深入浅析Windows内核——VAD篇

最新推荐文章于 2023-11-18 10:22:45 发布
最新推荐文章于 2023-11-18 10:22:45 发布
阅读量6.9k 收藏 6
点赞数 1
分类专栏: Windows内核学习 文章标签: windows struct descriptor table 数据结构 microsoft
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/saict/article/details/3572691
版权

深入浅析Windows内核——VAD

为何叫深入浅析呢?所谓深入指的是我们将要面对的是微软公开的Windows源码,适用于Windows XP/Windows Server 2003。所谓浅析当然是指本人水平有限,这能望文生义,做一做表面文章。

大家都知道,在x86的平台上Windows操作系统为每个进程描述了一个完整的4G的地址空间,这4G空间由低位2G的用户地址空间和高位2G的系统地址空间构成。每个进程的用户地址空间是相互隔离的,不可见的。但是系统地址空间是各个进程间共享的,对于进程有不同的视图。用户的私有的数据代码还有加载的动态链接库(DLL)都存放在用户地址空间中。现在有个问题是,总要有个地方记录着这2G地址空间,到底那些被预留了,那些被提交了,那些被访问了吧。还有个问题就是,对于程序来讲,地址不是连续的,是分段的。代码段、数据段、堆、栈等等。可是进程的空间是连续的,从0x00000000x7FFFFFF。总要有个数据结构描述程序的各个段对应那段地址空间。这两个重要任务就交个了VAD,即虚拟地址描述符(Virtual Address Descriptor)。

Windows中,每个进程是由一个EPROCESS结构描述的,这个结构里有一个域MM_AVL_TABLE VadRoot,这就是进程VAD的入口。MM_AVL_TABLE的结构定义如下:

typedef struct _MM_AVL_TABLE {

    MMADDRESS_NODE  BalancedRoot;

    ULONG_PTR DepthOfTree: 5;

    ULONG_PTR Unused: 3;

#if defined (_WIN64)

    ULONG_PTR NumberGenericTableElements: 56;

#else

    ULONG_PTR NumberGenericTableElements: 24;

#endif

    PVOID NodeHint;

    PVOID NodeFreeHint;

} MM_AVL_TABLE, *PMM_AVL_TABLE;

另外还有两个个相关的结构是MMVADMMADDRESS_NODE,定义如下:

typedef struct _MMVAD {

    union {

        LONG_PTR Balance : 2;

<

最低0.47元/天 解锁文章
SaiCT
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
内核中隐藏内存(VAD详解)
人生苦短,我用python
04-18 1119
VAD树以平衡二叉树的形式存储,记录了进程中每个内存区域的属性,如内存映射、保护等级和状态。隐藏内存的方法之一是修改目标进程的VAD树。获取目标进程的EPROCESS结构:要操作VAD树,首先需要找到目标进程的EPROCESS结构。遍历VAD树:从根节点开始,遍历整个VAD树以查找与注入内存区域关联的节点。获取VAD树根节点:从EPROCESS结构中,可以找到VadRoot字段,它包含了VAD树的根节点。修改或删除VAD节点:找到相关节点后,可以删除或修改该节点以隐藏内存区域。
探秘Windows研究内核(WRK):揭示操作系统的奥秘
最新发布
gitblog_00039的博客
06-07 277
探秘Windows研究内核(WRK):揭示操作系统的奥秘 项目地址:https://gitcode.com/zhuhuibeishadiao/ntoskrnl 1、项目介绍 Windows Research Kernel(WRK) 是一个源自真实Windows NT内核的源代码库,主要用于学术研究和教育目的。它提供了一个难得的机会,让我们能够深入了解操作系统核心的工作原理,而不只是局限于公开的AP...
【随手写】Windows内核学习-内存-打印VAD
qq_39933891的博客
05-12 125
【代码】【随手写】Windows内核学习-内存-打印VAD树。
4.6 Windows驱动开发:内核遍历进程VAD结构体
CSDN
11-18 1万+
总之,VAD结构是Windows操作系统中管理进程虚拟地址空间的重要数据结构之一,它通过构建一个树形结构来管理进程的虚拟地址空间,并提供了丰富的属性信息,使得操作系统可以对虚拟地址空间进行有效的管理和保护。系统在创建线程时,会为该线程分配一段物理内存页,并映射到该线程的栈空间中,然后将栈空间的起始地址记录在该线程的。EPROCESS 结构体是用于表示操作系统中的一个进程的数据结构,其中包含了许多与该进程相关的信息,包括了该进程的虚拟地址空间描述符树(VAD 结构树)。,树的每一个节点代表一段虚拟地址空间。
Windows x64隐藏可执行内存
鬼手的博客
12-04 6344
Windows x64隐藏可执行内存
vad_vad_
09-29
对于初学者或开发者来说,通过阅读和理解`vad.py`的代码,可以深入理解VAD的工作机制,并能够根据实际需求调整参数,优化检测效果。如果你需要进一步了解VAD的具体实现,或者想要自定义一个VAD系统,这个项目会是一...
VAD算法的源程序_vad_
09-30
VAD,全称为Voice Activity Detection,即语音活动检测,是一种在通信、音频处理和语音识别等领域广泛应用的技术。它主要用于识别音频流中是否存在有效的人声,从而过滤掉背景噪声或者静音段,提高信号处理的效率和...
VAD.rar_vad
09-22
声音变化检测(Voice Activity Detection,简称VAD)是一种在音频处理和通信技术中广泛应用的技术,其主要目的是识别和分离音频信号中的语音部分与非语音部分...对于进一步研究或实践VAD深入理解上述知识点至关重要。
vad.zip_vad matlab
07-15
【标题】"vad.zip_vad matlab" 是一个与语音识别相关的Matlab程序,它主要实现了语音...深入理解并研究`vad.m`的源代码,可以帮助我们更好地掌握VAD技术,并可能在此基础上开发出更高效、适应性更强的端点检测算法。
vad.zip_vad_端点检测
09-22
这是语音识别系统中的端点检测的程序,可以参考进行优化
探究Windows内核你知多少
热门推荐
博文视点(北京)官方博客
05-12 3万+
Windows内核      如上所述,现代操作系统的一个明显特征就是用户空间和系统空间的划分,从UNIX时代以来,人们一直把存在于系统空间的代码和数据的集合称为“内核(Kernel)”,因此内核是有明确边界的。空间的不同,或者说CPU运行模式(系统态和用户态)的不同,是不会被混淆的本质区别。可是,在Windows的术语中却不同,微软并不把系统空间的所有代码和数据的集合称为内核,而是把这里面的
驱动开发:内核遍历进程VAD结构体
CSDN
10-13 1万+
树的每一个节点代表一段虚拟地址空间。程序中的代码段,数据段,堆段都会各种占用一个或多个。结构体,需要说明的是栈并不受VAD的管理。同样这是微软定义,如果想要的到最新的,自己下载WinDBG调试内核输入命令。内存块的属性,这个内存结构定义在WinDBG中可看到。结构的偏移值,每个系统都不一样,版本不同偏移值会不同。当需要得到该进程的VAD结构时,只需要使用。结构中可以找到VAD结构的相对偏移。可以看到在本系统中VAD的偏移是。头文件,并写入如下代码,此处的。来显示该进程的VAD树。结构树,这个结构通常在。
【Window内核驱动开发】——内存映射的基本使用
zcr214的博客
11-28 1906
【我的】Window驱动开发——内存映射的基本使用 作者:zcr214 时间:2016/5/18   内存映射文件可以用于3个不同的目的。 •系统使用内存映射文件,以便加载和执行. exe和DLL文件。这可以大大节省页文件空间和应用程序启动运行所需的时间。 •可以使用内存映射文件来访问磁盘上的数据文件。这使你可以不必对文件执行I/O操作,并且可以不必对文件内容进行缓存。 •可以使用内存
win 10 64 14393遍历进程VAD
落笔飞花笑百生的博客
04-01 3178
typedef struct _SEGMENT{  /*(*((ntkrnlmp!_SEGMENT *)0xffffa405114286d0))[Type:_SEGMENT]   [+0x000] ControlArea      : 0xffffd18b3276d370[Type:_CONTROL_AREA *]   [+0x008] TotalNumberOfPtes : 0xa[Typ
VAD综述
shichaog的专栏
10-17 1万+
VAD广泛应用于语音编码(网络/无线/有线传输),说话认识和语音识别(ASR,基于机器学习的方法,也是经过VAD标注后的语音数据用于训练的,准确标注真实场景的带噪语音比较重要)。VAD的准确对前端算法也是比较关键的,这里所说的是语音/非语音(非语音/静音)检测,一个VAD系统通常包括两个部分,特征提取和语音/非语音判决;常用的特征提取可以分为五类: 基于能量 频域 倒谱 谐波 长时信息 基于能量
windows内核中Section/Segment/ControlArea/Subsection/MMVAD之间的关系
lixiangminghate的专栏
03-26 1920
Section/Segment/ControlArea/Subsection/MMVAD之间的关系不知道能不能这么理解: Section是内存映射的管理结构,内含Segment。当文件的内容被映射到内存后,Segment中的原型pte是指向 已经被映射到内存中的文件页面。而ControlArea也是一个管理结构,其后的Subsection中有大量的原型pte 这些原型pte指向即将被映射
Win7 x64 Vad遍历模块
zhuhuibeishadiao
12-06 5735
Win7x64 Vad遍历模块
python VAD
10-14
Python中的VAD是指语音活动检测(Voice Activity Detection),它可以识别出语音信号中的活动部分和非活动部分。在语音识别、语音合成、语音增强等领域都有广泛的应用。 常见的Python VAD库有py-webrtcvad和pydub。 py-webrtcvad是Google开源的WebRTC项目中的VAD模块的Python封装,可以实现高效的语音活动检测。 pydub是一个音频处理库,其中包含了VAD功能,可以方便地进行语音活动检测。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值