【随手写】Windows内核学习-内存篇-打印VAD树

最新推荐文章于 2023-11-18 10:22:45 发布
最新推荐文章于 2023-11-18 10:22:45 发布
阅读量124 收藏
点赞数
文章标签: windows 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39933891/article/details/130640552
版权 
#include <ntddk.h>

NTSTATUS PsLookupProcessByProcessId(
	IN HANDLE    ProcessId,
	OUT PEPROCESS* Process
);

typedef struct {
	ULONG CommitCharge : 19;
	ULONG PhysicalMapping : 1;
	ULONG ImageMap : 1;
	ULONG UserPhysicalPages : 1;
	ULONG NoChange : 1;
	ULONG WriteWatch : 1;
	ULONG Protection : 5;
	ULONG LargePages : 1;
	ULONG MemCommit : 1;
	ULONG PrivateMemory : 1;
}MMVAD_FLAGS,*PMMVAD_FLAGS;

typedef struct {
	PUINT32 StartingVpn;
	PUINT32 EndingVpn;
	PUINT32 Parent;
	PUINT32 LeftChild;
	PUINT32 RightChild;
	MMVAD_FLAGS VadFlags;
	PUINT32 ControlArea;
	PUINT32 FirstPrototypePte;
	PUINT32 LastContiguousPte;
	PUINT32 u2;
}MMVAD,*PMMVAD;

VOID printTab(INT count) {
	for (size_t i = 0; i < count; i++)
	{
		DbgPrint("\t");
	}
}

VOID PrintVadRoot(PMMVAD vad,INT depth) {
	if (!vad) {
		return;
	}

	printTab(depth);
	DbgPrint("VAD: 『%#X』\n", vad);

	printTab(depth);
	DbgPrint("—StartingVpn:『%#X』\n", vad->StartingVpn);

	printTab(depth);
	DbgPrint("—EndingVpn:『%#X』\n", vad->EndingVpn);

	printTab(depth);
	DbgPrint("—MemCommit:『%d』\n", (&vad->VadFlags)->CommitCharge);

	printTab(depth);
	DbgPrint("—Protection:『%d』\n", (&vad->VadFlags)->Protection);

	printTab(depth);
	DbgPrint("—Parent:『%#X』\n", vad->Parent);

	printTab(depth);
	DbgPrint("—LeftChild:『%#X』\n", vad->LeftChild);
	PrintVadRoot(vad->LeftChild, depth + 1);

	printTab(depth);
	DbgPrint("—RightChild:『%#X』\n", vad->RightChild);
	PrintVadRoot(vad->RightChild, depth + 1);
	
}



NTSTATUS UnloadDriver(PDRIVER_OBJECT DriverObject)
{
	DbgPrint("驱动卸载成功\n");
	return STATUS_SUCCESS;
}

NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath)
{
	DriverObject->DriverUnload = UnloadDriver;
	DbgPrint("驱动已成功加载\n");


	UINT32 pid = 244;
	PCHAR eProcess = 0;
	PsLookupProcessByProcessId(pid, &eProcess);
	if (!eProcess) {
		DbgPrint("GG");
		return STATUS_SUCCESS;
	}
	PMMVAD VadRoot = *(PUINT32)(eProcess + 0x11c);
	if (!VadRoot) {
		DbgPrint("GGV");
		return STATUS_SUCCESS;
	}
	DbgPrint("EProcess -> %#X\n", eProcess);
	DbgPrint("VadRoot -> %#X\n", VadRoot);
	INT depth = 0;
	PMMVAD parent = VadRoot;
	while (parent->Parent != 0) {
		depth++;
		parent = parent->Parent;
	}
	PrintVadRoot(VadRoot,depth);

	return STATUS_SUCCESS;
}
暮诚Mucream
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
深入浅析Windows内核——VAD
SaiCT的专栏
12-21 6916
深入浅析Windows内核——VAD为何叫深入浅析呢?所谓深入指的是我们将要面对的是微软公开的Windows源码,适用于Windows XP/Windows Server 2003。所谓浅析当然是指本人水平有限,这能望文生义,做一做表面文章。大家都知道,在x86的平台上Windows操作系统为每个进程描述了一个完整的4G的地址空间,这4G空间由低位2G的用户地址空间和高位2G的系
windbg学习!vad
hgy413的专栏
02-10 3141
在ring0 !address不能提供详细的信息了 可以尝试用下!vad !vad扩展显示一个或多个虚拟地址详细的虚拟地址描述符(virtual address descriptor (VAD))。 语法 !vad VAD-Root [Flags]  参数 VAD-Root 指定要显示的VAD的根的16进制地址。 Flags 指定显示的格式。可能的值如下: 0
内核中隐藏内存(VAD详解)
人生苦短,我用python
04-18 1089
VAD以平衡二叉的形式存储,记录了进程中每个内存区域的属性,如内存映射、保护等级和状态。隐藏内存的方法之一是修改目标进程的VAD。获取目标进程的EPROCESS结构:要操作VAD,首先需要找到目标进程的EPROCESS结构。遍历VAD:从根节点开始,遍历整个VAD以查找与注入内存区域关联的节点。获取VAD根节点:从EPROCESS结构中,可以找到VadRoot字段,它包含了VAD的根节点。修改或删除VAD节点:找到相关节点后,可以删除或修改该节点以隐藏内存区域。
Windows x64隐藏可执行内存
鬼手的博客
12-04 6271
Windows x64隐藏可执行内存
vad.zip_vad_vad-1_语音方差
07-15
【标题】"vad.zip_vad_vad-1_语音方差" 提供的是一个关于语音检测技术的资源包,其中包含使用MATLAB和C语言编的代码。VAD是Voice Activity Detection(语音活动检测)的缩,是一种在音频处理和通信领域广泛使用...
silero-vad:Silero VAD:经过培训的企业级语音活动和数字检测器
02-12
Silero VAD Silero VAD:经过培训的企业级语音活动检测器(VAD),数字检测器和语言分类器。 企业级语音产品变得非常简单(请参阅我们的模型)。 当前,除WebRTC语音活动检测器()外,几乎没有任何高质量/现代/...
python-vad-master.zip_Python VAD文件_python vad实现_python vad_spee
07-14
该"python-vad-master.zip"压缩包包含了一个Python实现的VAD项目,名为"python-vad-master"。这个项目可能是基于开源库,如webrtcvad(WebRTC Voice Activity Detector),这是一个广泛使用的VAD库,适用于实时通信...
python-vad:py-webrtcvad包装器,用于修剪语音剪辑
05-27
略微改变了在vad中预处理波形的方法。 对python 2.x的支持终止。 您可以在example.ipynb看到新的API。 以前的版本是0.0.8。 $ pip install pyvad==0.0.8要求 , 和 。安装通过点$ pip install pyvad 或者来自github...
sic:枚举Windows上的用户模式共享内存映射
05-11
共享很重要-枚举Windows上的共享内存映射概述该实用工具枚举Windows进程中映射的各种共享内存区域。 SiC利用Windows驱动程序和 API扫描正在运行的进程并找到所述区域。准备运行的二进制文件可以在部分中下载。 特别...
4.6 Windows驱动开发:内核遍历进程VAD结构体
最新发布
CSDN
11-18 1万+
总之,VAD结构是Windows操作系统中管理进程虚拟地址空间的重要数据结构之一,它通过构建一个形结构来管理进程的虚拟地址空间,并提供了丰富的属性信息,使得操作系统可以对虚拟地址空间进行有效的管理和保护。系统在创建线程时,会为该线程分配一段物理内存页,并映射到该线程的栈空间中,然后将栈空间的起始地址记录在该线程的。EPROCESS 结构体是用于表示操作系统中的一个进程的数据结构,其中包含了许多与该进程相关的信息,包括了该进程的虚拟地址空间描述符VAD 结构)。,的每一个节点代表一段虚拟地址空间。
WIN10 19043 VAD节点结构分析
qq_41490873的博客
10-14 1050
断在第一个vad节点,查看此时的VAD节点值 0: kd> ??VadRoot struct _MMVAD * 0xffffe10b`4a6e0990 +0x000 Core : _MMVAD_SHORT +0x040 u2 : 0xc000000 +0x044 _PADDING0_ : [4] "" +0x048 Subsection : 0xffffe10b`49efd560 _SUBSECTI.
win 10 64 14393遍历进程VAD
落笔飞花笑百生的博客
04-01 3166
typedef struct _SEGMENT{  /*(*((ntkrnlmp!_SEGMENT *)0xffffa405114286d0))[Type:_SEGMENT]   [+0x000] ControlArea      : 0xffffd18b3276d370[Type:_CONTROL_AREA *]   [+0x008] TotalNumberOfPtes : 0xa[Typ
VAD
salt0317的博客
04-15 1675
转载于:https://blog.csdn.net/c602273091/article/details/44340451 《语音识别之端点检测》 https://blog.csdn.net/ffmpeg4976/article/details/52349007 《详解语音处理检测技术中的热点--端点检测、降噪和压缩》 https://www.zhihu.com/...
VAD综述
shichaog的专栏
10-17 1万+
VAD广泛应用于语音编码(网络/无线/有线传输),说话认识和语音识别(ASR,基于机器学习的方法,也是经过VAD标注后的语音数据用于训练的,准确标注真实场景的带噪语音比较重要)。VAD的准确对前端算法也是比较关键的,这里所说的是语音/非语音(非语音/静音)检测,一个VAD系统通常包括两个部分,特征提取和语音/非语音判决;常用的特征提取可以分为五类: 基于能量 频域 倒谱 谐波 长时信息 基于能量
VAD(Voice Activity Detection)算法详解
热门推荐
James_bobo的博客
04-28 2万+
Voice Activity Detection (VAD) 在语音信号处理中,例如语音增强,语音识别等领域有着非常重要的作用。它的作用是从一段语音(纯净或带噪)信号中标识出语音片段与非语音片段。VAD系统通常包括两个部分,特征提取和语音/非语音判决; 常用的特征提取可以分为五类: 基于能量 基于能量的准则是检测信号的强度,并且假设语音能量大于背景噪声能量,这样当能量大于某一门限时,可以认为有语...
Win7 x64 Vad遍历模块
zhuhuibeishadiao
12-06 5730
Win7x64 Vad遍历模块
一款强大的实时VAD工具
码匀的博客
12-22 2187
目录Windows报错处理为什么选择webrtcvadVAD示例 语音处理的vad一般来说都是不可少的,如实时语音检测以及声纹注册等,本介绍的是来自谷歌网络实时通信(webrtc)的一款开源 API,named webrtcvadWindows报错处理 该工具正常情况可以在Linux下无错安装,但在Windows平台则容易报错,如下图: 看提示就知道是因为缺少C++编译环境,代表这款API底层还是C++,根据提示安装即可,找到 Visual Studio 官网,之后下载Visual Studio,安
VAD 虚拟内存
Misaka10046的博客
04-20 3068
Windows中的虚拟地址分配 使用指令dt _EPROCESS 874ed030 观察EPROCESS结构体偏移为0x278的地方,这个地方就是系统拿来存放每个进程的虚拟地址空间的分配情况 输入!vad 874ed030+278 查看该平衡二叉 Level是二叉的层数 start是该块虚拟地址空间的起始地址 end为结束地址 commit为请求次数 一段程序测试下 #include<stdio.h> #include<Windows.h> int main() {
lm2596hvs-5.0vad封装
05-13
LM2596HVS-5.0VAD是一款转换电源芯片,具有5V输出电压。它采用TO-263封装,是一种中电压NPN型开关稳压器。这种芯片广泛应用于各种电子设备中,尤其是需要稳定输出电压的场合。LM2596HVS-5.0VAD的封装结构紧凑,散热...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值