Win7 x64 Vad遍历模块

最新推荐文章于 2022-12-04 15:16:06 发布
VIP文章 最新推荐文章于 2022-12-04 15:16:06 发布
阅读量5.6k 收藏 8
点赞数 1
分类专栏: 驱动学习 逆向 文章标签: x64Vad ZwQueryVirtualMemory 遍历模块
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuhuibeishadiao/article/details/53489001
版权

先看下NtQueryVirtualMenmory代码

刚开始只是判断下buff是否符合要求


然后去GS寄存器获取东西,但发现偏移过去是context,这就无从而知了.

然后去得到EPROCESS 这里判断是不是系统进程和buff是否符合要求


如果是查询MemoryBasicInformation信息就填充一些信息,本篇文章主要是看  MemorySectionName功能(2)

如果是查询MemoryWorkingSetList和1号功能就调用MiGetWorkingSetInfo或者MiGetWorkingSetInfoList


如果都不是1 4 那就是2好功能MemorySectionName

先判断是不是系统进程 如果不是就KeStackAttachProcess上去

然后获取锁锁住进程

然后判断如果进程flags是否包含0x20 (VmDeleted ),是就取消附加 解锁 返回0xC000010A


如果进程flags(VmDeleted  )是1就去遍历平衡二叉树

VadRoot +5 是u成员,不知道是东西,应该跟初始化状态有关,因为如果是新创建的进程,这个u+5是0,然后过一会就会有值.

期间判断偏移是否超过正在枚举的模块的大小


得到节点后就去获取FILE_OBJECT 上面标签写错了 

可以看到是路径是MMVAD->Subsection->ControlArea->FilePointer.Value 去除后3位

然后调用下面2个其中一个函数去锁住这个对象


如果获取到FileObject 且不是3号功能 

就调用ObpQueryNameString查询文件名



由此 看了之后Windbg看来下

随便选择一个进程

1: kd> dt _eprocess 0xfffffa801b104b30
nt!_EPROCESS
   +0x000 Pcb              : _KPROCESS
   +0x160 ProcessLock      : _EX_PUSH_L
最低0.47元/天 解锁文章
zhuhuibeishadiao
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MiniFilter文件系统学习
zhuhuibeishadiao
04-23 1万+
Minfilter与legacy filter区别 比sfilter加载顺序更易控制. altitude被绑定到合适的位置。  Minfilter在注册表服务项中有一项Altitude值 此值越高位置越靠前 (待考证 每一个minifilter驱动必须有一个叫做altitude的唯一标识符.一个minifilter驱动的altitude定义了它加载时在I/O栈中相对其他minifi
Minifilter过滤,功能实现对驱动目录的监控,包括创建,重命名,删除并实现hips
zhuhuibeishadiao
05-02 1万+
注意下:我的这套过滤只能用在nt6系统上 原因是使用一个nt6上才有的函数 见函数 PsGetProcessFullName 其实没必要自己来写获取全路径 因为minifilter已经给我们提供了获取全路径的函数 FltGetFileNameInformation 我就不改了,哈哈 说说遇到的问题吧 在监控创建的时候,我在卸载post中的,我拒绝后,在弹窗,2-3
Windows x64隐藏可执行内存
鬼手的博客
12-04 5982
Windows x64隐藏可执行内存
MyHider.zip_peb_peb模块隐藏_vad_模块隐藏_进程隐藏
07-14
一个用来隐藏进程、通过修改PEB隐藏进程模块、通过修改VAD树隐藏进程模块的示例驱动,注释良好,适合初学者。
rVAD2.0.zip_drinkbuu_matlab_rVAD_receiveky7_vad
07-14
unsupervised segment-based method for robust voice activity detection (rVAD)
《深入解析windows操作系统第6版下册》第10章:内存管理
weixin_34232744的博客
09-21 582
本文为原创翻译,采用中英对照,译注是自行添加的说明,内容会持续更新,翻译速度大约是一天1~2页原文,本文仅翻译下册第10章,上册的所有章节已经有中文版实体书和PDF版,可以搜索相关信息;个人所学有限,译文的错误之处还请提出指正,不胜感激。第一部分译文预计翻译的内容如下:CHAPTER 10Memory ManagementIn this chapter, you’ll lea...
APIHOOK之在NT系列操作系统里让自己“消失”中2
sanshao27的专栏
05-18 1087
在NT系列操作系统里让自己“消失”中2007-03-31 09:04 =====[ 7.2 全局挂钩 ]=======================================     枚举进程通过前面提到的API函数NtQuerySystemInformation来完成。因为系统中还有一些内部na
FILE_OBJECT Structure
myworldbig的专栏
07-14 2620
The FILE_OBJECT structure is used by the system to represent a file object. To user-mode protected subsystems, a file object represents an o
FILE_OBJECT
weixin_30640769的博客
09-12 497
https://msdn.microsoft.com/en-us/library/windows/hardware/ff545834(v=vs.85).aspx TheFILE_OBJECTstructure is used by the system to represent a file object. To user-mode protected subsystems, a fi...
【Windows内核编程】Win10/Win11通过PspCidTable取得EProcess
懵逼树上懵逼果
08-04 833
在内核RING0层运用PspCidTable枚举可能被隐藏、断链的进程,得到EPROCESS对象
Win2008 R2 EPROCESS结构
trents的专栏
10-20 1171
lkd> dt _eprocess nt!_EPROCESS    +0x000 Pcb              : _KPROCESS    +0x160 ProcessLock      : _EX_PUSH_LOCK    +0x168 CreateTime       : _LARGE_INTEGER    +0x170 ExitTime         : _LARGE_IN
记录一次在Win7x64遍历EPROCESS触发蓝屏后的Debug
Rog's Blog
09-29 216
定义 PEPROCESS pEprocess; ULONG ulProcessID; ulProcessID = (ULONG)pEprocess + 0x180; 用ULONG类型来截取pEprocess后运算会出现高32位清零,低32位存在数值,内存地址错误。 mov rax,dword ptr ds:[rax] 这条指令读取内存地址后触发0xc0000005内存越界访问异常 遂改为 PEPROCESS pEprocess; ULONGLONG ulProcessID; ulProcessID =
vad_vad_
09-29
VAD 的代码,用于语音的活跃检测,基础代码需要的可以下来看看
VAD算法的源程序_vad_
09-30
VAD算法的源程序,可用于静音检测方面算法的参考
Google WebRTC语音活动检测(VAD模块:WebRTC VAD模块的MATLAB可执行(mex)包装器-matlab开发
05-29
用于 Google WebRTC VAD 模块的 MATLAB 可执行文件 (mex) 包装器 WebRTC 是一个为许多不同应用程序提供实时通信功能的项目。 该项目由 Google WebRTC 团队积极维护。 从webrtc.org: “WebRTC 是一个免费、开放的...
关于驱动隐藏那点事(不触发PG 支持win10)
热门推荐
zhuhuibeishadiao
07-21 1万+
已开源:https://github.com/ZhuHuiBeiShaDiao/NewHideDriverEx 更新:支持seh,原理自己逆下 将seh挂到其它模块上而已. 看网上用此方法隐藏用的挺嗨啊,麻烦打个出处,谢谢了. 没必要藏着,人生没有必要为这些小玩意小打小闹。 看到某些哥们这搞搞那搞搞,BSOD PATCHGUARD 无语,WRK是个好东西啊! 还有半年来也没怎么发博客,惭...
攻破Win7~Win10 PatchGuard(KPP & DSE)【支持Win10 TH1/TH2/RS1/RS2】【WIN64内核越狱】
zhuhuibeishadiao
01-13 1万+
最新状态:已放弃Win7.Win8,8.1的静态Patch,专注于Win10 PatchGuard. 1.重启内核越狱,支持Win7~Win10 Win10 10.0.10240.0 ~ Win10.10.0.14939.693(2017.1.11更新至693最新版) Win8 6.3.9600.18289 ~ 6.3.9600.18378(已停止更新) Win7 6.1.7601.177
利用ObRegisterCallbacks保护进程并附上突破ObRegisterCallbacks的方法[未更新]
zhuhuibeishadiao
05-02 9152
写上未更新的原因是我觉得 当初写这篇文章的时候理解的还是不够彻底,现在又了新的认识,待老夫有时间的时候在来重写一次 这里附上新的突破方法 我已经我写的时候已经写上了 今天发到博客的时候才发现没写,来补上 可以看我发到梦老大论坛的帖子,直接看第三种方法就行,前面两种我都服了,这样获取对象类型,太年轻啊 http://www.mengwuji.net/forum.php?mod=viewthr
Unicode_String Ansi_String 内核字符串操作
zhuhuibeishadiao
04-02 8007
typedef struct _UNICODE_STRING { USHORT Length;//字节数,不是字符数 一定要* sizeof(WCHAR) USHORT MaximumLength;//字节数,不是字符数 一定要* sizeof(WCHAR) PWSTR Buffer;//非零结尾,中间也可能含有零 } UNICODE_STRING, *PUNICODE_STRI
webrtc中的vad模块下载
最新发布
06-09
WebRTC已经内置了VAD(Voice Activity Detection,语音活动检测)模块,用于检测语音信号是否存在。 如果你需要使用WebRTC中的VAD模块,可以下载WebRTC源代码并编译。WebRTC的源代码可以从官方网站...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值