内核中隐藏内存(VAD详解)

最新推荐文章于 2024-07-25 17:24:15 发布
最新推荐文章于 2024-07-25 17:24:15 发布
阅读量1.1k 收藏
点赞数
文章标签: windows 驱动开发 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40335081/article/details/130216490
版权
VAD树以平衡二叉树的形式存储,记录了进程中每个内存区域的属性,如内存映射、保护等级和状态。隐藏内存的方法之一是修改目标进程的VAD树。获取目标进程的EPROCESS结构:要操作VAD树,首先需要找到目标进程的EPROCESS结构。遍历VAD树:从根节点开始,遍历整个VAD树以查找与注入内存区域关联的节点。获取VAD树根节点:从EPROCESS结构中,可以找到VadRoot字段,它包含了VAD树的根节点。修改或删除VAD节点:找到相关节点后,可以删除或修改该节点以隐藏内存区域。
摘要由CSDN通过智能技术生成

虚拟地址描述符(VAD)树是Windows操作系统中用于管理进程的虚拟地址空间的数据结构。VAD树以平衡二叉树的形式存储,记录了进程中每个内存区域的属性,如内存映射、保护等级和状态。VAD树对于内存管理、虚拟内存分配和内存分页等操作至关重要。

每个VAD节点都包含一个_VM_ADDRESS_DESCRIPTOR结构,其中包含以下关键信息:

  1. StartingVpn:内存区域的起始虚拟页号(VPN)。
  2. EndingVpn:内存区域的结束虚拟页号。
  3. u1.Parent:父VAD节点的指针。
  4. LeftChild:左子VAD节点的指针。
  5. RightChild:右子VAD节点的指针。
  6. ControlArea:关联控制区的指针,用于管理内存区域的文件映射和共享。
  7. Flags:描述内存区域属性的标志,如提交状态、保护等级和类型。

隐藏内存的方法之一是修改目标进程的VAD树。通过在树中删除或修改相应的节点,可以使恶意软件分析工具无法找到注入的内存区域。然而,这种方法需要深入了解Windows内核和内存管理,以及对VAD结构的操作。

以下是一般性的VAD树操作步骤,用于隐藏内存区域:

  1. 获取目标进程的EPROCESS结构:要操作VAD树,首先需要找到目标进程的EPROCESS结构。可以通过PsLookupProcessByProcessId等API获取EPROCESS结构。

  2. 获取VAD树根

最低0.47元/天 解锁文章
什么都没有丶
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
x64下隐藏可执行内存
hongduilanjun的博客
09-14 2264
我们如果想要实现进程隐藏在3环通常会使用到PEB断链去达到隐藏进程的效果,但是那只是表面上的进程隐藏,所有内存的详细信息都会被储存在vad树里面,这里我们就来探究在64位下如何隐藏可执行内存
Windows x64隐藏可执行内存
鬼手的博客
12-04 6344
Windows x64隐藏可执行内存
windows内核学习-内存管理
weixin_45880501的博客
09-29 1220
内存管理 使用virtualkd+windbg+winxp sp3 进行双机调试, kd> ! process 0 0 查看所有进程 查看notepad.exe进程EPROCESS结构体 kd> dt _EPROCESS 81c502a0 0x11c VADRoot :是一个搜索二叉树的入口点 ,树的每一个节点记录了被占用的虚拟内存地址空间,这个搜索二叉树就是VAD树。 VAD的属性以及遍历 VAD是管理虚拟内存的,每一个进程有自己单独的一个VAD树 使用VirtualAlloca
linux vad检测,VAD树结构体的属性以及遍历
weixin_32819955的博客
05-14 538
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.htmlVAD树的属性以及遍历前面学习过的PFNDATABSAE是管理物理页的,整个操作系统仅维护一个PFNDATABASE。现在的VAD是管理虚拟内存的,每一个进程有自己单独的一个VAD树。VAD树:比如你使用VirtualAllocate函数申请一个内存,则会在VAD树上...
Linux虚拟内存系统详解
dielv1458的博客
02-28 272
本文章以Linux为例,讲解一下虚拟内存系统的工作原理,windows系统的原理也是大同小异,有兴趣的读者可以自行查阅相关资料。 linux内核以及它管理用户内存的机制,下面我们以应用程序gonzo的内存示意图为例,进行详细说明。 Linux进程在内核是以一个task_struct实例来实现的,称为进程描述符。task_struct的mm字段指向了内存描述符,即mm_s...
linux 内存大页,Linux大页内存管理等---菜鸟初学
weixin_39953356的博客
04-30 189
1. 查看linux的内存情况:free -m2. 查看是否开启大页的方法:cat /proc/meminfo |grep -i HugePageAnonHugePages: 276480 kBHugePages_Total: 0HugePages_Free: 0HugePages_Rsvd: 0HugePages_Surp: 0Hugepag...
(EPROCESS/KPROCESS/ETHREAD/KTHREAD)进程与线程内核的结构
weixin_45678798的博客
07-27 1390
现代操作系统通过央处理器进行任务执行的操作,通过把时间细分,在适当的时间粒度上轮流执行任务,每个任务都有机会进行执行。通过这种方式用户会认为系统的任务是在同时进行的,这种并行方式被称为伪并行,当然如果存在多个处理器,也可变成真并行。...........................
克隆你的声音,可能只需要5秒钟:MockingBird实现AI拟声 (详解)
热门推荐
HowieXue 薛永浩的博客
04-13 5万+
语音克隆仅需5秒之:MockingBird实现AI拟 MockingBird1. 背景2. 环境搭建2.1 安装pytorch2.2 安装ffmpeg2.3 下载MockingBird源码2.4 安装requirements2.5. 下载预训练模型3. 运行MockingBrid 1. 背景 继“AI换脸”刷屏之后,这个AI换声技术也开始受到关注 AI换声也叫AI拟声, 2. 环境搭建 建议使用Anaconda,可参加之前博文 2.1 安装pytorch 这里我直接pip安装的CPU版本 pip3 in
软件调试详解
hongduilanjun的博客
05-31 2133
首发于奇安信攻防社区:https://forum.butian.net/share/1478在windows里面调试跟异常息息相关,如果想要对调试得心应手,异常处理的知识是必不可少的,本文主要介绍的是软件调试方面的有关知识,讲解调试程序和被调试程序之间如何建立联系调试器和被调试程序调试器与被调试程序之间建立起联系的两种方式CreateProcessDebugActiveProcess首先看一下调用的再调用通过调用号进入0环进入0环创建结构体 然后到里面看一下然后调用了创建结构返回句柄再回到,当前线程回0环创
MyHider.zip_peb_peb模块隐藏_vad_模块隐藏_进程隐藏
07-14
总的来说,"MyHider.zip"提供的示例将帮助开发者和安全研究者了解PEB和VAD隐藏技术的工作原理,以及如何在实际操作应用这些技术来隐藏进程和模块。通过学习和分析这个项目,可以提高对Windows内核安全性的理解和...
webrtcvad检测
01-08
在WebRTC,语音活动检测(VAD,Voice Activity Detection)是一个关键组件,用于识别音频流的语音段与非语音段,从而提高通信效率并降低带宽消耗。 VAD的主要作用是区分说话状态和静音状态,它通过分析音频信号...
webrtc静音检测(vad)部分单独封装使用
12-24
在WebRTC,语音活动检测(Voice Activity Detection,VAD)是一项关键的技术,用于识别并区分语音和非语音信号,从而有效地节省带宽和提高通信质量。 静音检测(VAD)是一种音频处理技术,用于判断输入的音频流...
vad_vad_
09-29
VAD,全称为Voice Activity Detection,文名为语音活动检测,是一种在音频处理非常重要的技术。它主要用于识别和提取音频的语音片段,过滤掉非语音部分,如静音、噪声等,从而提高语音处理系统的效率和准确性...
UEFI DebugLib 介绍
qq_43561214的博客
07-25 643
有多个Lib 对DebugPrintEnabled 做了定义,因此可以使用不同的Lib 让Debug()产生不同的效果,这点也适用于其他函数。UefiDebugLibConOut.inf 这个Lib就是开始我们提到的将debug信息打印到Shell 使用的Lib。当我们调试程序时,可以在可能有问题的地方插入一条 INT 3 指令,使 CPU 执行到这一点时停下来。当条件为假时,断言会触发错误处理机制,通常会导致程序。对于不同的架构实现方式可能不同,但是可以用同样的模块代码,通过替换Lib去替换实现函数。
qt开发:应用如何做静默升级更新
weixin_42602900的博客
07-24 390
qt开发:应用如何做静默升级更新
Q15 三数之和
最新发布
weixin_44554979的博客
07-25 211
我的思路,先排序,循环确定前两个值,最后一个值二分。最后两个值可以使用双指针,因为是有序的,而且是求和。
c++的递归拷贝(Recursive Copy)和递归反转链表(Recursive Reverse Linked List)
2401_84159494的博客
07-24 1132
hello大家好啊,这里是文宇,不是文字,是文宇哦。今日二更结束,睡觉。
【C#】在一个给定的宽、高范围内,获取到该多边形内部的所有坐标集合?
wangnaisheng的专栏
07-24 565
【C#】在一个给定的宽、高范围内,获取到该多边形内部的所有坐标集合?
webrtcvad模块下载
06-09
WebRTC(Web实时通信)是一个开源项目,用于实现实时通信功能,包括音频和视频通信。WebRTC已经内置了VAD(Voice Activity Detection,语音活动检测)模块,用于检测语音信号是否存在。 如果你需要使用WebRTCVAD模块,可以下载WebRTC源代码并编译。WebRTC的源代码可以从官方网站https://webrtc.org/获取。 具体步骤如下: 1. 下载WebRTC源代码 2. 配置编译环境 3. 编译WebRTC代码 4. 在编译后的WebRTC库使用VAD模块 请注意,这个过程可能比较复杂,需要一定的编程能力和经验。如果你只是需要使用VAD模块,可以考虑使用其他语音处理库,如Google的WebRTC VAD库。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值