windbg学习!vad

最新推荐文章于 2023-11-18 10:22:45 发布
最新推荐文章于 2023-11-18 10:22:45 发布
阅读量3.1k 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hgy413/article/details/19045787
版权

在ring0 !address不能提供详细的信息了

可以尝试用下!vad

!vad扩展显示一个或多个虚拟地址详细的虚拟地址描述符(virtual address descriptor (VAD))。

语法

!vad  VAD-Root [ Flags

参数
VAD-Root
指定要显示的VAD树的根的16进制地址。
Flags
指定显示的格式。可能的值如下:
0
显示基于 VAD-Root的整个VAD树。(这是默认情况。)
1
仅显示由 VAD-Root指定的VAD。这种显示会包含更详细的分析。

使用 !process命令可以找到任何进程的VAD的根地址 



kd> !vad 821b3260 
VAD     level      start      end    commit
821b3260 ( 0)         10       42         0 Mapped       READWRITE          Pagefile-backed section
8207a148 ( 2)         70       70         0 Mapped       READWRITE          Pagefile-backed section
81f472c0 ( 3)         80      17f         0 Mapped       READWRITE          Pagefile-backed section
8216a8f8 ( 1)      7c920    7c9b2         5 Mapped  Exe  EXECUTE_WRITECOPY  \WINDOWS\system32\ntdll.dll
一般可能要使用!vad xxx 1 

kd> ? DriverEntry
Evaluate expression: -124588016 = f892f010
kd> !vad f892f010 1

VAD @ f892f010
  Start VPN     8b55ff8b  End VPN 458b51ec  Control Area  00000000
  FirstProtoPte 00000000  LastPte 00000000  Commit Charge     c483 (50307.)
  Secured.Flink        0  Blink          0  Banked/Extend 92e2c040
  File Offset          0  
      PhysicalMapping ViewUnmap PrivateMemory EXECUTE_READ      NOCACHE

kd> !vad f892f010 
VAD     level      start      end    commit
e8f892f1 f892f010: Unable to get contents of VAD3
可以看到,不设flag,可能无法显示.






花熊
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
深入浅析Windows内核——VAD
SaiCT的专栏
12-21 6905
深入浅析Windows内核——VAD篇为何叫深入浅析呢?所谓深入指的是我们将要面对的是微软公开的Windows源码,适用于Windows XP/Windows Server 2003。所谓浅析当然是指本人水平有限,这能望文生义,做一做表面文章。大家都知道,在x86的平台上Windows操作系统为每个进程描述了一个完整的4G的地址空间,这4G空间由低位2G的用户地址空间和高位2G的系
驱动开发:内核遍历进程VAD结构体
热门推荐
CSDN
10-13 1万+
树的每一个节点代表一段虚拟地址空间。程序中的代码段,数据段,堆段都会各种占用一个或多个。结构体,需要说明的是栈并不受VAD的管理。同样这是微软定义,如果想要的到最新的,自己下载WinDBG调试内核输入命令。内存块的属性,这个内存结构定义在WinDBG中可看到。结构的偏移值,每个系统都不一样,版本不同偏移值会不同。当需要得到该进程的VAD结构时,只需要使用。结构中可以找到VAD结构的相对偏移。可以看到在本系统中VAD的偏移是。头文件,并写入如下代码,此处的。来显示该进程的VAD树。结构树,这个结构通常在。
【随手写】Windows内核学习-内存篇-打印VAD
qq_39933891的博客
05-12 122
【代码】【随手写】Windows内核学习-内存篇-打印VAD树。
通过VAD树枚举进程DLL(通过processID)
03-20
通过VAD树枚举进程DLL,VAD(Virtual address descriptor) 是一棵平衡二叉搜索树。管理着一个进程的虚拟内存。当然其中也包含着一个进程的dll模块信息
linux vad检测,VAD树结构体的属性以及遍历
weixin_32819955的博客
05-14 529
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.htmlVAD树的属性以及遍历前面学习过的PFNDATABSAE是管理物理页的,整个操作系统仅维护一个PFNDATABASE。现在的VAD是管理虚拟内存的,每一个进程有自己单独的一个VAD树。VAD树:比如你使用VirtualAllocate函数申请一个内存,则会在VAD树上...
windbg文档.pdf
05-19
windbg官方中文文档
windbg学习资料
11-01
windbg学习资料,包含介绍,基本命令,以及一些简单的例子,教程等等。
WinDbg学习资料
12-13
有关windbg学习的基础资料,其中只有关于windbg的命令等,英文原版
windbg学习系列文章
12-28
windbg的一系列文章,方便学习其调试的方法
Windbg中文调试手册
04-26
windbg工具的中文调试手册
观察进程线程的数据结构
11-28
详细介绍了在Windows Server 2008下用windbg调试工具查看进程和线程结构体和其他跟进程线程相关的东西。
wrk中描述进程VAD的AVL树
死胖子的博客
03-12 1567
ntrtl.h //定义基础二叉树以及基本方法。 splay.c //实现ntrtl.h中关于二叉树的方法。 avltable.c //在ntrtl.h定义的二叉树基础上实现avl树 在ps.h //定义了VAL的节点定义 addrsup.c //在avltable的基础上实现对地址空间avl树的一系列操作。 第一节 基础二叉树定义和实现 在ntrtl.h中,定义和实现了
linux vad检测,VAD 文件扩展名: 它是什么以及如何打开它?
weixin_32258691的博客
05-14 771
VAD 文件疑难解答 打开 VAD 文件的麻烦缺少 Global Mapper如果您尝试加载 VAD 文件,则会收到 “无法打开 VAD 文件” 等消息。 发生这种情况时,通常是由于 %%os%% 中缺少 Global Mapper。 你将无法双击以打开 VAD,因为你的操作系统不知道该怎么处理它。 提示:当你安装了另一个你知道将打开你的 VAD 的程序时,你可以从列出的其他程序中选择它(请参阅 ...
[整理]Windbg常用命令一览
Han的小站
01-03 1237
Windbg常用命令一览
内核中隐藏内存(VAD详解)
人生苦短,我用python
04-18 1049
VAD树以平衡二叉树的形式存储,记录了进程中每个内存区域的属性,如内存映射、保护等级和状态。隐藏内存的方法之一是修改目标进程的VAD树。获取目标进程的EPROCESS结构:要操作VAD树,首先需要找到目标进程的EPROCESS结构。遍历VAD树:从根节点开始,遍历整个VAD树以查找与注入内存区域关联的节点。获取VAD树根节点:从EPROCESS结构中,可以找到VadRoot字段,它包含了VAD树的根节点。修改或删除VAD节点:找到相关节点后,可以删除或修改该节点以隐藏内存区域。
4.6 Windows驱动开发:内核遍历进程VAD结构体
CSDN
11-18 9676
总之,VAD结构是Windows操作系统中管理进程虚拟地址空间的重要数据结构之一,它通过构建一个树形结构来管理进程的虚拟地址空间,并提供了丰富的属性信息,使得操作系统可以对虚拟地址空间进行有效的管理和保护。系统在创建线程时,会为该线程分配一段物理内存页,并映射到该线程的栈空间中,然后将栈空间的起始地址记录在该线程的。EPROCESS 结构体是用于表示操作系统中的一个进程的数据结构,其中包含了许多与该进程相关的信息,包括了该进程的虚拟地址空间描述符树(VAD 结构树)。,树的每一个节点代表一段虚拟地址空间。
windows10驱动 x64--- 驱动实现遍历VAD树(六)
weixin_41725706的博客
11-18 598
驱动层vad树遍历
windbg 查看结构体_用WinDbg进行调试
weixin_31050349的博客
12-23 856
通往WinDbg的捷径(一)windbg的使用详细:http://wenku.baidu.com/view/f576c31e650e52ea55189832.html导言你钟情什么样的调试器?如果你问我这个问题,我会回答是“VisualStudio+WinDbg”。我比较喜欢VisualStudio那朴实无华且易操作的接口,更喜欢它能迅速把我需要的信息以可视的形式展示出来。但遗憾的是,Vi...
安卓版本od和ce,目前全国最强大的安卓逆向工具
mutashizhe的博客
05-27 6382
安卓版本od和ce,目前全国最强大的安卓逆向工具。给大家推荐一款安卓逆向工具,觉得好用自己点赞回复下。 雷电模拟器作为例子: 这个很像ce吧,其实功能也差不多 附加进程,so注入 安卓汇编分析,这里是基于雷电的 分析结果 这个是基地址和偏移,是不是很像呢? 安卓逆向分析群:550839408 作者收费群:516805632 VAD Virtual Android Debug 模拟器 ...
windbg中!ip2md
最新发布
03-10
Windbg中,`!ip2md`是一个非常有用的命令,它用于将指令指针(Instruction Pointer)转换为方法描述符(Method Descriptor)。通过这个命令,我们可以获取到指定指令所在的方法的相关信息。 具体来说,`!ip2md`...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值