Vista下的vad,让我好找啊..........

最新推荐文章于 2023-04-18 10:42:54 发布
最新推荐文章于 2023-04-18 10:42:54 发布
阅读量746 收藏 1
点赞数
分类专栏: 内核研究 文章标签: null object c pointers table integer
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Shevacoming/article/details/7556092
版权 
kd> dt _eprocess 834d7020
ntdll!_EPROCESS
..............
+0x232 SubSystemMinorVersion : 0 ''
+0x233 SubSystemMajorVersion : 0x6 ''
+0x232 SubSystemVersion : 0x600
+0x234 PriorityClass    : 0x2 ''
   +0x238 VadRoot          : _MM_AVL_TABLE
+0x258 Cookie           : 0x6021f7a7
+0x25c AlpcContext      : _ALPC_PROCESS_CONTEXT

在xp下,这是一个指向MMVAD的指针,03下就是这个_MM_AVL_TABLE了,不过跟vista还不太一样。

kd> dt _MM_AVL_TABLE 834d7020+0x238
ntdll!_MM_AVL_TABLE
+0x000 BalancedRoot     : _MMADDRESS_NODE
+0x014 DepthOfTree      : 0y00110 (0x6)
+0x014 Unused           : 0y000
+0x014 NumberGenericTableElements : 0y000000000000000000011011 (0x1b)
+0x018 NodeHint         : 0x832741c0 
+0x01c NodeFreeHint     : (null) 
kd> dt _MMADDRESS_NODE 834d7020+0x238
ntdll!_MMADDRESS_NODE
+0x000 u1               : <unnamed-tag>
+0x004 LeftChild        : (null) 
+0x008 RightChild       : 0x82f11e08 _MMADDRESS_NODE
+0x00c StartingVpn      : 0
+0x010 EndingVpn        : 0
kd> dt _MMvad 834d7020+0x238
nt!_MMVAD
+0x000 u1               : <unnamed-tag>
+0x004 LeftChild        : (null) 
   +0x008 RightChild       : 0x82f11e08 _MMVAD
+0x00c StartingVpn      : 0
+0x010 EndingVpn        : 0
+0x014 u                : <unnamed-tag>
+0x018 PushLock         : _EX_PUSH_LOCK
+0x01c u5               : <unnamed-tag>
+0x020 u2               : <unnamed-tag>
+0x024 Subsection       : (null) 
+0x024 MappedSubsection : (null) 
+0x028 FirstPrototypePte : 0x91bf704c _MMPTE
+0x02c LastContiguousPte : 0x91bf704c _MMPTE

这三个结构开头都一样....下面是一个child的值

kd> dt _MMvad 0x82f11e08
nt!_MMVAD
+0x000 u1               : <unnamed-tag>
+0x004 LeftChild        : 0x832a12e8 _MMVAD
+0x008 RightChild       : 0x834d0a10 _MMVAD
+0x00c StartingVpn      : 0x4a090
+0x010 EndingVpn        : 0x4a0df
+0x014 u                : <unnamed-tag>
+0x018 PushLock         : _EX_PUSH_LOCK
+0x01c u5               : <unnamed-tag>
+0x020 u2               : <unnamed-tag>
   +0x024 Subsection       : 0x83051658 _SUBSECTION
+0x024 MappedSubsection : 0x83051658 _MSUBSECTION
+0x028 FirstPrototypePte : 0x8fe568c8 _MMPTE
+0x02c LastContiguousPte : 0xfffffffc _MMPTE

_control_area 没了,瞪了半天才看见一个Section 估计这个是,应该早就发现的....因为和xp下的control偏移一样。

kd> dt _SUBSECTION 0x83051658
nt!_SUBSECTION
+0x000 ControlArea      : 0x83051610 _CONTROL_AREA
+0x004 SubsectionBase   : 0x8fe568c8 _MMPTE
+0x008 NextSubsection   : 0x83051678 _SUBSECTION
+0x00c PtesInSubsection : 1
+0x010 UnusedPtes       : 0
+0x010 GlobalPerSessionHead : (null) 
+0x014 u                : <unnamed-tag>
+0x018 StartingSector   : 0
+0x01c NumberOfFullSectors : 2
kd> dt _CONTROL_AREA 0x83051610
nt!_CONTROL_AREA
+0x000 Segment          : 0x8fe56898 _SEGMENT
+0x004 DereferenceList  : _LIST_ENTRY [ 0x0 - 0x8306c97c ]
+0x00c NumberOfSectionReferences : 1
+0x010 NumberOfPfnReferences : 0x33
+0x014 NumberOfMappedViews : 1
+0x018 NumberOfUserReferences : 2
+0x01c u                : <unnamed-tag>
+0x020 u1               : <unnamed-tag>
   +0x024 FilePointer      : _EX_FAST_REF
+0x028 ControlAreaLock  : 0
+0x02c StartingFrame    : 0
+0x030 WaitingForDeletion : (null) 
+0x034 u2               : <unnamed-tag>
+0x040 LockedPages      : 0

这个结构也被扩展了,低三位清零

kd> dt _EX_FAST_REF 0x83051610 + 0x24 
ntdll!_EX_FAST_REF
+0x000 Object           : 0x830f3e1f 
+0x000 RefCnt           : 0y111
+0x000 Value            : 0x830f3e1f

kd> dt _file_object 0x830f3e1f&0xfffffff8
ntdll!_FILE_OBJECT
+0x000 Type             : 5
+0x002 Size             : 128
+0x004 DeviceObject     : 0x82e64e10 _DEVICE_OBJECT
+0x008 Vpb              : 0x82e641e8 _VPB
+0x00c FsContext        : 0x914f1d80 
+0x010 FsContext2       : 0x914f1ed8 
+0x014 SectionObjectPointer : 0x82ebed0c _SECTION_OBJECT_POINTERS
+0x018 PrivateCacheMap  : (null) 
+0x01c FinalStatus      : 0
+0x020 RelatedFileObject : 0x83309368 _FILE_OBJECT
+0x024 LockOperation    : 0 ''
+0x025 DeletePending    : 0 ''
+0x026 ReadAccess       : 0x1 ''
+0x027 WriteAccess      : 0 ''
+0x028 DeleteAccess     : 0 ''
+0x029 SharedRead       : 0x1 ''
+0x02a SharedWrite      : 0x1 ''
+0x02b SharedDelete     : 0x1 ''
+0x02c Flags            : 0x44042
+0x030 FileName         : _UNICODE_STRING "\Windows\System32\cmd.exe"
+0x038 CurrentByteOffset : _LARGE_INTEGER 0x0
+0x040 Waiters          : 0
+0x044 Busy             : 0
+0x048 LastLock         : (null) 
+0x04c Lock             : _KEVENT
+0x05c Event            : _KEVENT
+0x06c CompletionContext : (null) 
+0x070 IrpListLock      : 0
+0x074 IrpList          : _LIST_ENTRY [ 0x830f3e8c - 0x830f3e8c ]
+0x07c FileObjectExtension : 0x8304de48 

通过vad树还是能得到模块的信息滴....(至少是一个基址)

Shevacoming
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
线性地址的管理(滴水中级内存篇)
若面朝大海边竹妮春暖花开的博客
08-10 583
每个进程都有自己低2G线性空间需要管理,当申请内存的时候需要查看看线性地址有没有被占用 EPROCESS+0x11c VadRoot 是一个二叉树结构 记录被占用的线性地址空间 dt _MMVAD EPROCESS+0x11c nt!_MMVAD(x86) +0x000 StartingVpn : 0x8e0 +0x004 EndingVpn : 0x8e0 +...
windows机制初探
hongduilanjun的博客
05-11 641
EPROCESS结构体:在内核中表示一个进程。
驱动开发:运用VAD隐藏R3内存思路
CSDN
10-13 7715
成员,它是一个存放进程内存块的二叉树结构,如果我们找到了这个二叉树中我们想要隐藏的内存,直接将这个内存在二叉树中。枚举所有进程,并得到我们所需进程的EProcess地址。中的值和进程中分配的内存地址并不完全一样,这是因为。,类似于摘链隐藏进程,就可以达到隐藏的效果。而隐藏进程内特定内存段核心代码在于。得到EProcess结构。运行程序得到两个内存地址。,其实是让上一个节点的。将VAD前后节点连接。,所以这里还要再乘以。才是真正的内存地址。所以计算结果刚好等于。
windows10驱动 x64--- 驱动实现遍历VAD树(六)
weixin_41725706的博客
11-18 598
驱动层vad树遍历
linux vad检测,VAD树结构体的属性以及遍历
weixin_32819955的博客
05-14 529
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.htmlVAD树的属性以及遍历前面学习过的PFNDATABSAE是管理物理页的,整个操作系统仅维护一个PFNDATABASE。现在的VAD是管理虚拟内存的,每一个进程有自己单独的一个VAD树。VAD树:比如你使用VirtualAllocate函数申请一个内存,则会在VAD树上...
vad.m.zip_VAD.m matlab_vad_vad matlab_vad.m_zip
09-23
voice activity detect
webrtcvad-2.0.10.tar.gz
05-27
图像特征检测算法-SIFT的Python实现,下载的文件为vlfeat-0.9.20-bin.tar.gz,解压缩后,将vlfeat-0.9.20/bin/win64文件夹下的sift.exe和vl.dll拷贝到当前工作目录下。
vad.m.zip
最新发布
04-16
vad.m.zip
VAD.rar_vad
09-22
檔案名稱為聲音變化偵測,用來找出真正的聲音變化,找可以讓使用者清楚知道聲音的頭跟尾。
vad.zip
04-16
vad.zip
TrimSSD,XP VISTA可用
08-29
SSD专用的trim软件,XP与VISTA可用。
通用 SSD Trim 工具
01-15
1,威刚SSD 工具 单文件运行 支持任何SSD 不分品牌 2,TrimSSD是一款可以在任何Windows操作系统对SSD进行TRIM操作的软件
内核中隐藏内存(VAD详解)
人生苦短,我用python
04-18 1050
VAD树以平衡二叉树的形式存储,记录了进程中每个内存区域的属性,如内存映射、保护等级和状态。隐藏内存的方法之一是修改目标进程的VAD树。获取目标进程的EPROCESS结构:要操作VAD树,首先需要找到目标进程的EPROCESS结构。遍历VAD树:从根节点开始,遍历整个VAD树以查找与注入内存区域关联的节点。获取VAD树根节点:从EPROCESS结构中,可以找到VadRoot字段,它包含了VAD树的根节点。修改或删除VAD节点:找到相关节点后,可以删除或修改该节点以隐藏内存区域。
深入浅析Windows内核——VAD
SaiCT的专栏
12-21 6906
深入浅析Windows内核——VAD篇为何叫深入浅析呢?所谓深入指的是我们将要面对的是微软公开的Windows源码,适用于Windows XP/Windows Server 2003。所谓浅析当然是指本人水平有限,这能望文生义,做一做表面文章。大家都知道,在x86的平台上Windows操作系统为每个进程描述了一个完整的4G的地址空间,这4G空间由低位2G的用户地址空间和高位2G的系
OSX: 打开SSD的TRIM功能可能不是一个好主意
中国在线教育
07-07 8769
很久以前,自从人们开始把SSD装载Mac机器中,并且OSX开始支持TRIM开始,人们就开始注意打开OSX的TRIM功能来优化SSD的性能,尤其是当SSD中的垃圾数据越来越多,而SSD需要腾挪这些垃圾来为有用数据腾地的时候,这也是SSD运行最慢的操作。从前,一直没有认为打开TRIM对系统会有什么副作用,所以,对Apple在OSX10.10中只支持自己的OEM SSD的做法很是不理解。自从看了一篇博客文
利用windbg探索进程和进程上下文
一介渔夫
10-18 1万+
1.列出所有活动进程 使用!process命令可以打印出活动进程的信息。第一个参数是要打印的EPROCESS的地址,如果指定为0则表示打印所有的进程。第二个参数用于说明打印进程信息的详细级别。指定0则表示打印最简单的信息。 0: kd> !process 0 0 **** NT ACTIVE PROCESS DUMP **** PROCESS 821b7490 Session
SSD为什么需要Trim?
存储随笔
07-18 1万+
什么是Trim?Trim又叫 Disable Delete Notify。当系统删除某个文件时候,它只是简单的在逻辑数据表内把存储要删除的数据的位置标记为可用而已。使用机械硬盘的系统根本就不需要向存储设备发送任何有关文件删除的消息,因为在将来,系统可以随时把新数据直接覆盖到无用的数据上。固态硬盘的情况就不同,当系统准备把新数据要写入那个位置的时候,固态硬盘才意识到原来这写数据已经被删除了!(无
FindDllByVad遍历dll文件
热门推荐
小驹的专栏
01-09 1万+
vadRoot结构好像中有在sp2系统下有效,在sp3系统下调试时,会在遍历avl树的操作时蓝屏... 驱动层: .h /* FindDllByVad.H Author: Last Updated: 2007-07-06 This framework is generated by EasySYS 0.3.0 This template file is c
Windows运用AVL树对进程地址空间的管理
jiangfuqiang的专栏
12-28 3682
32位Windows系统中,进程在用户态可用的地址空间范围是低2G(x64下是低8192G)。随着进程不断的申请和释放内存,这个2G的地址空间,有的地址范围是保留状态(reserved),有的地址范围是提交状态(映射到了物理页面,committed),有的地址范围是空闲的。Windows采用平衡二叉树把这些离散的地址范围管理起来。 常见的平衡二叉树有红黑树和AVL树两种,其中红黑树应用更广,C#
vad_twothr.m文件
12-13
vad_twothr.m文件是一个音频信号处理的MATLAB程序文件,用于进行双门限语音活动检测。 该文件主要包括了对语音信号的能量和短时过零率的计算,以及基于能量和过零率的双门限语音活动检测算法。 在文件中,首先对...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值