WdbgExts 内存访问
本主题简要概述了如何使用 WdbgExts API 执行内存访问。 有关调试器引擎中内存访问的概述,请参阅本文档的调试器引擎概述部分中的内存。
虚拟内存
可以使用 ReadMemory 函数读取目标的虚拟内存,并可以使用 WriteMemory 函数进行写入。 可以使用 ReadPointer、 ReadPtr 和 WritePointer 函数读取和写入目标内存中的指针。
若要在虚拟内存中搜索字节模式,请使用 SearchMemory 函数。
TranslateVirtualToPhysical 函数可用于将虚拟内存地址转换为物理内存地址。
Disasm 函数可用于反汇编目标上的单个程序集指令。
若要在 PAE (上使用物理地址扩展时检查低 4 GB 内存是否损坏,) Ioctl 操作 IG_LOWMEM_CHECK。
物理内存
物理内存只能在内核模式调试中直接访问。
可以使用 ReadPhysical 和 ReadPhysicalWithFlags 函数读取目标上的物理内存,也可使用 Write Physicalal 和 WritePhysicalWithFlags 函数进行写入。
若要在物理内存中搜索指向指定范围内位置的指针,请使用 Ioctl操作IG_POINTER_SEARCH_PHYSICAL。
其他数据空间
在内核模式调试中,除了主内存之外,还能够读取数据以及将数据写入各种数据空间。 可以访问以下数据空间:
控制空间内存
ReadControlSpace、ReadControlSpace64、ReadTypedControlSpace32 和 ReadTypedControlSpace64 函数将读取控件空间的数据。 WriteControlSpace 函数将数据写入控件空间。
I/O 内存
ReadIoSpace、ReadIoSpace64、ReadIoSpace64、ReadIoSpaceEx64 等函数将读取系统 I/O 内存和总线 I/O 内存的数据。 WriteIoSpace、WriteIoSpace64、WriteIoSpaceEx 和 WriteIoSpaceEx64 函数将数据写入系统 I/O 内存和总线 I/O 内存。
特定于模型的注册 (MSR)
ReadMsr 和WriteMsr 函数读取和写入 MSR。
系统总线
Ioctl操作IG_GET_BUS_DATAIG_SET_BUS_DATA和写入系统总线数据。