Win10内存管理分析（采用1904版本内核）

TobyLee

1.私有页

链接

2.共享页

链接

3.补充（CTRL_AREA）

链接

4.补充（FILE_OBJECT）

链接

视频中对windows的理解，全部来自于对reactos源码的解读感觉许多机制一样适用于win10。

有什么不对的欢迎各位大佬指导。
下一步：继续搞对象（OB）管理部分的内容。


火哥内核（5期、6期）上的内容我也可以去翻录（马上要过年了闲着也是闲着）。

大家有什么建议的实验吗？
我可以把做实验的过程录制下来。

msn882

视频声音小的听不到啊

无名

清晰度只有720p?

DiamondCruise

认真学习
如果视频音量稍微大点的话就更好了

BrutusScipio

Windows机制不看 深入Windows？

嘿嘿嘿001

书接上回说到，还是太深奥

TobyLee

msn882 发表于 2026-1-26 18:50
视频声音小的听不到啊

抱歉 第一次录制，我也去听了，开最大声音正好，下次声音大点

axing1995

看不懂啊。。。

pyramidhead

学而时习之，感谢制作优秀视频

炫迈

我补充点实战经验，没PDB的时候找Main入口除了看调用链，还可以搜字符串特征，比如你例子里的Welcome to .NET Test，IDA里直接搜这个字符串，往上翻几层基本就是业务逻辑入口了，比一层层扒Runtime初始化快多了，另外NativeAOT脱壳难点不在壳本身，它压根没壳，难点在类型还原，MethodTable那套东西静态看全是unk，得靠动态调试抓内存，我一般用x64dbg下断Console.WriteLine，第一次触发时栈里就能看到原始字符串对象，顺着rcx/r8往回捋就能摸到关键逻辑，还有个坑是TrimMode=full会把没用到的反射元数据全砍掉，导致很多类型名丢了，这时候得靠MethodTable地址去corelib里对特征，比如System.String的MethodTable在不同版本.NET里偏移基本固定，记几个常用类型的地址能省不少事，最后提醒兄弟们，NativeAOT逆向别死磕静态，动态调试才是王道，毕竟它再怎么Native底层还是托管对象模型，跑起来内存里该有的都有，祝大家逆向顺利