Update 备忘

Author: NewRoleTown

win/备忘

@@ -263,3 +263,10 @@ nt!_KEXECUTE_OPTIONS
    +0x000 ExecuteOptions   : UChar
 和进程的DEP有关
 而ASLR的信息在PE头里
+
+32位windows系统进程的页表在虚拟空间0xc000_0000(属于进程，切换进程时会换内容)
+32位地址时(既无pae)
+表项大小是4字节
+
+页表第一个项的虚拟地址是0xc000_0000，其物理地址存在 0xc000_0000 + (c000_0000/0x1000)
+因此这个地址就是页目录的地址