遍历vad二叉树来遍历进程里的模块

最新推荐文章于 2023-11-18 10:22:45 发布
最新推荐文章于 2023-11-18 10:22:45 发布
阅读量1k 收藏 5
点赞数 1
分类专栏: Windows 文章标签: vad
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuhaidon1992/article/details/103894453
版权 
/*
 遍历vad二叉树来遍历进程里的模块
*/

#include <ntifs.h>

typedef struct _MMADDRESS_NODE
{
	ULONG64 u1;
	struct _MMADDRESS_NODE* LeftChild;
	struct _MMADDRESS_NODE* RightChild;
	ULONG64 StartingVpn;
	ULONG64 EndingVpn;
}MMADDRESS_NODE, *PMMADDRESS_NODE;
typedef struct _EX_FAST_REF
{
	union
	{
		PVOID Object;
		ULONG_PTR RefCnt : 3;
		ULONG_PTR Value;
	};
} EX_FAST_REF, *PEX_FAST_REF;
struct _SEGMENT
{
	struct _CONTROL_AREA* ControlArea;
	ULONG TotalNumberOfPtes;
	ULONG SegmentFlags;
	ULONG64 NumberOfCommittedPages;
	ULONG64 SizeOfSegment;
	union
	{
		struct _MMEXTEND_INFO* ExtendInfo;
		void* BasedAddress;
	};
	ULONG64 SegmentLock;
	ULONG64 u1;
	ULONG64 u2;
	struct _MMPTE* PrototypePte;
	ULONGLONG ThePtes[0x1];
};
//控制区
struct _CONTROL_AREA
{
	struct _SEGMENT* Segment;
	struct _LIST_ENTRY DereferenceList;
	unsigned __int64 NumberOfSectionReferences;
	unsigned __int64 NumberOfPfnReferences;
	unsigned __int64 NumberOfMappedViews;
	unsigned __int64 NumberOfUserReferences;
	ULONG  u;
	ULONG FlushInProgressCount;
	struct _EX_FAST_REF FilePointer;

	/*ULONG ControlAreaLock;
	ULONG ModifiedWriteCount;
	ULONG StartingFrame;
	ULONG64 WaitingForDeletion;
	ULONG64 u2; //0x10字节
	ULONG64 LockedPages;
	_LIST_ENTRY ViewList;*/
};
struct _SUBSECTION
{
	struct _CONTROL_AREA* ControlArea;
	struct _MMPTE* SubsectionBase;
	struct _SUBSECTION* NextSubsection;
	ULONG PtesInSubsection;
	ULONG UnusedPtes;
	struct _MM_AVL_TABLE* GlobalPerSessionHead;
	ULONG u;
	ULONG StartingSector;
	ULONG NumberOfFullSectors;
};
typedef struct _MMVAD
{
	ULONG64 u1;
	struct _MMVAD* LeftChild;
	struct _MMVAD* RightChild;
	ULONG64 StartingVpn;
	ULONG64 EndingVpn;
	ULONG64 u;
	ULONG64 PushLock;
	ULONG64 u5;
	ULONG64 u2;
	struct _SUBSECTION* Subsection;
	struct _MSUBSECTION* MappedSubsection;
	struct _MMPTE* FirstPrototypePte;
	struct _MMPTE* LastContiguousPte;
	struct _LIST_ENTRY ViewLinks;
	struct _EPROCESS* VadsProcess;
}MMVAD;
typedef struct   tag_MM_AVL_TABLE
{
	struct _MMADDRESS_NODE BalancedRoot;
	ULONG64 DepthOfTree;
	ULONG64 Unused;
	ULONG64 NumberGenericTableElements;
	void* NodeHint;
	void* NodeFreeHint;
}MM_AVL_TABLE, *PMMAVL_TABLE;

long TotalNum = 0;

VOID EnumVad(MMVAD* Root)
{
	POBJECT_NAME_INFORMATION  Str = (POBJECT_NAME_INFORMATION)ExAllocatePool(PagedPool, 500);
	ULONG RetLen = 0;//接收

	//DbgBreakPoint();

	//申请内存失败或者节点为null都退出
	if (!Str || !Root)
		return;

	RtlZeroMemory(Str, 500);
	//KdPrint(("-> %p\n", Root->Subsection->ControlArea->FilePointer.Value));
	__try
	{
		if (MmIsAddressValid(Root->Subsection) &&
			MmIsAddressValid(Root->Subsection->ControlArea) &&
			MmIsAddressValid((PVOID)Root->Subsection->ControlArea->FilePointer.Value)
			)
		{
			//清除低4位就是FILE_OBJECT
			PFILE_OBJECT pFileObj = (PFILE_OBJECT)((Root->Subsection->ControlArea->FilePointer.Value >> 4) << 4);
			if (MmIsAddressValid(pFileObj))
			{
				//获取模块名称
				NTSTATUS Status = ObQueryNameString(pFileObj, Str, 500, &RetLen);
				if (NT_SUCCESS(Status))
				{
					//KdPrint(("基址:%p 大小:%p  ",
					//	Root->Subsection->ControlArea->Segment->BasedAddress,
					//	Root->Subsection->ControlArea->Segment->SizeOfSegment));
					KdPrint(("模块:%ws\n\n", Str->Name.Buffer));
					TotalNum++;
				}
				else
				{
					KdPrint(("获取模块名称失败 %08X\n", Status));
				}

			}
		}
	}
	__except (1)
	{
		//KdPrint(("地址无效!\n"));
	}
	ExFreePool(Str);
	__try
	{
		if (MmIsAddressValid(Root->LeftChild))
			EnumVad(Root->LeftChild);

		if (MmIsAddressValid(Root->RightChild))
			EnumVad(Root->RightChild);
	}
	__except (1)
	{
		KdPrint(("异常!!"));
		return;
	}

}
BOOLEAN EnumProcessModule(ULONG Pid)
{
	PEPROCESS Peprocess = 0;
	if (NT_SUCCESS(PsLookupProcessByProcessId((HANDLE)Pid, &Peprocess)))
	{
		//挂靠到目标进程
		KeAttachProcess(Peprocess);

		PMMAVL_TABLE Table = (PMMAVL_TABLE)((UCHAR*)Peprocess + 0x448);
		KdPrint(("%p", Table->BalancedRoot.RightChild));

		if (Table->BalancedRoot.LeftChild)
			EnumVad((MMVAD*)Table->BalancedRoot.LeftChild);

		if (Table->BalancedRoot.RightChild)
			EnumVad((MMVAD*)Table->BalancedRoot.RightChild);

		//解除挂靠
		KeDetachProcess();

		KdPrint(("总模块数量为%ld", TotalNum));
	}
	else
	{
		KdPrint(("PsLookupProcessByProcessId failed"));
		return FALSE;
	}

	return TRUE;
}

 

liuhaidon1992
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
内核中隐藏内存(VAD详解)
人生苦短,我用python
04-18 1107
VAD树以平衡二叉树的形式存储,记录了进程中每个内存区域的属性,如内存映射、保护等级和状态。隐藏内存的方法之一是修改目标进程VAD树。获取目标进程的EPROCESS结构:要操作VAD树,首先需要找到目标进程的EPROCESS结构。遍历VAD树:从根节点开始,遍历整个VAD树以查找与注入内存区域关联的节点。获取VAD树根节点:从EPROCESS结构中,可以找到VadRoot字段,它包含了VAD树的根节点。修改或删除VAD节点:找到相关节点后,可以删除或修改该节点以隐藏内存区域。
数据结构树应用在哪儿比较多
m0_70888041的博客
11-04 407
老实说刚开始学这段时,感觉树的逻辑太复杂,比之链表、队列、栈都要复杂很多,但是慢慢接触并且在自己敲过代码之后,发现二叉树其实逻辑和我们日常思维逻辑一样简单,它的存储结构和双向链表的存储结构一样。这是刚开始接触树的印象,本文属于树的升级版。上面的两张图片,左边的是AVL树,它的任何节点的两个子树的高度差别都
地址转译的相关问题(三)
商少
03-24 839
内存区对象 结构体定义 typedef struct_SECTION { MMADDRESS_NODE Address;   //内存区的VAD节点,用于把所有特定类型的内存区对象组织成一颗平衡树(SEC_BASED)类型 PSEGMENT Segment;            // 段对象 LARGE_INTEGER SizeOfSection; union { ULONG Lo
驱动开发:内核遍历进程VAD结构体
热门推荐
CSDN
10-13 1万+
树的每一个节点代表一段虚拟地址空间。程序中的代码段,数据段,堆段都会各种占用一个或多个。结构体,需要说明的是栈并不受VAD的管理。同样这是微软定义,如果想要的到最新的,自己下载WinDBG调试内核输入命令。内存块的属性,这个内存结构定义在WinDBG中可看到。结构的偏移值,每个系统都不一样,版本不同偏移值会不同。当需要得到该进程VAD结构时,只需要使用。结构中可以找到VAD结构的相对偏移。可以看到在本系统中VAD的偏移是。头文件,并写入如下代码,此处的。来显示该进程VAD树。结构树,这个结构通常在。
linux vad检测,VAD树结构体的属性以及遍历
weixin_32819955的博客
05-14 537
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.htmlVAD树的属性以及遍历前面学习过的PFNDATABSAE是管理物理页的,整个操作系统仅维护一个PFNDATABASE。现在的VAD是管理虚拟内存的,每一个进程有自己单独的一个VAD树。VAD树:比如你使用VirtualAllocate函数申请一个内存,则会在VAD树上...
MyHider.zip_peb_peb模块隐藏_vad_模块隐藏_进程隐藏
07-14
总的来说,"MyHider.zip"提供的示例将帮助开发者和安全研究者了解PEB和VAD隐藏技术的工作原理,以及如何在实际操作中应用这些技术来隐藏进程模块。通过学习和分析这个项目,可以提高对Windows内核安全性的理解和...
vad_vad_
09-29
对于初学者或开发者来说,通过阅读和理解`vad.py`的代码,可以深入理解VAD的工作机制,并能够根据实际需求调整参数,优化检测效果。如果你需要进一步了解VAD的具体实现,或者想要自定义一个VAD系统,这个项目会是一...
VAD算法的源程序_vad_
09-30
1. **能量检测**:最简单的VAD方法是基于音频信号的能量来判断。一般来说,人声信号的能量会显著高于背景噪声。通过计算一段时间内的平均能量,若超过预设阈值,则判断为人声存在。 2. **短时分析**:由于语音信号...
VAD.rar_vad
09-22
9. **评估指标**:VAD性能常用误报率(False Alarm Rate, FAR)、漏检率(Miss Detection Rate, FRR)和语音活动检测准确率(Voice Activity Detection Accuracy, VAD Acc)等指标来衡量。 10. **开源库与工具**:...
vad.zip_vad matlab
07-15
总的来说,`vad.zip_vad matlab` 提供了一个在Matlab环境中实现的VAD功能,对于理解和研究语音处理、语音识别系统的人来说,这是一个非常有价值的工具。深入理解并研究`vad.m`的源代码,可以帮助我们更好地掌握VAD...
通过VAD树枚举进程DLL(通过processID)
03-20
通过VAD树枚举进程DLL,VAD(Virtual address descriptor) 是一棵平衡二叉搜索树。管理着一个进程的虚拟内存。当然其中也包含着一个进程的dll模块信息
红黑树(RBtree)实现代码
02-17
一个基于C++的红黑树实现, RedBlackTree, C++, 二叉树, 平衡二叉树
4.6 Windows驱动开发:内核遍历进程VAD结构体
最新发布
CSDN
11-18 1万+
总之,VAD结构是Windows操作系统中管理进程虚拟地址空间的重要数据结构之一,它通过构建一个树形结构来管理进程的虚拟地址空间,并提供了丰富的属性信息,使得操作系统可以对虚拟地址空间进行有效的管理和保护。系统在创建线程时,会为该线程分配一段物理内存页,并映射到该线程的栈空间中,然后将栈空间的起始地址记录在该线程的。EPROCESS 结构体是用于表示操作系统中的一个进程的数据结构,其中包含了许多与该进程相关的信息,包括了该进程的虚拟地址空间描述符树(VAD 结构树)。,树的每一个节点代表一段虚拟地址空间。
[Windows 驱动开发] 隐藏进程内存
LYSM
09-01 1575
原理 在进程的 _EPROCESS 中有一个 _RTL_AVL_TREE 类型的 VadRoot 成员,它是一个存放进程内存块的二叉树结构,如果我们找到了这个二叉树中我们想要隐藏的内存,直接将这个内存在二叉树中 “抹去”(其实是让上一个节点的 EndingVpn 指向下个节点的 EndingVpn ,让两个节点融合) 就可以达到隐藏的效果。 过程 比如你在代码中申请了两块内存: int main() { LPVOID p1 = VirtualAlloc(NULL, 0x10000, MEM_CO
wrk中描述进程VAD的AVL树
死胖子的博客
03-12 1571
ntrtl.h //定义基础二叉树以及基本方法。 splay.c //实现ntrtl.h中关于二叉树的方法。 avltable.c //在ntrtl.h定义的二叉树基础上实现avl树 在ps.h //定义了VAL的节点定义 addrsup.c //在avltable的基础上实现对地址空间avl树的一系列操作。 第一节 基础二叉树定义和实现 在ntrtl.h中,定义和实现了
深入浅析Windows内核——VAD
SaiCT的专栏
12-21 6929
深入浅析Windows内核——VAD篇为何叫深入浅析呢?所谓深入指的是我们将要面对的是微软公开的Windows源码,适用于Windows XP/Windows Server 2003。所谓浅析当然是指本人水平有限,这能望文生义,做一做表面文章。大家都知道,在x86的平台上Windows操作系统为每个进程描述了一个完整的4G的地址空间,这4G空间由低位2G的用户地址空间和高位2G的系
x64遍历VAD
My classmates
12-18 1739
#include &lt;ntifs.h&gt; typedef struct _MMADDRESS_NODE { ULONG64 u1; struct _MMADDRESS_NODE* LeftChild; struct _MMADDRESS_NODE* RightChild; ULONG64 StartingVpn; ULONG64 EndingVpn; }MMADDRESS_NOD...
WinDbg命令dt的使用
pureman_mega的博客
12-24 5140
(不是很全面。可以参考WinDbg的帮助文档。操作系统 win7 32) dt命令主要用来查看相关的变量,结构体等的信息,它配合一些参数使用可以 获取想要的信息。 使用dt命令查看结构体:lkd> dt nt!_list_entry +0x000 Flink : Ptr32 _LIST_ENTRY +0x004 Blink :
Win7 x64 Vad遍历模块
zhuhuibeishadiao
12-06 5735
Win7x64 Vad遍历模块
webrtc中的vad模块下载
06-09
WebRTC(Web实时通信)是一个开源项目,用于实现实时通信功能,包括音频和视频通信。WebRTC已经内置了VAD(Voice Activity Detection,语音活动检测)模块,用于检测语音信号是否存在。 如果你需要使用WebRTC中的VAD模块,可以下载WebRTC源代码并编译。WebRTC的源代码可以从官方网站https://webrtc.org/获取。 具体步骤如下: 1. 下载WebRTC源代码 2. 配置编译环境 3. 编译WebRTC代码 4. 在编译后的WebRTC库中使用VAD模块 请注意,这个过程可能比较复杂,需要一定的编程能力和经验。如果你只是需要使用VAD模块,可以考虑使用其他语音处理库,如Google的WebRTC VAD库。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值