linux vad检测,VAD树结构体的属性以及遍历

最新推荐文章于 2023-04-18 10:42:54 发布
最新推荐文章于 2023-04-18 10:42:54 发布
阅读量536 收藏 1
点赞数
文章标签: linux vad检测

Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html

VAD树的属性以及遍历

前面学习过的PFNDATABSAE是管理物理页的,整个操作系统仅维护一个PFNDATABASE。

现在的VAD是管理虚拟内存的,每一个进程有自己单独的一个VAD树。

VAD树:

比如你使用VirtualAllocate函数申请一个内存,则会在VAD树上增加一个结点,其是_MMVAD结构体。

一个VAD结点可以有多个页,这在StartingVpn和EndingVpn会介绍。

当以MEN_SERVIED保留属性提交时,其只是在VAD树上挂上一个节点,真正提交时这棵树才是由意义的。

一、VAD结构体介绍

kd> dt _MMVAD

nt!_MMVAD

+0x000 StartingVpn      : Uint4B

+0x004 EndingVpn        : Uint4B

+0x008 Parent           : Ptr32 _MMVAD

+0x00c LeftChild        : Ptr32 _MMVAD

+0x010 RightChild       : Ptr32 _MMVAD

+0x014 u                : __unnamed

+0x018 ControlArea      : Ptr32 _CONTROL_AREA

+0x01c FirstPrototypePte : Ptr32 _MMPTE

+0x020 LastContiguousPte : Ptr32 _MMPTE

+0x024 u2               : __unnamed

1. StringVpn 起始页 / EndingVpn结束页

1)两者算法是不同的。起始页:startingVpn*0x1000/结束页:EndVpn*0x1000+0xfff。

2. Parent、LeftChild、RightChild - 其父节点、左子树、右子树。

1)我们遍历这些树时用到的就是这些结构体成员。

3. u - 其是_MMVAN_FLAGS属性,非常重要的。

kd> dt _MMVAD_FLAGS

nt!_MMVAD_FLAGS

+0x000 CommitCharge     : Pos 0, 19 Bits

+0x000 PhysicalMapping  : Pos 19, 1 Bit

+0x000 ImageMap         : Pos 20, 1 Bit

+0x000 UserPhysicalPages : Pos 21, 1 Bit

+0x000 NoChange         : Pos 22, 1 Bit

+0x000 WriteWatch       : Pos 23, 1 Bit

+0x000 Protection       : Pos 24, 5 Bits

+0x000 LargePages       : Pos 29, 1 Bit

+0x000 MemCommit        : Pos 30, 1 Bit

+0x000 PrivateMemory    : Pos 31, 1 Bit

1)CommitCharge  实际提交的页数。

其19Bits,我们内存低字节7ffffff,正好十九位。

比如我们以MEN_RESERVED保留形式提交了4页大小的内存,此时这里为2,将一页改为EXECUTE属性,这时这里就会变成2。

2)PyhsicalMapping:内核物理页映射。

3)UserPhysicalPages:内核物理页映射。

4)PrivateMemory:如果私有设置为1。

5)ImageMap:对dll/exe等文件进行保护,防止其被修改(使用映射写拷贝之类的原理)

如果ImageMap为1,PrivateMemory为0,说明其为DLL。

6)NoChange:关于锁页技术。当置为1,像VirtualProtect等函数不会改变其页的属性。

7)LargePage:标志是否为大页。

8)MemCommit:提交状态,只要提交就会置为1(CommitCharge存储提交了多少页)

9)Protection:3bit,关于保护(比如页的读写、可执行等)。

将其定义的值取出,赋值到该位。

4. ContraArea控制结构:

其指向一个_CONTROL_AREA的数据结构,该结构就暂不表述了。

1)_CONTROL_AREA+ 0x24 FilePointer,文件指针,指向一个_FILE_OBJECT结构体。

2)_FILE_OBJECT结构体中,保存着文件对象很多关键的信息。

a> +0x30 FileName 文件名

若想知道该页属于哪个文件,可以查看这里。

将.sys文件伪装成.dll文件,则必须修改这里。

b> +0x26-0x28 文件保护属性

比如一个文件被独占无法删除,在内核中你可以将DeleteAccess位置1,之后强制删除。

二、利用windbg遍历VAD树

1. 每个进程的VAD树存储在_EPROCESS+0x11c结构体中,其是ROOTVAD根结点。

4aad28c19822dc96d7c833c788dffd91.png

2. 获取每个进程的 _EPROCESS,使用指令!process 0 0,得到PROCESS的值就是指向_EPROCESS的指针。

bc1dbbc1afa9e20c0d4422d74c85fd21.png

3. 当获取VadRoot之后,可以使用 !vad VadRoot来显示该进程的VAD树。

b0497dd1af5ff11ea63b380cd84674f9.png

三、使用代码实现VAD树的遍历

代码核心就是先遍历进程找出目标进程(这里默认 test.exe),之后对目标进程的VAD树进行遍历。

1 #include

2

3

4 //---------------------//

5 // MMVAD结构体简单定义 //

6 //---------------------//

7 typedef struct _MMVAD {

8 ULONG StartingVpn;

9 ULONG EndingVpn;

10 struct _MMVAD * Parent;

11 struct _MMVAD * LeftChild;

12 struct _MMVAD * RightChild;

13 }MMVAD,*PMMVAD;

14

15

16

17 VOID Unload(IN PDRIVER_OBJECT pDriverObject) {

18 DbgPrint("Driver UnLoad!");

19 }

20

21 //-----------//

22 // 遍历VAD树 //

23 //-----------//

24 VOID vad_enum(PMMVAD pVad) {

25 if (pVad) {

26 DbgPrint("Start: %x | End: %x | \r\n", pVad->StartingVpn, pVad->EndingVpn);

27 if (pVad->LeftChild)

28 vad_enum(pVad->LeftChild);

29 if (pVad->RightChild)

30 vad_enum(pVad->RightChild);

31 }

32 }

33

34

35 //-------------------------------------------------------------//

36 // 在内核中进程遍历的原理就是先获取系统进程EPROCESS结构 //

37 // 然后依照其链表来获取其他的进程 //

38 // 依次遍历出来 //

39 //-------------------------------------------------------------//

40 NTSTATUS process_enum() {

41

42 PEPROCESS pEprocess = NULL; // 得到系统进程地址

43 PEPROCESS pFirstEprocess = NULL;

44 ULONG ulProcessName = 0; // 字符串指针,指向进程名称

45 ULONG ulProcessID = 0; // 进程ID

46 ANSI_STRING target_str; // 带检测进程的名称

47 ANSI_STRING ansi_string; //

48 ULONG VadRoot;

49

50 //----------------------------//

51 // 得到当前系统进程的EPROCESS //

52 //----------------------------//

53 pEprocess = PsGetCurrentProcess();

54 if (pEprocess == NULL) {

55 DbgPrint("获取当前系统进程EPROCESS错误..");

56 return STATUS_SUCCESS;

57 }

58 DbgPrint("pEprocess addr is %x0x8\r\n", pEprocess);

59 pFirstEprocess = pEprocess;

60

61 while (pEprocess) {

62

63 ulProcessName = (ULONG)pEprocess + 0x174;

64 ulProcessID = *(ULONG*)((ULONG)pEprocess + 0x84);

65 VadRoot = *(ULONG*)((ULONG)pEprocess + 0x11c);

66

67 //--------------------------------------//

68 // 将目标进程与当前进程的进程名进行对比 //

69 //--------------------------------------//

70 RtlInitAnsiString(&ansi_string, (PCSTR)ulProcessName);

71 RtlInitAnsiString(&target_str, "test.exe");

72 if (RtlEqualString(&ansi_string, &target_str, TRUE)) {

73 DbgPrint("检测到进程字符串,%x", ulProcessID);

74 vad_enum((PMMVAD)VadRoot); // 开始遍历目标进程的VAD树

75 return STATUS_SUCCESS;

76 }

77 pEprocess = (PEPROCESS)(*(ULONG*)((ULONG)pEprocess + 0x88) - 0x88);

78

79 if (pEprocess == pFirstEprocess || *(ULONG*)((ULONG)pEprocess + 0x84) <= 0) {

80 DbgPrint("遍历结束!未检测到进程ID!\r\n");

81 break;

82 }

83 }

84 return STATUS_SUCCESS;

85 }

86

87 NTSTATUS DriverEntry(IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING registeryPat) {

88 DbgPrint("Driver Loaded!");

89 pDriverObject->DriverUnload = Unload;

90 process_enum();

91 return STATUS_SUCCESS;

92 }

b739ec46bb5c46d9c0aa4ce35ba1ea56.png

关于找一找教程网

本站文章仅代表作者观点,不代表本站立场,所有文章非营利性免费分享。

本站提供了软件编程、网站开发技术、服务器运维、人工智能等等IT技术文章,希望广大程序员努力学习,让我们用科技改变世界。

[VAD树结构体的属性以及遍历]http://www.zyiz.net/tech/detail-93682.html

bibbobi
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
x64遍历VAD
My classmates
12-18 1736
#include &lt;ntifs.h&gt; typedef struct _MMADDRESS_NODE { ULONG64 u1; struct _MMADDRESS_NODE* LeftChild; struct _MMADDRESS_NODE* RightChild; ULONG64 StartingVpn; ULONG64 EndingVpn; }MMADDRESS_NOD...
wrk中描述进程VAD的AVL
死胖子的博客
03-12 1570
ntrtl.h //定义基础二叉以及基本方法。 splay.c //实现ntrtl.h中关于二叉的方法。 avltable.c //在ntrtl.h定义的二叉基础上实现avl 在ps.h //定义了VAL的节点定义 addrsup.c //在avltable的基础上实现对地址空间avl的一系列操作。 第一节 基础二叉定义和实现 在ntrtl.h中,定义和实现了
VAD语音活动检测库,linux下编译
11-11
本libvad库由web_rtc中单独抽取独立编译而成
通过VAD枚举进程DLL(通过processID)
03-20
通过VAD枚举进程DLL,VAD(Virtual address descriptor) 是一棵平衡二叉搜索。管理着一个进程的虚拟内存。当然其中也包含着一个进程的dll模块信息
linux vad检测,VAD 文件扩展名: 它是什么以及如何打开它?
weixin_32258691的博客
05-14 781
VAD 文件疑难解答 打开 VAD 文件的麻烦缺少 Global Mapper如果您尝试加载 VAD 文件,则会收到 “无法打开 VAD 文件” 等消息。 发生这种情况时,通常是由于 %%os%% 中缺少 Global Mapper。 你将无法双击以打开 VAD,因为你的操作系统不知道该怎么处理它。 提示:当你安装了另一个你知道将打开你的 VAD 的程序时,你可以从列出的其他程序中选择它(请参阅 ...
webrtc静音检测vad)部分单独封装使用
12-24
在WebRTC中,语音活动检测(Voice Activity Detection,VAD)是一项关键的技术,用于识别并区分语音和非语音信号,从而有效地节省带宽和提高通信质量。 静音检测VAD)是一种音频处理技术,用于判断输入的音频流...
语音边缘检测算法VAD检测.zip
06-19
语音边缘检测,也称为语音活动检测(Voice Activity Detection,VAD),是语音处理中的关键步骤,主要用于识别语音信号中的有声部分与无声部分。在VAD中,零熵法是一种常用的技术,它可以帮助我们有效地去除背景噪声...
vad.zip_vad_端点检测
09-22
这是语音识别系统中的端点检测的程序,可以参考进行优化
android webrtc vad(静音检测) demo
03-02
android webrtc vad(静音检测) demo webrtc的vad静音检测音频处理模块,含源码。VAD 录音过程中,实时检测当前是否有人在讲话(语音活动检测,或者叫静音检测)。讲话时webRtcVad_Process返回true,不讲话时返回...
VAD.zip_vad_交流采集_静音检测
09-24
在语音处理领域,VAD(Voice Activity Detection)即语音活动检测,是一种关键技术,用于识别音频流中的语音段和非语音段。它在多种应用中都起着重要作用,比如语音识别、电话会议、噪声抑制和音频编码等。在这个...
驱动开发:内核遍历进程VAD结构体
CSDN
10-13 1万+
的每一个节点代表一段虚拟地址空间。程序中的代码段,数据段,堆段都会各种占用一个或多个。结构体,需要说明的是栈并不受VAD的管理。同样这是微软定义,如果想要的到最新的,自己下载WinDBG调试内核输入命令。内存块的属性,这个内存结构定义在WinDBG中可看到。结构的偏移值,每个系统都不一样,版本不同偏移值会不同。当需要得到该进程的VAD结构时,只需要使用。结构中可以找到VAD结构的相对偏移。可以看到在本系统中VAD的偏移是。头文件,并写入如下代码,此处的。来显示该进程的VAD。结构,这个结构通常在。
windbg学习!vad
hgy413的专栏
02-10 3141
在ring0 !address不能提供详细的信息了 可以尝试用下!vad !vad扩展显示一个或多个虚拟地址详细的虚拟地址描述符(virtual address descriptor (VAD))。 语法 !vad VAD-Root [Flags]  参数 VAD-Root 指定要显示的VAD的根的16进制地址。 Flags 指定显示的格式。可能的值如下: 0
windows10驱动 x64--- 驱动实现遍历VAD(六)
weixin_41725706的博客
11-18 616
驱动层vad遍历
内核中隐藏内存(VAD详解)
人生苦短,我用python
04-18 1090
VAD以平衡二叉的形式存储,记录了进程中每个内存区域的属性,如内存映射、保护等级和状态。隐藏内存的方法之一是修改目标进程的VAD。获取目标进程的EPROCESS结构:要操作VAD,首先需要找到目标进程的EPROCESS结构。遍历VAD:从根节点开始,遍历整个VAD以查找与注入内存区域关联的节点。获取VAD根节点:从EPROCESS结构中,可以找到VadRoot字段,它包含了VAD的根节点。修改或删除VAD节点:找到相关节点后,可以删除或修改该节点以隐藏内存区域。
[Rootkit] dll 隐藏 - VAD
LYSM
06-10 1941
3环下要想隐藏dll,仅仅靠断链和抹去PE头信息是不够的;这样做能骗过同样在3环运行的调试器,但是骗不过在0环通过驱动做检测的PChunter、Process Hacker等工具;要想彻底隐藏,需要更进一步搞定驱动层的各种检测,下面会详细介绍隐藏的细节原理和操作方法! 1、VAD 虚拟内存管理 内存分两种:物理内存和虚拟内存;操作系统和进程共享物理内存,进程独享虚拟内存;物理内存可以通过CR3在进程之间互相隔离,确保进程之间互不侵犯;那么进程内部的虚拟地址该怎么管理了? 32位下,每个进程独享4GB内存,怎
EPROCESS 结构
swanabin的专栏
07-05 1万+
每个进程都有一个 EPROCESS 结构,里面保存着进程的各种信息,和相关结构的指针。EPROCESS 结构位于系统地址空间,所以访问这个结构需要有ring0的权限。使用 Win2k DDK 的 KD (内核调试器)我们可以得到 EPROCESS 结构的定义。注意下面的是 Win2k Build 2195 下的 EPROCESS 结构定义。 kd> !strct eprocess !s
利用windbg探索进程和进程上下文
一介渔夫
10-18 1万+
1.列出所有活动进程 使用!process命令可以打印出活动进程的信息。第一个参数是要打印的EPROCESS的地址,如果指定为0则表示打印所有的进程。第二个参数用于说明打印进程信息的详细级别。指定0则表示打印最简单的信息。 0: kd> !process 0 0 **** NT ACTIVE PROCESS DUMP **** PROCESS 821b7490 Session
语音识别之端点检测
热门推荐
I AM BACK
03-17 2万+
在之前呢我们已经把portaudio平台搭好了,可以采集声音信号并播放了。那么接下来呢我们就来做一些实质性的东西——自适应端点检测。那么什么是自适应端点检测呢?也就是采集声音信号的时候,开始说话到说话结束,我们把这一段声音信号采集下来进行处理。不然那么多信号都去处理,没有声音也处理那就浪费了很多的空间以及浪费了CPU去做后续的操作。后面的功夫是省了,但是前面的工作就多了。天下可没有白费的午餐!接下
语音发生检测VAD
10-12 6257
webrtc 的各个音频处理都很值得大家学习, 不说个人感觉最牛的aec, 就这个vad就很好! 基本实现思想是 通过把信号分为 6个频带,对各个子频带进行 噪声和语音 的高斯模型特征判决! 对不同的信号频率均降频到8k hz,内部对 16、24、32、48、做了分频 如果需要做不同信号频率的检测,需要单独做分频到8k。 判决参数均可调整: 个人新增
Android Studio实现VAD检测
最新发布
05-20
Android Studio可以通过使用Android的原生VAD(Voice Activity Detection)来实现语音检测。以下是一些步骤: 1. 添加依赖项:在项目的build.gradle文件中添加以下依赖项: ``` dependencies { implementation '...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值