA>0xFFFF000000000000)，从虚拟地址到物理地址的转换是如何工作的？我知道它如何用于用户空间虚拟地址:VA由多个表中的多个索引组成，第一个(PML4)位于存储在CR3寄存器中的物理地址(和过程DirectoryTableBase在WinDbg中也称为“DirBase”)。我猜这与内核空间VA类似，但是它们的PML4表在哪里？我的目标是在不依赖DbgEng/WinDbgAPI的情况下解析内核故障转储。我已经能够分辨出每个内存页在文件中的位置，但转储文件中的大多数字段都在内核空间VA中表示。该文件头中的DirectoryTab

我正在尝试编写一个APCdll注入(inject)驱动程序，我找到了this示例并考虑根据我的需要对其进行修改。在我理解了代码之后，我想到了如何修改它(我的问题由此而来)。在code，作者使用了PsLookupThreadByThreadId接收指向目标进程的ETHREAD结构的引用指针。PsLookupThreadByThreadId(pSpi->Threads[0].ClientId.UniqueThread,&Thread)但要得到SYSTEM_THREAD_INFORMATION对于UniqueThreadhandle，他用过ZwQuerySystemInformation我想

你好:我在linux中有一个cronjob，它将最后100个文件保存在一个目录中，现在我需要将它移植到windows上。我的Linux作业如下:#sortbytime,1perline|getfilesover100th|deletethose$ls-1t\my\path\tmp|tail--lines=+100|xargsrm-f每天运行一次现在我在做REMgetfilesoltherthan2D,deleteforfiles/d-2/p"C:\my\path\tmp"/c"cmd/cDel@path"只删除超过2天的文件，但如果总数不是太大( 最佳答案

关闭。这个问题不符合StackOverflowguidelines.它目前不接受答案。我们不允许提问寻求书籍、工具、软件库等的推荐。您可以编辑问题，以便用事实和引用来回答。关闭7年前。Improvethisquestion免费、便携、全部包含在内、合二为一，(开源是+)php服务器？我有一张USB闪存16gb卡。我想在它上面安装某种PHP服务器——一些programm.exe，我可以在不同的计算机上运行而无需安装——调用一些localhost/phpserver并运行我的php脚本。那么去哪里得到这样的东西呢？

他，我写了一个函数，它应该给我一个Windows系统的核心数。它适用于除XP64位以外的所有系统。这是我获取信息的方式:$objWMIItems=$objWMIService.ExecQuery("SELECT*FROMWin32_Processor")If(0==IsObj($objWMIItems))Then;~errorhandlingElseFor$objElementIn$objWMIItems$nCoreNumber=$objElement.NumberOfCoresNext关于“NumberOfCores”，Microsoft的MSDN页面告诉我“WindowsServe

在ubuntu10.04linux内核中，如果我insmod一个运行的模块while(1);在init_module部分，整个系统停止。但是，如果我在Windows7中加载一个sys文件在DriverEntry部分运行while(1);，系统变慢但仍然有效。谁能解释一下为什么两个系统不同内核内部发生了什么？...我认为在第一种情况下(init_module中的无限循环)，系统没有理由停止。因为即使我在init_module中制作while(1);，它也在运行在insmod用户应用程序的上下文中。所以流程无限循环必须通过硬件中断信号进行调度。这只是我的看法，如果我错了我想知道细节...

32位主机Windows应用程序设置共享内存(使用内存映射文件/CreateFileMapping()API)，然后其他32位客户端进程使用此共享内存相互通信。我计划将主机应用程序移植到64位平台，一旦准备就绪，我打算32位和64位客户端进程都应该能够使用主要64位主机应用程序设置的共享内存。为主机x32应用程序编写的原始代码几乎在任何地方都使用“size_t”，因为当我们从x32移动到x64时，这从4字节到8字节不同，我正在寻找替换它。我打算将“size_t”替换为“unsignedlonglong”，以便它的大小在32位和64位上相同。你能给我推荐更好的选择吗？此外，“unsign

我需要在内核模式WFP驱动程序和用户模式应用程序之间进行双向通信。驱动程序通过将URL传递给应用程序来启动通信，然后应用程序对该URL进行分类(娱乐、新闻、成人等)并将该类别传递回驱动程序。驱动程序需要知道过滤器功能中的类别，因为它可能会根据该信息阻止某些网页。我在应用程序中有一个线程正在发出I/O请求，驱动程序将使用URL和GUID完成，然后应用程序会将类别写入该GUID下的注册表中，驱动程序将在其中获取它。不幸的是，正如驱动程序验证者指出的那样，这是不稳定的，因为Zw注册表函数必须在PASSIVE_LEVEL运行。我正在考虑用映射内存缓冲区尝试同样的事情，但我不确定中断要求是什么。

我正在寻找每个类别的推荐免费收费适用于可移植可执行文件(native/非.NET)恶意软件分析的易于使用的调试器。 最佳答案 在免费类别中，Olly是国王。如果您使用的是WinXP或更早版本，SoftICE也很棒，尽管现在很难找到它的副本。在付费类别中是IDAPro，Handlebars放下。克里斯·伊格尔wroteanexcellentbook向您展示如何使用IDA进行高级逆向工程。还要澄清一下Marco，UPX只能用于解压最初用UPX打包的可执行文件。许多非常复杂的恶意软件二进制文件使用自定义打包技术，无法使用UPX逆转。

正如标题所暗示的，我对获取仅在内核模式下进程使用的CPU时钟周期很感兴趣。我知道有一个名为“QueryProcessCycleTime”的API可以返回CPU时钟进程的线程使用的周期。但这个值包括在用户模式和内核模式下花费的周期。我怎样才能获得仅在内核模式下花费的周期？我需要使用性能计数器来获取它吗？如果是，我应该使用哪一个？预先感谢您的回答。 最佳答案 我刚刚发现一篇有趣的文章，几乎描述了您的要求。在MSDNInternals上.他们在那里写道，如果您使用的是C#或C++/CLI，您可以轻松地从System.Diagnostic.