Tweet
Bộ nhớ ảo trong Windows và Address Space
Trong hệ thống máy tính hiện đại, dữ liệu và lệnh mà CPU xử lý tạm thời sẽ được lưu trong RAM. Tuy nhiên, khi RAM bị thiếu, virtual memory (bộ nhớ ảo) sẽ được sử dụng. Đây là cơ chế quản lý bộ nhớ giúp Windows tạm thời chuyển dữ liệu từ RAM xuống đĩa cứng (paging file) để bù đắp cho tình trạng thiếu RAM.
Mỗi tiến trình (process) trong Windows sẽ được cấp phát một vùng virtual address space riêng biệt. Không có tiến trình nào được phép truy cập trực tiếp vào vùng nhớ của tiến trình khác, trừ khi được cấp quyền. Điều này đảm bảo tính cách ly và bảo mật giữa các ứng dụng.
Các process và ứng dụng trong Windows muốn truy cập đến tài nguyên hệ thống (kernel object) như TCP port, socket... thì phải thông qua process handle. Handle chính là "cánh cửa" để process truy cập tài nguyên. Khi một tiến trình có PROCESS_VM_READ hoặc PROCESS_VM_WRITE và kèm theo đặc quyền SeDebugPrivilege, nó có thể:
Đây là kỹ thuật mà malware thường lợi dụng để tiêm mã độc vào process hợp lệ (ví dụ: explorer.exe, svchost.exe) nhằm chiếm quyền hệ thống.
Hệ điều hành Windows sử dụng page table để ánh xạ địa chỉ ảo (virtual address) sang địa chỉ vật lý (physical address). Mỗi lần một thread truy cập địa chỉ, hệ thống sẽ dịch sang vị trí thật trong RAM.
Câu hỏi ôn tập
Câu 1: Malware có thể làm hỏng virtual memory space của process khác thì sẽ thay đổi nội dung của những tài nguyên nào? (Chọn 2)
Câu 2: Kích thước của tổng addressable virtual memory space phụ thuộc vào yếu tố nào?
Kết luận
Virtual Memory là nền tảng quan trọng của Windows giúp:
Tuy nhiên, đây cũng là mục tiêu mà malware thường khai thác thông qua kỹ thuật process injection, cho phép đọc/ghi vào vùng nhớ của process khác. Đây là lý do tại sao việc quản lý quyền truy cập, hạn chế đặc quyền debug, và dùng công cụ EDR/AV là vô cùng quan trọng trong bảo mật Windows.
Trong hệ thống máy tính hiện đại, dữ liệu và lệnh mà CPU xử lý tạm thời sẽ được lưu trong RAM. Tuy nhiên, khi RAM bị thiếu, virtual memory (bộ nhớ ảo) sẽ được sử dụng. Đây là cơ chế quản lý bộ nhớ giúp Windows tạm thời chuyển dữ liệu từ RAM xuống đĩa cứng (paging file) để bù đắp cho tình trạng thiếu RAM.
Mỗi tiến trình (process) trong Windows sẽ được cấp phát một vùng virtual address space riêng biệt. Không có tiến trình nào được phép truy cập trực tiếp vào vùng nhớ của tiến trình khác, trừ khi được cấp quyền. Điều này đảm bảo tính cách ly và bảo mật giữa các ứng dụng.
Các process và ứng dụng trong Windows muốn truy cập đến tài nguyên hệ thống (kernel object) như TCP port, socket... thì phải thông qua process handle. Handle chính là "cánh cửa" để process truy cập tài nguyên. Khi một tiến trình có PROCESS_VM_READ hoặc PROCESS_VM_WRITE và kèm theo đặc quyền SeDebugPrivilege, nó có thể:
- Đọc nội dung bộ nhớ của tiến trình khác bằng hàm ReadProcessMemory.
- Ghi (chèn mã độc) vào bộ nhớ tiến trình khác bằng hàm WriteProcessMemory.
Đây là kỹ thuật mà malware thường lợi dụng để tiêm mã độc vào process hợp lệ (ví dụ: explorer.exe, svchost.exe) nhằm chiếm quyền hệ thống.
Hệ điều hành Windows sử dụng page table để ánh xạ địa chỉ ảo (virtual address) sang địa chỉ vật lý (physical address). Mỗi lần một thread truy cập địa chỉ, hệ thống sẽ dịch sang vị trí thật trong RAM.
- Trên Windows 32-bit, mỗi process có thể truy cập tối đa 4 GB virtual address space.
- Trên Windows 64-bit, con số này có thể lên đến 8 TB.
Câu hỏi ôn tập
Câu 1: Malware có thể làm hỏng virtual memory space của process khác thì sẽ thay đổi nội dung của những tài nguyên nào? (Chọn 2)
- ✅ Nội dung của process khác được lưu trong RAM
- ✅ Nội dung của process khác được lưu trong hard disk (khi paging xảy ra, dữ liệu RAM có thể bị swap xuống disk)
- ❌ BIOS (firmware, không nằm trong virtual memory)
- ❌ NVRAM (không liên quan đến process memory space)
Câu 2: Kích thước của tổng addressable virtual memory space phụ thuộc vào yếu tố nào?
- ✅ Windows là bản 32-bit hay 64-bit
- ❌ Phiên bản server hay client
- ❌ Driver được load
- ❌ Dung lượng đĩa cứng
- ❌ Dung lượng RAM (RAM ảnh hưởng đến hiệu năng, nhưng không quyết định không gian địa chỉ ảo)
Kết luận
Virtual Memory là nền tảng quan trọng của Windows giúp:
- Tăng hiệu quả sử dụng bộ nhớ bằng cách mở rộng RAM logic sang đĩa cứng.
- Cách ly tiến trình để tránh can thiệp trái phép.
- Ngăn chặn lỗi hệ thống do xung đột bộ nhớ trực tiếp.
Tuy nhiên, đây cũng là mục tiêu mà malware thường khai thác thông qua kỹ thuật process injection, cho phép đọc/ghi vào vùng nhớ của process khác. Đây là lý do tại sao việc quản lý quyền truy cập, hạn chế đặc quyền debug, và dùng công cụ EDR/AV là vô cùng quan trọng trong bảo mật Windows.
Attached Files