再次叨扰张老师了:)关于内核调试子系统的专用页表我观察了一下，应该是没有设置在cr3寄存器中的吧，只是用于解释虚拟地址的（相当于由调试子系统模拟物理地址转换的过程吧）。对于.process指令切换上下文的原理不是很清楚，希望张老师给点提示。另外在内核态调试中确实发现缺页异常不会生效。例如在调试MmLoadSystemImage时，能够发现刚刚map后的地址在windbg中还是无效的，除非由内核的代码访问过之后触发了缺页异常才能在windbg中显示出来。很好奇在内核调试系统中是如何禁用了缺页异常的，是由x86硬件支持的吗？关于windows内核调试支持实现的一些细节和机理不知张老师可不可以推荐一些资料，以前关注的不多，还要加强学习呀。:)

好的，谢谢张老师，我再研究一下。:)

内核态的调试会话是不会引发cow的，但是我注意到cr0的wp是1，我的理解是，即使对于内核，它也无法直接去写read-only的页面，包括cow属性的页面（本质上还是read-only属性），一旦进行写操作，就会引发page fault，然后根据页面属性进行不同的处理。令我产生疑惑的是，为何内核态的调试会话可以直接写入所有的页面包括read-only页面，也不会引发page fault？是它修改了wp标志吗？

这个应该也没什么好的方法吧？毕竟COW也是靠写页面违例实现的，ring 0无视可写标志，COW就会失效吧。

谢谢张老师的解答！主要是之前我想到可以用VirtualProtect修改页面属性为PAGE_EXECUTE_READWRITE后，再进行写入会引发这种问题。后来看了一些源码，发现对于VAD里标记为CoW的区域，就算设为可写也只是标记为写时复制的属性，而非直接标记为可写，所以就不存在这些问题了。至于原始的映射页面应该是不回写页面吧。

在内存紧张的时候会回收一些物理页面，对于脏的页面，在进程的工作集中存在于修改并写回和修改不写回两种链表。那么有一个问题是，PE加载器在加载exe或dll时，采用的是哪种页面？或者有什么特殊的处理方法？暂时不考虑对数据区等的写时复制的页面属性，或者假设采用了SHARE区段。因为exe或dll等的后备存储器默认的是相对应的磁盘文件，而不是页面文件。那么：如果采用了写回页面，那么对于PE文件中的修改，包括数据区或导入表等等的变化可能就会在内存紧张或进程结束时被写回磁盘的PE文件中，导致原始PE破坏，显然不太可能。如果采用了不写回页面，那么对于PE文件的修改在进程销毁时不会被写回磁盘，但是在内存紧张的时候（考虑极限情况），PE映射的部分页面被回收导致相关被修改的页面没有保存到磁盘中（既没有写到页面文 ...

好主意，春游香山别有一番风味，我们可以从后山一路走上去，找回夜游庐山的感觉，哈哈

五年的没有机会赶上，期待十年能够有一次聚会。

支持张老师的活动，不知活动打算定在什么时候呢，以及费用等方面？

不好意思，张老师，借您的版面打个广告。此活动旨在长期举办来加深看雪网友间的线下联系，给没有机会当讲师的坛友站上讲台的机会，给没机会听安全大会的坛友免费听讲的机会，让网友更多了解互联网企业是如何做安全的,体会实战经验，讨论近期安全热点事件，加强安全圈朋友的交互交流与信息共享，尽力传播开放交流的精神。我们希望广大网友积极参与，既可以作为讲师来分享观点和成果，也可以作为听众来积极参与，同时也衷心希望业内的各大公司企业也参与到其中来。我们的活动将会一直做下去，活动的报名参与也是免费的，为国内安全力量的发展进步贡献力量。第一期的报名已经开始，邀请到知道创宇作为合作公司，时间是8月24日下午2:30，具体内容有：Apache Struts 2 高危漏洞重现构造及漏洞原理分析 ...