J'ai récemment remarqué que la version 32 bits de Cheat Engine a son bloc d'environnement Thread à une adresse plus élevée que celle disponible pour l'espace d'adressage 32 bits. A ma connaissance, l'espace utilisateur n'est accessible que jusqu'à l'adresse 0x7FFFFFFF, mais ce TEB était situé à 0xFFFDB000. Chaque TEB que j'ai vu a commencé à 0x7EFD8000 ou 0x7EFDB000 et les TEB suivants ont continué vers le bas. Je suppose que Cheat Engine est un scanner de mémoire, c'est pour simplifier le processus de numérisation. Le bloc d'environnement de processus a également été déplacé. Quelqu'un peut-il me dire comment cela est possible? Est-ce un paramètre dans le Portable Executable, par hasard?Comment les blocs d'environnement de thread peuvent-ils résider au-dessus de la limite d'espace d'adressage?
0
A
Répondre
1
pour 32 programmes de bits adresses disponibles à partir 0x00000000 à 0xFFFFFFFF mais sur la plate-forme x86 espace historique [0x00000000, 0x7FFFFFFF] était d'utilisateur et espace noyau. mais sur x64, où les applications 32 bits s'exécutent dans le sous-système wow64, ce n'est déjà pas vrai - la totalité de la plage 32 bits - est l'espace utilisateur. mais pour une raison compatible système de toute façon restreindre l'espace d'adresse utilisateur de wow64 bit applications à 2 Go [0x00000000, 0x7FFFFFFF] par défaut. pour briser cela et disposer d'un espace de 4 Go besoin d'utiliser le drapeau
IMAGE_FILE_LARGE_ADDRESS_AWAREL'application peut gérer les adresses de plus de 2 Go. dans IMAGE_FILE_HEADER.Characteristics
dans le processus WOW64 'FFFDB000' est possible et l'adresse correcte – RbMm
@RbMm Il est en effet un processus WOW64. Cependant, je n'ai jamais vu cela arriver à un autre TEB. Ils semblent toujours commencer à 0x7EFD8000 ou 0x7EFDB000. Qu'est-ce qui rend ce programme si spécial, pensez-vous? – Mikubyte
@RbMm J'utilise Win7 x64. – Mikubyte