а почему это kd надо больше доверять чем sice?

кароче, сделал свой дампер и сдампил..
GDT идентичен, как при sice и код BIOSа тамже.

"примите наши поздравления"

а почему это kd надо больше доверять чем sice?

однако, интересную вещь заметил, например , софтайс умышленно отображает в своих дамперских окошках не истинное содержимое памяти, а то, что там должно находится в реальности без оного(присутствия айса). Например, в 9х погляди, как он лихо тасует адреса скажем в GDT скажем int 0х51/irq1.Это к примеру так, а примеров я таких достаточно спалил. С одной стороны, конечно, он пытается выпятить якобы реальность, но, я первое время по незнанию сих подводных камней на такое лихо напарывался.. :). Кадэ кстати, правильнее рулит на этих делах. Но, айс мне больше по душе.... ;)

лихо тасует адреса скажем в GDT скажем int 0х51/irq1

звиняюсь, не GDT а IDT

> а почему это kd надо больше доверять чем sice?
1) потому что kd находится в hal.dll, а не хз где ;)
2) потому что kd может работать с дампом системы, что гарантированно _не_ вносит никаких побочных эффектов

> кароче, сделал свой дампер и сдампил..
> GDT идентичен, как при sice и код BIOSа тамже.
а вот я у себя кода BIOS'а в упор не вижу.
если сбросить систему в кору и затем в hiew'е полазить по дампу, там кода BIOS'а так же не обнаружится (во всяком случае при неактивном айсе, с активным не проверял).
поэтому я придерживаюсь своей прежней формулировки - ядро BIOS не маппит, но не запрещает мапить другим, BIOS'ные вызовы доступный через DMPI и VxD

> "примите наши поздравления"
"распишитесь в получении"

kaspersky,
судя по вашему прежнему посту, вы смотрёте не туда(80010000);
перечитайте пошто я писал о GDT..
(я об XP)


"желаююю..брачных и законных наслаждений и .."

> судя по вашему прежнему посту, вы смотрёте не туда(80010000);
я смотрю туда, куда у меня под айсом отображается биос, отображение физ. адр. на вирт. показывает пхус. вот туда я и смотрю ;) кстати говоря, это отображение не единственное. но! если сбросить w2k в кору и айс при этом неактивен, то в коре кода Bios уже не обнарживается. кора смотрится по F3 в FAR'е.

> перечитайте пошто я писал о GDT..
>(я об XP)
GDT это только дескрпиторы. к отображению физ на вирт они имеют слабое отношение. ну разве что тип и размерянность кода/данных дают зацепку, но... мы ж не об этом ;)

нда, ну не хочет человек смотреть..
ладно, приаттачьте сюда ваш дамп страницы GDT, мы почмотрим за вас.

kaspersky
Сэр, оно там есть(код BIOS), и при неактивном айсе. Уже промапено в свои 16 битные сегменты по выделенным дескрипторам в GDT.

> нда, ну не хочет человек смотреть..
> ладно, приаттачьте сюда ваш дамп страницы GDT, мы почмотрим за вас.

kd> dg 0 100
Selector   Base     Limit     Type    DPL   Size  Gran Pres
-------- -------- -------- ---------- --- ------- ---- ----
  0000   00000000 00000000 <Reserved>  0  Not Big Byte  NP 
  0008   00000000 ffffffff Code RE Ac  0    Big   Page  P  
  0010   00000000 ffffffff Data RW Ac  0    Big   Page  P  
  0018   00000000 ffffffff Code RE Ac  3    Big   Page  P  
  0020   00000000 ffffffff Data RW Ac  3    Big   Page  P  
  0028   80295000 000020ab TSS32 Busy  0  Not Big Byte  P  
  0030   ffdff000 00001fff Data RW Ac  0    Big   Page  P  
  0038   7ffde000 00000fff Data RW Ac  3    Big   Byte  P  
  0040   00000400 0000ffff Data RW     3  Not Big Byte  P  
  0048   00000000 00000000 <Reserved>  0  Not Big Byte  NP 
  0050   80473ac0 00000068 TSS32 Avl   0  Not Big Byte  P  
  0058   80473b28 00000068 TSS32 Avl   0  Not Big Byte  P  
  0060   00022ac0 0000ffff Data RW Ac  0  Not Big Byte  P  
  0068   000b8000 00003fff Data RW     0  Not Big Byte  P  
  0070   ffff7000 000003ff Data RW     0  Not Big Byte  P  
  0078   80400000 0000ffff Code RE     0  Not Big Byte  P  
  0080   80400000 0000ffff Data RW     0  Not Big Byte  P  
  0088   00000000 00000000 Data RW     0  Not Big Byte  P  
  0090   00000000 00000000 <Reserved>  0  Not Big Byte  NP 
  0098   00000000 00000000 <Reserved>  0  Not Big Byte  NP 
  00A0   818891e8 00000068 TSS32 Avl   0  Not Big Byte  P  
  00A8   00000000 00000000 <Reserved>  0  Not Big Byte  NP 
  00B0   00000000 00000000 <Reserved>  0  Not Big Byte  NP 
  00B8   00000000 00000000 <Reserved>  0  Not Big Byte  NP 
  00C0   00000000 00000000 <Reserved>  0  Not Big Byte  NP 
  00C8   00000000 00000000 <Reserved>  0  Not Big Byte  NP 
  00D0   00000000 00000000 <Reserved>  0  Not Big Byte  NP 
  00D8   00000000 00000000 <Reserved>  0  Not Big Byte  NP 
  00E0   f3c30000 0000ffff Code RE Ac  0  Not Big Byte  P  
  00E8   00000000 0000ffff Data RW     0  Not Big Byte  P  
  00F0   8042e108 000003b7 Code EO     0  Not Big Byte  P  
  00F8   00000000 0000ffff Data RW     0  Not Big Byte  P  
  0100   f3c40000 0000ffff Data RW Ac  0    Big   Byte  P  
kd> !pte 8042e108
unable to get nt!MmSubsectionBase
8042E108  - PDE at C0300804        PTE at C02010B8
          contains 004001E3      contains 00000000
        pfn 400 GLDA--KWV       LARGE PAGE

kd> !pte f3c30000
unable to get nt!MmSubsectionBase
F3C30000  - PDE at C0300F3C        PTE at C03CF0C0
          contains 01000163      contains 000F0163
        pfn 1000 G-DA--KWV    pfn f0 G-DA--KWV

kd> dc e0:f3c30000
00e0:0000  ???????? ???????? ???????? ????????  ????????????????
00e0:0010  ???????? ???????? ???????? ????????  ????????????????
00e0:0020  ???????? ???????? ???????? ????????  ????????????????
00e0:0030  ???????? ???????? ???????? ????????  ????????????????
00e0:0040  ???????? ???????? ???????? ????????  ????????????????
00e0:0050  ???????? ???????? ???????? ????????  ????????????????
00e0:0060  ???????? ???????? ???????? ????????  ????????????????
00e0:0070  ???????? ???????? ???????? ????????  ????????????????
kd> q
quit:

>>contains 000F0163
!?

а так попробуйте:
dc 10:f3c30000
dc 10:f3c40000

и без kd не можете?

>>contains 000F0163
> !?
000F0163 - это физ. адрес. только какой-то подозрительно некруглый.

> а так попробуйте:
> dc 10:f3c30000
> dc 10:f3c40000

kd> dc 10:f3c30000
0010:f3c30000  ???????? ???????? ???????? ????????  ????????????????
0010:f3c30010  ???????? ???????? ???????? ????????  ????????????????
0010:f3c30020  ???????? ???????? ???????? ????????  ????????????????

> и без kd не можете?
при попытке обратится к этому линейному адресу из драйвера, незавимо от селектора возникает устойчивое исключение.

да знаю, всё в порядке c "физ. адресом" (тот 163 - флаги),
точно так и есть на XP.

прямо чудо? и в PDE и в PTE лежат page, а мил-человеку не дают насмотреться!

может память сильна перегружена, и потому засвапан bios?

> да знаю, всё в порядке c "физ. адресом" (тот 163 - флаги),
это меня проглючило ;(
что адрес начала страницы должен быть выравнен на 4 кб - помнил, что он (адрес) хранится в 31-12 битах - тоже, а вот что KD не очищает его - забыл, еще и удивлился, какой он, блин, не круглый, как это ухитрились начать страницу с середины.

> точно так и есть на XP.
> прямо чудо? и в PDE и в PTE лежат page, а мил-человеку не дают насмотреться!
я одного не пойму - почему то, что лежит в page недоступно ни KD, ни команде mov, вызываемой из драйвера, ни даже far'у которым я просматриваю сброшенный дамп.

> может память сильна перегружена, и потому засвапан bios?
памяти у меня всего 256 мег, но из них даже при пиковой загрузке как минимум четверть остается свободной. я ж ни с какими монстроузными приложениями не работаю. после загрузки занято только 64 мега, ну если активер брандмаузер, то 97... тем более бит P взведен, и это видно по флагам. правда, BIOS почему-то модифицирован?! или я совсем тормоз или...

в общем, темное это дело. поискал по гуглу по в группах - этот вопрос задавался там неоднократно и народ пришел к общему мнению, что NT все-таки BIOS не мапит, так что с этой проблемой столкнулся не я один.

У мя тоже только вопросики в kd. Так что...

а если сделать mov в нулевом кольце - у тебя что происходит?
вообще честно говоря до меня не доходит, если страница отображена на память, права есть и она пресент, то какого черта не работает mov? или я упустил что-то важное в защищенном режиме? бит глобальности так же взведен.
в общем "ничего не понимаю" (с)