win 10 64 14393遍历进程VAD

最新推荐文章于 2023-11-21 19:41:06 发布
最新推荐文章于 2023-11-21 19:41:06 发布
阅读量3.2k 收藏 1
点赞数
分类专栏: windwos内核 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18942885/article/details/68937310
版权
该博客详细介绍了Windows 10 14393版本中遍历进程虚拟地址描述符(VAD)的结构,包括SEGMENT、CONTROL_AREA和SUBSECTION等关键数据结构。通过遍历VAD,可以获取到进程的模块信息,并展示了如何利用VAD找到并修改文件对象的文件名,以达到改变文件路径的目的。
摘要由CSDN通过智能技术生成
typedef struct _SEGMENT{
 /*(*((ntkrnlmp!_SEGMENT *)0xffffa405114286d0))[Type:_SEGMENT]
  [+0x000] ControlArea      : 0xffffd18b3276d370[Type:_CONTROL_AREA *]
  [+0x008] TotalNumberOfPtes : 0xa[Type:unsigned long]
  [+0x00c] SegmentFlags[Type:_SEGMENT_FLAGS]
  [+0x010] NumberOfCommittedPages : 0x0[Type:unsigned __int64]
  [+0x018] SizeOfSegment : 0xa000[Type:unsigned __int64]
  [+0x020] ExtendInfo : 0x5dd00000[Type:_MMEXTEND_INFO *]
  [+0x020] BasedAddress : 0x5dd00000[Type:void *]
  [+0x028] SegmentLock[Type:_EX_PUSH_LOCK]
  [+0x030] u1[Type:<unnamed - tag>]
  [+0x038] u2[Type:<unnamed - tag>]
  [+0x040] PrototypePte : 0xffffa4050feab820[Type:_MMPTE *]*/
 PVOID ControlArea;
 LONG32 TotalNumberOfPtes;
 LONG32 SegmentFlags;
 ULONG64 NumberOfCommittedPages;
 ULONG64 SizeOfSegment;
 ULONG64 BasedAddress;//这里也可以利用PE结构体获取模块名字
 //.............


}SEGMENT,*PSEGMENT;
typedef struct _EX_FAST_REF
{
 union
 {
  PVOID Object;
  ULONG_PTR RefCnt : 3;
  ULONG_PTR Value;
 };
} EX_FAST_REF, *PEX_FAST_REF;
最低0.47元/天 解锁文章
qq_18942885
关注
专栏目录
x64遍历VAD
My classmates
12-18 1767
#include &lt;ntifs.h&gt; typedef struct _MMADDRESS_NODE { ULONG64 u1; struct _MMADDRESS_NODE* LeftChild; struct _MMADDRESS_NODE* RightChild; ULONG64 StartingVpn; ULONG64 EndingVpn; }MMADDRESS_NOD...
Win7 x64 Vad遍历模块
zhuhuibeishadiao
12-06 5771
Win7x64 Vad遍历模块
vad_vad_
09-29
VAD 的代码,用于语音的活跃检测,基础代码需要的可以下来看看
vad.zip_vad matlab
07-15
改程序的功能:在进行语音识别时,完成对采集到的语音信号进行端点检测
windows10驱动 x64--- 驱动实现遍历VAD树(六)
weixin_41725706的博客
11-18 764
驱动层vad遍历
win10遍历文件夹
勤学如春起之苗,不见其增,日有所长
03-18 430
代码参考: https://blog.csdn.net/lhanchao/article/details/53576311 #include <io.h>//所需头文件 #include <iostream> #include <string> using namespace std; void getAllFileNames(const string&am...
WIN10 19043 VAD节点结构分析
qq_41490873的博客
10-14 1081
断在第一个vad节点,查看此时的VAD节点值 0: kd> ??VadRoot struct _MMVAD * 0xffffe10b`4a6e0990 +0x000 Core : _MMVAD_SHORT +0x040 u2 : 0xc000000 +0x044 _PADDING0_ : [4] "" +0x048 Subsection : 0xffffe10b`49efd560 _SUBSECTI.
驱动开发:内核遍历进程VAD结构体
热门推荐
CSDN
10-13 2万+
树的每一个节点代表一段虚拟地址空间。程序中的代码段,数据段,堆段都会各种占用一个或多个。结构体,需要说明的是栈并不受VAD的管理。同样这是微软定义,如果想要的到最新的,自己下载WinDBG调试内核输入命令。内存块的属性,这个内存结构定义在WinDBG中可看到。结构的偏移值,每个系统都不一样,版本不同偏移值会不同。当需要得到该进程VAD结构时,只需要使用。结构中可以找到VAD结构的相对偏移。可以看到在本系统中VAD的偏移是。头文件,并写入如下代码,此处的。来显示该进程VAD树。结构树,这个结构通常在。
FindDllByVad遍历dll文件
小驹的专栏
01-09 1万+
vadRoot结构好像中有在sp2系统下有效,在sp3系统下调试时,会在遍历avl树的操作时蓝屏... 驱动层: .h /* FindDllByVad.H Author: Last Updated: 2007-07-06 This framework is generated by EasySYS 0.3.0 This template file is c
通过VAD树枚举进程DLL(通过processID)
03-20
通过VAD树枚举进程DLL,VAD(Virtual address descriptor) 是一棵平衡二叉搜索树。管理着一个进程的虚拟内存。当然其中也包含着一个进程的dll模块信息
window内核监控工具源代码
09-26
1遍历VAD来查找dll 2挂靠到对应的进程查找InLoadOrderLinks来枚举dll 3暴力搜索对应进程空间查找pe特征来枚举dll DLL的操作: Dll的卸载是通过MmUnmapViewOfSection和MmmapViewOfSection(从sdt表中相应函数搜索到...
x64下隐藏可执行内存
hongduilanjun的博客
09-14 2364
我们如果想要实现进程隐藏在3环通常会使用到PEB断链去达到隐藏进程的效果,但是那只是表面上的进程隐藏,所有内存的详细信息都会被储存在vad树里面,这里我们就来探究在64位下如何隐藏可执行内存。
Win32中管理虚拟内存
sonicdater的专栏
02-16 1372
Win32中管理虚拟内存Randy KathMicrosoft Developer Network 技术小组创建于:1993年1月20日单击此处以打开或复制 ProcessWalker 示例程序中的文件。该Win32 示例程序要求Microsoft Windows NT 的环境。摘要在Microsoft Windows NT 操作系统中,假如您对每组函数的功能,以及它们每
【随手写】Windows内核学习-内存篇-打印VAD
qq_39933891的博客
05-12 159
【代码】【随手写】Windows内核学习-内存篇-打印VAD树。
遍历Windows系统的内核模块(源码)
liujiayu2的专栏
05-31 1769
原文链接: http://blog.csdn.net/baggiowangyu/article/details/7094946 自己做了一个工具需要遍历Windows系统加载的内核模块信息,网上查了一些都是用Zwxxx内核函数来做。后来发现完全没必要...     直接上代码: [cpp] view plain copy
遍历vad二叉树来遍历进程里的模块
liuhaidon1992的博客
01-08 1072
/* 遍历vad二叉树来遍历进程里的模块 */ #include <ntifs.h> typedef struct _MMADDRESS_NODE { ULONG64 u1; struct _MMADDRESS_NODE* LeftChild; struct _MMADDRESS_NODE* RightChild; ULONG64 StartingVpn; ULONG...
8.3 Windows驱动开发:内核遍历文件或目录
最新发布
CSDN
11-21 6611
你是否会觉得很失望,为什么不是递归枚举,这里为大家解释一下,通常情况下ARK工具并不会在内核层实现目录与文件的递归操作,而是将递归过程搬到了应用层,当用户点击一个新目录时,在应用层只需要拼接新的路径再次发送给驱动程序让其重新遍历一份即可,这样不仅可以提高效率而且还降低了蓝屏的风险,显然在应用层遍历是更合理的。需要注意的是,使用ZwQueryDirectoryFile函数需要具有足够的权限,并且应该对返回的文件信息进行适当的处理,以避免潜在的安全问题。在概述中提到过,目录遍历的核心是。
内核中隐藏内存(VAD详解)
人生苦短,我用python
04-18 1256
VAD树以平衡二叉树的形式存储,记录了进程中每个内存区域的属性,如内存映射、保护等级和状态。隐藏内存的方法之一是修改目标进程VAD树。获取目标进程的EPROCESS结构:要操作VAD树,首先需要找到目标进程的EPROCESS结构。遍历VAD树:从根节点开始,遍历整个VAD树以查找与注入内存区域关联的节点。获取VAD树根节点:从EPROCESS结构中,可以找到VadRoot字段,它包含了VAD树的根节点。修改或删除VAD节点:找到相关节点后,可以删除或修改该节点以隐藏内存区域。
Windows内存管理:遍历VAD树获取进程DLL
在介绍完VAD树枚举DLL之后,我们简要地提到了字符串类型比较,这是在遍历进程中比较进程名时会用到的技术,确保我们找到了正确的进程。 接着,文章提到了Inline Hook技术,这是一种动态 Hook 方法,它直接修改函数...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值