Combine memory lists windows 10 что это
Memory Compression в Windows 10 — что это такое?
Приветствую всех, разбираемся с такой штукой как Memory Compression в Windows 10.. что это такое? Да, по названию могу предположить, что связано с оптимизацией памяти.. но нужно разобраться точно.
Значит покопался в интернете, вот что выяснил — переводится как сжатая память, это название вы можете увидеть в другом названии — Система и сжатая память. Может использовать много оперативной памяти.
Еще узнал, что процесс Система и сжатые файлы (System and compressed memory) — один из компонентов и.. вроде бы это какое новшество. Этот процесс уменьшает обращение к файлу подкачки, он помещает данные вместо этого в память в сжатом виде. Да, это как бы должно ускорить работу. Но вот… сжатие памяти и ее обратный процесс — не может обходиться без ресурсов процессора, поэтому на практике спокойно могут быть тормоза.
Жесткий диск — память, где хранятся файлы. Она медленная. SSD — уже намного быстрее, но все равно, по сравнению с оперативной памятью — очень медленный. Именно оперативная память — очень быстрая, поэтому хранение данных в ней всегда улучшает быстродействие компа.
Если вы используете проги, которые могут требовать много оперативки.. ну или в Хроме открыли кучу вкладок.. то процесс Система и сжатые файлы может использовать много оперативки. Это как бы нормально, но вот глюки при этом, разумеется должны отсутствовать.
Вот собственно сам процесс:
И как видите, даже здесь он много кушает оперы.. больше чем полгига..
Как отключить Система и сжатые файлы?
Если попробовать этот процесс завершить — могут быть проблемы.. об этом Windows вас предупредит таким сообщением:
Думаю вы понимаете, что это связано с тем, что вы получается завершите работу процесс.. в памяти которого содержатся данные, которые проги используют в данный момент.
Но можно ли отключить вообще? В интернете есть способы, например отключение службы SuperFetch. Теоритически — похоже что эта служба и отключает работу Система и сжатые файлы.. но насколько я знаю, SuperFetch отвечает за кэширование файла. То есть немного другое. Поэтому.. я на всякий случай напишу как отключать SuperFetch, после отключения ничего страшного не будет, но потребление памяти и правда может уменьшиться. В общем отключить можно так:
Второй способ отключения, скорее всего более корректный
Но способ, более логичный — при помощи командой строки PowerShell, запущенной от администратора, для этого можно зажать Win + X и потом в менюшке выбрать этот пункт:
Либо просто откройте меню Пуск, найдите там Windows PowerShell, откройте папку, нажмите правой кнопкой по PowerShell и выберите пункт запуска от администратора:
Далее нужно указать команду для отключения:
Команду нужно вставить и нажать энтер. А после — выполнить перезагрузку. Потом, после перезагрузки советую проверить.. нужно снова запустить PowerShell и вставить команду:
Она покажет — включено сжатие памяти или нет. Нужно посмотреть в графу MemoryCompression, если там указано True значит включено:
Хм, если отключено.. то наверно будет написано обратное True, то есть False.
Ребята, на этом все. Надеюсь вам эта информация пригодилась. Если что не так, то сори. Удачи и добра, до новых встреч господа!
Добавить комментарий Отменить ответ
Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.
Оптимальные настройки Mem Reduct
Mem Reduct — утилита, которая помогает контролировать объем использованной оперативной памяти. Отрегулировав параметры софта, пользователю не придется чистить ОЗУ вручную.
Оптимальные настройки Mem Reduct
Конфигурация ПО делится на работу со второстепенными и основными параметрами.
Второстепенные настройки
Сюда относится работа с отображением утилиты в запущенном состоянии. После запуска проследуйте во вкладку «Настройки/Settings»:
Быстрая очистка памяти доступна на стартовой странице Mem Reduct.
Основные настройки
Чтобы оптимизировать работу программы под себя, откройте вкладку «Файл», выберите «Настройки» или нажмите F2. Появится дополнительное окно, разбитое на 4 раздела. Рассмотрим каждый из них отдельно.
«Основные»
Дублируют второстепенные настройки, о которых было выше.
«Очистка памяти»
В подразделе «Область очистки» включите «Standby list» и «Combine memory list» —максимально очищает оперативную память.
Если выбранные функции неактивны, запустите программу от имени администратора или проведите предварительную очистку памяти на главной странице ПО.
В «Управлении памятью» устанавливают:
Эти параметры срабатывают автоматически и не требуют вмешательства пользователя.
В «Горячие клавиши» устанавливают комбинацию кнопок быстрой очистки.
«Оформление»
Набор этих функций направлен на кастомизацию интерфейса Mem Reduct и не влияет на производительность.
Здесь выбирают цветовую индикацию уровня нагрузки на ОЗУ, настраивают управление мышью и отображение всплывающих подсказок.
При неудачном сочетании характеристик можно произвести «Сброс», тапнув по соответствующей клавише в развернутых настройках.
Заключение
Оптимальные настройки Mem Reduct освобождают оперативную память от нагрузки со стороны фоновых процессов и неиспользуемых программ. ПО подойдет для ускорения ПК, ноутбуков и требовательных игр.
Combine memory lists windows 10 что это
Memory Compression в Windows 10 — что это такое?
Приветствую всех, разбираемся с такой штукой как Memory Compression в Windows 10.. что это такое? Да, по названию могу предположить, что связано с оптимизацией памяти.. но нужно разобраться точно.
Значит покопался в интернете, вот что выяснил — переводится как сжатая память, это название вы можете увидеть в другом названии — Система и сжатая память. Может использовать много оперативной памяти.
Еще узнал, что процесс Система и сжатые файлы (System and compressed memory) — один из компонентов и.. вроде бы это какое новшество. Этот процесс уменьшает обращение к файлу подкачки, он помещает данные вместо этого в память в сжатом виде. Да, это как бы должно ускорить работу. Но вот… сжатие памяти и ее обратный процесс — не может обходиться без ресурсов процессора, поэтому на практике спокойно могут быть тормоза.
Жесткий диск — память, где хранятся файлы. Она медленная. SSD — уже намного быстрее, но все равно, по сравнению с оперативной памятью — очень медленный. Именно оперативная память — очень быстрая, поэтому хранение данных в ней всегда улучшает быстродействие компа.
Если вы используете проги, которые могут требовать много оперативки.. ну или в Хроме открыли кучу вкладок.. то процесс Система и сжатые файлы может использовать много оперативки. Это как бы нормально, но вот глюки при этом, разумеется должны отсутствовать.
Вот собственно сам процесс:
И как видите, даже здесь он много кушает оперы.. больше чем полгига..
Как отключить Система и сжатые файлы?
Если попробовать этот процесс завершить — могут быть проблемы.. об этом Windows вас предупредит таким сообщением:
Думаю вы понимаете, что это связано с тем, что вы получается завершите работу процесс.. в памяти которого содержатся данные, которые проги используют в данный момент.
Но можно ли отключить вообще? В интернете есть способы, например отключение службы SuperFetch. Теоритически — похоже что эта служба и отключает работу Система и сжатые файлы.. но насколько я знаю, SuperFetch отвечает за кэширование файла. То есть немного другое. Поэтому.. я на всякий случай напишу как отключать SuperFetch, после отключения ничего страшного не будет, но потребление памяти и правда может уменьшиться. В общем отключить можно так:
Второй способ отключения, скорее всего более корректный
Но способ, более логичный — при помощи командой строки PowerShell, запущенной от администратора, для этого можно зажать Win + X и потом в менюшке выбрать этот пункт:
Либо просто откройте меню Пуск, найдите там Windows PowerShell, откройте папку, нажмите правой кнопкой по PowerShell и выберите пункт запуска от администратора:
Далее нужно указать команду для отключения:
Команду нужно вставить и нажать энтер. А после — выполнить перезагрузку. Потом, после перезагрузки советую проверить.. нужно снова запустить PowerShell и вставить команду:
Она покажет — включено сжатие памяти или нет. Нужно посмотреть в графу MemoryCompression, если там указано True значит включено:
Хм, если отключено.. то наверно будет написано обратное True, то есть False.
Ребята, на этом все. Надеюсь вам эта информация пригодилась. Если что не так, то сори. Удачи и добра, до новых встреч господа!
Добавить комментарий Отменить ответ
Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.
Система и сжатая память Windows 10 грузит компьютер
Многие пользователи Windows 10 замечают, что процесс Система и сжатая память грузит процессор или же использует слишком много оперативной памяти. Причины такого поведения могут быть разные (а потребление RAM так и вовсе может быть нормальной работой процесса), иногда – баг, чаще — проблемы с драйверами или оборудованием (в случаях, когда загружен процессор), но возможны и другие варианты.
Процесс «Система и сжатая память» (System and compressed memory) в Windows 10 — один из компонентов новой системы управления памятью ОС и выполняет следующую функцию: уменьшает количество обращений к файлу подкачки на диске за счет помещения данных в сжатом виде в оперативную память вместо записи на диск (в теории, это должно ускорить работу). Однако, по отзывам, функция не всегда работает как ожидается.
Примечание: если у вас на компьютере большой объем оперативной памяти и при этом вы используете требовательные к ресурсам программы (или открываете по 100 вкладок в браузере), при этом «Система и сжатая память» использует много RAM, но не вызывает проблем с производительностью и не нагружает процессор на десятки процентов, то как правило — это нормальная работа системы и вам не о чем беспокоиться.
Что делать, если система и сжатая память грузит процессор или память
Далее — несколько наиболее вероятных причин того, что указанный процесс потребляет слишком много ресурсов компьютера и пошаговое описание того, что делать в каждой из ситуаций.
Драйверы оборудования
Прежде всего, если проблема с загрузкой процессора процессом «Системная и сжатая память» происходит после выхода из сна (а при перезагрузке все работает нормально), либо после недавней переустановки (а также сброса или обновления) Windows 10, вам стоит обратить внимание на драйверы вашей материнской платы или ноутбука.
При этом следует учитывать следующие моменты
Отдельно обратите внимание на драйверы видеокарты. Проблема с процессом может быть и в них, причем решаться по-разному:
Если же манипуляции с драйверами не помогли, пробуем другие способы.
Параметры файла подкачки
В некоторых случаях проблема (в данном случае — баг) с нагрузкой на процессор или память в описываемой ситуации может решаться более простым способом:
Подробно о том, как именно отключить или изменить параметры файла подкачки, вы можете прочитать здесь: Файл подкачки Windows 10.
Антивирусы
Еще одна возможная причина нагрузки процессом сжатой памяти — неправильная работа антивируса при проверке памяти. В частности, такое может происходить, если вы устанавливаете антивирус без поддержки Windows 10 (то есть какую-либо устаревшую версию, см. Лучший антивирус для Windows 10).
Возможно также, что у вас установлено несколько программ для защиты компьютера, которые конфликтуют между собой (в большинстве случаев, более 2-х антивирусов, не считая встроенного защитника Windows 10, вызывают те или иные проблемы, влияющие на производительность системы).
Отдельные отзывы по проблеме говорят о том, что в некоторых случаях модули фаервола в антивирусе могут быть причиной нагрузки, отображаемой для процесса «Система и сжатая память». Рекомендую проверить, временно отключив защиту сети (фаервол) в вашем антивирусе.
Google Chrome
Иногда манипуляции с браузером Google Chrome позволяют исправить проблему. Если у вас установлен этот браузер и, особенно, работает в фоновом режиме (или же нагрузка появляется после непродолжительного использования браузера), попробуйте следующие вещи:
После этого попробуйте перезагрузить компьютер (именно перезагрузить) и обратить внимание, проявляет ли себя процесс «Система и сжатая память» тем же образом, что и раньше при работе.
Дополнительные варианты решения проблемы
Если ни один из описанных способов не помог решить проблемы с нагрузкой, вызываемой процессом «Система и сжатая память», вот еще несколько непроверенных, но по некоторым отзывам иногда срабатывающих способов исправить проблему:
Надеюсь, одно из решений позволит вам справиться с проблемой. Не забывайте также про проверку компьютера на вирусы и вредоносные программы, они также могут оказаться причиной ненормальной работы Windows 10.
А вдруг и это будет интересно:
Почему бы не подписаться?
Рассылка новых, иногда интересных и полезных, материалов сайта remontka.pro. Никакой рекламы и бесплатная компьютерная помощь подписчикам от автора. Другие способы подписки (ВК, Одноклассники, Телеграм, Facebook, Twitter, Youtube, Яндекс.Дзен)
Дмитрий! Даже с поллитрой не нашел на своем буке эту «сжатую память».
Где ее искать-в диспетчере задач нет.
Эдуард, не беспокойтесь. Нет, значит нет: не всегда этот процесс есть в диспетчере.
Здравствуйте Дмитрий. После обновления до последнего билда тоже не вижу этот процесс. Может куда спрятали его. У меня вопрос в другом, как можно удалить информацию о подключенных когда то wi-fi сетях. В настройках удаляется без проблем. Но я так понял что данные все равно хранятся, в недрах системы
Здравствуйте. Командная строка,
(в первой команде здесь смотрим имена профилей.
Здравствуйте, всё сделал как вы написали, только драйвер Intel Rapid Storage Technology (Intel RST) не нашёл на сайте производителя, всё остальное сделал как написано в статье! Всё ровно System на 23% а Системные прерывания на 9% загружены, в сумме 31%. Винду переустановил только вчера! Думал исправлю сею проблему! На Вин 7 проц грузился на 17% вроде. щас уже не помню на Вин 10 такая фигня, что-то еще можно сделать с этим?
Здравствуйте. Если вы только что переставили систему (или вчера, как вы пишете), то пока ничего не делайте. Просто «погуляйте», не выключая компьютер. Просто после установки он индексирует-настраивает-устанавливает некоторое время и потом эта нагрузка пропадает.
Нет, всё на том же уровне! Посмотрел через Process Explorer грузит процесс acpi.sys + 0x23270. Ноутбук Sony SVE1512W1R. На сайте производителя нет драйверов ACPI вроде. Может у Сони есть автоматическая программа для обновления дров, не знаете?
На вашу модель это будут официальные драйверы отсюда sony.ru/support/ru/content/cnt-dwnl/SVE1512W1R/list :
Chipset Driver (Intel)
ME Driver (Intel)
Sony Firmware Extension Parser Driver
Sony Shared Library
Battery Checker
При этом обратите внимание на Firmware Extension и Shared Library. Ставить их именно в таком порядке. Бывает, что они не ставятся, пишут, мол, система не совместима. В этом случае, берем софт наподобие Universal Extractor и распаковываем exe-шники с драйверами. потом Firmware Extension ставим для неизвестного устройства в диспетчере устройств из папки, в которую распаковали. А распакованный Shared Library, если я правильно помню, содержит еще установщики, которые уже не проверяют версию системы.
Да, именно там и беру дровишки! Всё поставил как Вы сказали, без изменений! Ранее изменил схему электропитания, сразу 4% освободилось, а после установки Sony Firmware Extension Parser Driver и Sony Shared Library стал грузиться на 1-2% побольше! В итоге сейчас 28-30%. Если удалить все дрова которые мне поставила Вин 10 (а она практически все сразу мне поставила) и переустановить всё с нуля, не поможет делу? Так как думаю всё-таки из-за дров беда эта!
Не знаю. Знаю лишь, что с Vaio приходится «бодаться» (сам являюсь владельцем). Когда я на него ставил 10-ку, я заранее подготовил все драйвера, потом начисто установил, потом установил вручную драйвера. Вроде проблем с тех пор с ним не было. Но не факт что и у вас так будет.
Хорошо, попробую! спасибо огромное за помощь, за сайт, за статьи! Всего доброго Вам.
Сжатие оперативной памяти ОЗУ в Windows 10
Читайте, что означает сжатие памяти в Windows и как просмотреть информацию о сжатой памяти на вашем ПК. А также, что делать если компьютеру не хватает оперативной памяти и как определить сколько памяти занимает определенный процесс. Windows 10 использует сжатие для хранения большего количества данных в оперативной памяти вашей системы. В диспетчере задач Windows 10, на кладке “Производительность” выводится информация об размере и текущем использовании памяти. Среди прочих параметров, указано что часть памяти сжата. Давайте разберемся, что это значит?
Что означает сжатие памяти?
Сжатие памяти – это новая функция Windows 10, которая не доступна в более ранних Windows 8 и 7. В тоже время ОС Linux и MacOS используют эту фичу.
Обычно если на вашем компьютере установлено 8 ГБ ОЗУ, а запущенные приложения и сама система используют 9 Гбайт данных для хранения в памяти, по крайней мере 1 ГБ пришлось сохранить в файле подкачки на жестком диске вашего компьютера. Доступ к данным в файле подкачки замедляет скорость работы отдельных приложений и системы в целом.
Однако с использованием алгоритма сжатия (такого же, как в Zip-файле) размер данных может быть уменьшен и целиком помещен в оперативной памяти. К примеру система может оставить 6 ГБ несжатых данных, а 3 ГБ сжать, что бы они занимали фактически 1,5 ГБ. Таким образом у вас будет занято 7,5 из 8 ГБ ОЗУ.
Есть минусы в таком подходе? И да, и нет. Сжатие данных и обратная процедура требуют определенных ресурсов процессора. Поэтому не все данные хранятся сжатыми, система сжимает только ту информацию, которую считает необходимой. Сама операция сжатия и разжатия происходит гораздо быстрее, чем запись и чтение данных с диска. Поэтому Windows ищет компромисс между двумя этими подходами.
Почему Windows не сжимает все данные?
Как мы уже рассмотрели, скорость сжатия и расжатия данных гораздо выше, чем запись и чтение данных с диска. Работа с такими данными происходит в полностью автоматическом режиме и не требует вмешательства пользователя, так почему система не сжимает все данные?
Работа с несжатыми данными происходит гораздо быстрее. Если операционной системе необходимо провести поиск по большому объему данных сохраненному в оперативной памяти, то процедура чтения, декодирования и обратного кодирования данных требует существенного времени работы процессора. Кроме этого система резервирует часть оперативной памяти для расзжатия необходимого буфера памяти на случай такой необходимости.
Исходя из этого, Windows старается хранить данные к которым часто происходит обращение в расжатом виде, данные к которым система обращается реже сжимаются или вовсе сохраняются в файл подкачки.
Что делать если компьютеру не хватает оперативной памяти?
Так что же делать, если вы видите, что система использует большой объем сжатых данных или работает с большим файлом подкачки? Ответ очевиден, добавьте больше оперативной памяти в свой ПК, это будет наилучшее решение. Также очевидно, что лучше использовать настолько быструю оперативную память, насколько это позволяет ваша материнская плата.
Менее очевидным решением будет использование SSD диска для файла подкачки или системы в целом. Ранее мы рассматривали как перенести файл подкачки на другой диск в нашем видео:
Так как скорость чтения и записи на SSD диск в разы выше, традиционного жесткого диска, то вся система будет работать быстрее.
Как просмотреть информацию о сжатой памяти на вашем ПК
Чтобы просмотреть информацию о том, сколько памяти сжато в системе, необходимо использовать диспетчер задач. Для его запуска, щелкните правой кнопкой мыши на панели задач и выберите «Диспетчер задач», или нажмите Ctrl + Shift + Esc (для Windows 10, 8) или Ctrl + Alt + Delete (для любой Windows) и выберите «Диспетчер задач».
По умолчанию Диспетчер задач запускается в сокращенном виде, вам нужно получить доступ к полной версии. Для этого нажмите кнопку Подробне в нижнем левом углу окна.
Перейдите на закладку производительность и выберите Память в списке справа. Вы увидите, сколько памяти сжато в разделе «Использовать (сжато)». Например, на скриншоте ниже диспетчер задач показывает, что в настоящее время наша система использует 4,2 ГБ, 21,6 МБ – это сжатая память.
Этот параметр постоянно меняется в зависимости от количества запущенных приложений и используемой ими памяти. Количество сжатой памяти может изменяться и от работы системных задач в фоновом режиме, вы можете наблюдать за этим процессом в режиме реального времени.
Так же из скриншота видно, что наша система использует 8ГБ оперативной памяти DDR3. 1 ГБ зарезервирован аппаратно – эту память использует встроенная графическая система. Форм фактор памяти DIMM, используется 2 планки и ещё 2 гнезда в системе свободно. В параметре кэшировано 1,9 ГБ отображается текущий размер файла подкачки. Если вы наведете мышку на диаграмму в разделе Структура памяти, система выдаст всплывающую подсказку с дополнительной информацией.
Как определить сколько памяти занимает определенный процесс
Для получения подробной информации по памяти, которую занимает каждый процесс, перейдите на вкладку Процессы, затем найдите нужный и выделите его, в колонке память будет указано фактически занимаемая память.
Некоторые приложения имеют несколько одновременно работающих процессов, как например Google Chrome. В этом случае необходимо посчитать сумму потребляемой памяти всех запущенных процессов.
Автор: Vladimir Mareev, Технический писатель
Процесс «Система и сжатая память» в Windows 10
Функция сжатия оперативной памяти в Windows 10 предназначена для ускорения работы (отзывчивости) системы за счет хранения части страниц в оперативной памяти в сжатом виде. Тем самым достигается уменьшение количества обращений на чтение и запись страниц памяти из медленного (по сравнению с RAM) файла подкачки на жестком диске. Нужные данные извлекаются из более быстрой оперативной памяти быстрее, даже с учетом того, что на их сжатие/декомпрессию тратятся дополнительные ресурсы процессора.
Особенности технологии «Сжатой памяти» в Windows 10
Изначально поток, отвечающий за работу подсистемы сжатой памяти, находилась внутри процесса System, что не очень удобно с точки зрения диагностики. В Windows 10 1511 этот функционал был выделен в отдельный процесс — Система и сжатая память (System and compressed memory).
В Windows 10 Anniversary edition (1607) появился отдельный процесс Сжатая память (Memory Compression), скрытый от диспетчера задач. Получить информацию об этом процессе можно с помощью PowerShell командлета Get-Process:
Также информацию об использовании сжатой памяти системой можно получить с помощью диспетчера задач. Перейдите на вкладку Производительность (Performance), выберите раздел Память (Memory). Текущее значение использования сжатой памяти отображается в значении параметра Использование (сжатая). В моем примере используется 3 Гб памяти, из которой в сжатом виде хранится 230 Мб. Чтобы понять, какой объем данных получилось упаковать в сжатый блок, нужно навести мышкой на график Структура памяти:
Используется сжатой памяти (230 Мб). В сжатой памяти хранится примерно 1012 Мб данных, освобождая для системы 782 Мб памяти.
Как вы видите, уровень компрессии достигает почти 400%, так что экономия довольно большая.
В большинстве случаев, если компьютер работает нормально и на нем установлен достаточный объём оперативной памяти, процесс «Сжатой памяти» работает отлично и не требует никакого вмешательства.
Процесс «Система и сжатая память» сильно грузит компьютер
Но иногда случается, когда процесс «Система и сжатая память» начинает довольно сильно грузить процессор или жесткий диск компьютера (вплоть до 100%, это видно в диспетчере задач), или же занимаеть в памяти слишком много места. Компьютер, при этом, естественно, начинает сильно тормозить и подвисать.
Что делать в этом случае?
Я приведу 2 совета, которые должны помочь исправить проблему с высокой загрузкой системы процессом «Сжатая память».
Если указанные манипуляции не помогли, можно попробовать отключить сжатую память.
Как отключить сжатую память в Windows 10
Если вы хотите проверить стабильность работы Windows 10 без использования функции «сжатой памяти», можно временно отключать эту функцию. Для этого, откройте консоль PowerShell с правами администратора. Проверим, включена ли сейчас опция «Сжатой памяти»:
Строка MemoryCompression : True указывает на то, что сжатая память включена.
Отключим сжатую память:
И перезагрузим компьютер
После загрузки проверьте, как ведет себя система. Если производительность улучшилась, можно оставить ОС в режиме с отключенным режимом сжатой памяти.
Чтобы включить MemoryCompression, выполните команду:
Заключение
Технология «Сжатой памяти» в Windows 10, как правило работает довольно эффективно и не требует никаких вмешательств. В том случае, если она вызывает проблемы на вашем компьютере, скорее всего у вас имеются некоторые проблемы с настройками системы, оборудованием или драйверами. В случае необходимости, функцию сжатия памяти можно совсем отключить.
В некоторых случаях пользователям для исправления проблемы со сжатой памятью рекомендуют:
В некоторых случаях эти советы помогают избавится от чрезмерной нагрузки на компьютер со стороны процесса «Сжатая память», но при этом отключаются базовые подсистемы оптимизации производительности Windows, что может негативно сказаться на других аспектах производительности системы.
Чтение памяти чужого процесса через комбинирование памяти в Windows 10
Сразу скажу, что всё не так страшно, как звучит, и вы не сможете взять и прочитать память абсолютно любого взятого процесса в системе. По крайней мере, без некоторых предусловий. Основная уязвимость уже практически полностью прикрыта. Поэтому пост скорее предлагается в качестве исторической справки и для общего развития. Плюс, исходя из информации, которой я располагаю, никто пока не описывал такой способ эксплуатации, который предложу я.
Начну с того, что в Microsoft были уведомлены об этой проблеме ещё года полтора назад. В ответ мне сообщили, что уязвимость в большей степени уже закрыта, и что я могу опубликовать свои исследования.
Итак, приступим. В Windows 8.1 и в Windows 10 в какой-то момент времени появилась такая фича, как комбинирование памяти (memory combining или page combining, хорошо описана в книге Windows Internals, 7 издание, 1 часть). Суть её достаточно проста: операционная система раз в 15 минут ищет в физической памяти страницы с одинаковым содержимым и объединяет их в одну с целью экономии оперативной памяти. Те процессы, которые владели одинаковыми страницами, получают ссылки на новую общую страницу с атрибутом «только для чтения» и «копирования при записи» (read-only и copy-on-write). Если какой-то из процессов изменяет свою страницу, система при возникновении соответствующего copy-on-write исключения её копирует и снова размещает в физической памяти, а процесс снова получает индивидуальную копию этой страницы.
На базе этой функциональности, которая некоторое время была включена по умолчанию, были разработаны совершенно потрясающие способы атаки на систему. Советую прочитать соответствующий материал «Dedup Est Machina». В бумаге описан способ получения контроля над Microsoft Edge, а также чтения приватного содержимое памяти nginx. Обе атаки удалённые! Хоть уже и неактуальный, материал очень интересный и достаточно просто читается, несмотря на академический стиль, рекомендую.
К счастью, Microsoft отключила комбинирование памяти, и проблема была решена. Осталось включенным комбинирование страниц, содержащих только нулевые байты, которое может выполняться в некоторых случаях, а это в целом безопасно. Только вот сам функционал из ядра не удалили и, более того, администратор может легко его включить. Для этого ранее можно было использовать недокументированную функцию NtSetSystemInformation (код есть в GitHub Windows Internals), но используемый класс SystemCombinePhysicalMemoryInformation был отключён или удалён из новых версий Windows 10 (или его индекс просто изменился).
-PageCombining
Indicates that the cmdlet enables page combining.
If you do not specify this parameter, page combining remains in its current state, either enabled or disabled.
А вот ещё одна страница документации с сайта Microsoft, где memory combining упоминается в позитивном ключе:
Enabling page combining may reduce memory usage on servers which have a lot of private, pageable pages with identical contents. For example, servers running multiple instances of the same memory-intensive app, or a single app that works with highly repetitive data, might be good candidates to try page combining. The downside of enabling page combining is increased CPU usage.
Here are some examples of server roles where page combining is unlikely to give much benefit:
Page combining is disabled by default but can be enabled by using the Enable-MMAgent Windows PowerShell cmdlet. Page combining was added in Windows Server 2012.
Вы можете включить Page Combining также напрямую через WMI, выполнив следующую команду (тоже с правами администратора):