x86平台上的Windows页表映射机制

首先，在x86架构的处理器上，一个正常页面大小为4KB，非PAE模式下，CR3持有页目录页面的物理地址，PDE和PTE格式相同大小为4字节。此时每个页表页面包含1024个PTE，可以映射1024个页面。而x86的4GB地址空间共包含1M个4KB的页面，映射所有这些页面共需要1024个页表页面，映射这1024个页表页面又需要1个页目录页面。乍看起来我们一共需要1025个页面来管理1M个页面的映射，其实不然。

我们不妨逆向理顺一下思路。首先，我们的地址空间中有1M=1024x1024个页面，而一个页表页面可以映射1024个页面。所以，我们把4GB地址空间的1M个页面按每1024个页面分为1024组。映射这1024组页面正好需要1024个页表页面，所以我们从刚才的1024组页面中拿掉一组用作页表。刚才的页面还剩下1023组，会消耗掉我们这组页表页面中的1023个用来映射。所以我们这组页表页面中还剩下一个，我们用它来映射刚刚的1023个页表页面，从而消耗掉了1023个Entry，那剩下的1个Entry呢？用来映射最后这个页面本身。

这样分配听起来似乎清晰多了，能实现吗？按上面的思路，最后一个页表页面无疑是要用作页目录。x86处理器MMU访问线性地址是要经过两次查找加一个偏移（非PAE模式）来确定物理地址的。以此为基础，通过页目录、页表、再加上偏移访问那1023组页面很好理解，但是如何在线性地址中访问1023个页表页面及页目录页面呢？也就是如何通过页目录页面把1023个页表页面和页目录页面自身映射到线性地址中。其实这就是32位Windows的页表自映射机制。

在32位的Windows中，页表的起始线性地址恒为0xC0000000，整个页表区域占用了连续的4MB线性地址空间。最关键的一个设计，就是页目录的第0x300项Entry指向页目录本身，进而也就决定了页目录页面的线性地址为0xC0300000。这一设计使得MMU在查找0xC0000000~0xC03FFFFF这一线性地址空间内的任一线性地址的物理地址时，会把页目录页面当做页表页面来使用，也就是说会访问页目录页面两次。如下图，是微软2004年在东京大学举办Windows Kernel Internals讲座解释GetPteAddress原理时所给出的一张图示：

其实GetPteAddress功能就是给定一个线性地址，得出用以映射这个线性地址所属页面的PTE的地址。原理很明了，4GB的地址空间中包含1M个页面，而4MB的页表区域包含1MB个PTE，这些PTE正是按顺序一一对应了所有这些页面。所以把整个地址空间看作是页面的数组，可以很轻松计算出某个线性地址所属页面的索引，例如0xE4321000>>12=0xE4321，而PTE数组中对应PTE的线性地址即为0xC0000000+(0xE4321<<2)=0xC0390C84。

由上图可以看出，给定的线性地址的高10位为1100000000=0x300，即MMU转译线性地址的第一步：在页目录页面中查找页表指针时使用的索引为0x300，从而使MMU得到页目录页面本身的物理地址。因此MMU在第二个步骤：在页表页面中查找最终的页面指针时，会使用页目录页面作为页表页面以供查找。而页目录页面的所有1024个Entry存储的是其本身和其他1023个页表页面的物理地址，所以MMU经过两次查找最终得到的是某个页表页面的物理地址。当线性地址的高10位固定为1100000000时，剩余低22位仅能表示4MB的范围，因此其所能表示的线性地址限定在0xC0000000~0xC03FFFFF这一区间内，也正是所有页表页面所占用的线性地址空间范围。因为微软所给出的图示适是用于讲解PTE的，PTE大小为4字节并且其地址也是4字节对齐，所以最后的12位页面内偏移也可以理解为利用前10位用作PTE数组索引，最低2位恒为0。

不难想到当MMU第二步查找时如果仍然使用0x300索引，也就是线性地址高20位为11000000001100000000，那么MMU经过两次查找最终得到的物理地址就是页目录页面的物理地址，如下图：

再加上最低12位的页面内偏移， MMU最终转译得到的地址落在页目录页面内，也就是说线性地址0xC0300000~0xC0300FFF表示的区间范围即为页目录页面在线性地址中的地址区间范围。如果在12位的页面偏移中，继续使高10位为1100000000用作PTE索引，那么得到的就是指向页目录自身的PTE，也是PDE，其线性地址为0xC0300C00。

总结，使用一个页面用作页目录，使它的第0x300个Entry指向其自身，剩余的1023个Entry指向其他的1023个页表页面。从而巧妙的将页表区间映射到0xC0000000~0xC03FFFFF这一线性地址区间。