Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html
VAD树的属性以及遍历
前面学习过的PFNDATABSAE是管理物理页的,整个操作系统仅维护一个PFNDATABASE。
现在的VAD是管理虚拟内存的,每一个进程有自己单独的一个VAD树。
VAD树:
比如你使用VirtualAllocate函数申请一个内存,则会在VAD树上增加一个结点,其是_MMVAD结构体。
一个VAD结点可以有多个页,这在StartingVpn和EndingVpn会介绍。
当以MEN_SERVIED保留属性提交时,其只是在VAD树上挂上一个节点,真正提交时这棵树才是由意义的。
一、VAD结构体介绍
kd> dt _MMVAD
nt!_MMVAD
+0x000 StartingVpn : Uint4B
+0x004 EndingVpn : Uint4B
+0x008 Parent : Ptr32 _MMVAD
+0x00c LeftChild : Ptr32 _MMVAD
+0x010 RightChild : Ptr32 _MMVAD
+0x014 u : __unnamed
+0x018 ControlArea : Ptr32 _CONTROL_AREA
+0x01c FirstPrototypePte : Ptr32 _MMPTE
+0x020 LastContiguousPte : Ptr32 _MMPTE
+0x024 u2 : __unnamed
1. StringVpn 起始页 / EndingVpn结束页
1)两者算法是不同的。起始页:startingVpn*0x1000/结束页:EndVpn*0x1000+0xfff。
2. Parent、LeftChild、RightChild - 其父节点、左子树、右子树。
1)我们遍历这些树时用到的就是这些结构体成员。
3. u - 其是_MMVAN_FLAGS属性,非常重要的。
kd> dt _MMVAD_FLAGS
nt!_MMVAD_FLAGS
+0x000 CommitCharge : Pos 0, 19 Bits
+0x000 PhysicalMapping : Pos 19, 1 Bit
+0x000 ImageMap : Pos 20, 1 Bit
+0x000 UserPhysicalPages : Pos 21, 1 Bit
+0x000 NoChange : Pos 22, 1 Bit
+0x000 WriteWatch : Pos 23, 1 Bit
+0x000 Protection : Pos 24, 5 Bits
+0x000 LargePages : Pos 29, 1 Bit
+0x000 MemCommit : Pos 30, 1 Bit
+0x000 PrivateMemory : Pos 31, 1 Bit
1)CommitCharge 实际提交的页数。
其19Bits,我们内存低字节7ffffff,正好十九位。
比如我们以MEN_RESERVED保留形式提交了4页大小的内存,此时这里为2,将一页改为EXECUTE属性,这时这里就会变成2。
2)PyhsicalMapping:内核物理页映射。
3)UserPhysicalPages:内核物理页映射。
4)PrivateMemory:如果私有设置为1。
5)ImageMap:对dll/exe等文件进行保护,防止其被修改(使用映射写拷贝之类的原理)
如果ImageMap为1,PrivateMemory为0,说明其为DLL。
6)NoChange:关于锁页技术。当置为1,像VirtualProtect等函数不会改变其页的属性。
7)LargePage:标志是否为大页。
8)MemCommit:提交状态,只要提交就会置为1(CommitCharge存储提交了多少页)
9)Protection:3bit,关于保护(比如页的读写、可执行等)。
将其定义的值取出,赋值到该位。
4. ContraArea控制结构:
其指向一个_CONTROL_AREA的数据结构,该结构就暂不表述了。
1)_CONTROL_AREA+ 0x24 FilePointer,文件指针,指向一个_FILE_OBJECT结构体。
2)_FILE_OBJECT结构体中,保存着文件对象很多关键的信息。
a> +0x30 FileName 文件名
若想知道该页属于哪个文件,可以查看这里。
将.sys文件伪装成.dll文件,则必须修改这里。
b> +0x26-0x28 文件保护属性
比如一个文件被独占无法删除,在内核中你可以将DeleteAccess位置1,之后强制删除。
二、利用windbg遍历VAD树
1. 每个进程的VAD树存储在_EPROCESS+0x11c结构体中,其是ROOTVAD根结点。
2. 获取每个进程的 _EPROCESS,使用指令!process 0 0,得到PROCESS的值就是指向_EPROCESS的指针。
3. 当获取VadRoot之后,可以使用 !vad VadRoot来显示该进程的VAD树。
三、使用代码实现VAD树的遍历
代码核心就是先遍历进程找出目标进程(这里默认 test.exe),之后对目标进程的VAD树进行遍历。
1 #include
2
3
4 //---------------------//
5 // MMVAD结构体简单定义 //
6 //---------------------//
7 typedef struct _MMVAD {
8 ULONG StartingVpn;
9 ULONG EndingVpn;
10 struct _MMVAD * Parent;
11 struct _MMVAD * LeftChild;
12 struct _MMVAD * RightChild;
13 }MMVAD,*PMMVAD;
14
15
16
17 VOID Unload(IN PDRIVER_OBJECT pDriverObject) {
18 DbgPrint("Driver UnLoad!");
19 }
20
21 //-----------//
22 // 遍历VAD树 //
23 //-----------//
24 VOID vad_enum(PMMVAD pVad) {
25 if (pVad) {
26 DbgPrint("Start: %x | End: %x | \r\n", pVad->StartingVpn, pVad->EndingVpn);
27 if (pVad->LeftChild)
28 vad_enum(pVad->LeftChild);
29 if (pVad->RightChild)
30 vad_enum(pVad->RightChild);
31 }
32 }
33
34
35 //-------------------------------------------------------------//
36 // 在内核中进程遍历的原理就是先获取系统进程EPROCESS结构 //
37 // 然后依照其链表来获取其他的进程 //
38 // 依次遍历出来 //
39 //-------------------------------------------------------------//
40 NTSTATUS process_enum() {
41
42 PEPROCESS pEprocess = NULL; // 得到系统进程地址
43 PEPROCESS pFirstEprocess = NULL;
44 ULONG ulProcessName = 0; // 字符串指针,指向进程名称
45 ULONG ulProcessID = 0; // 进程ID
46 ANSI_STRING target_str; // 带检测进程的名称
47 ANSI_STRING ansi_string; //
48 ULONG VadRoot;
49
50 //----------------------------//
51 // 得到当前系统进程的EPROCESS //
52 //----------------------------//
53 pEprocess = PsGetCurrentProcess();
54 if (pEprocess == NULL) {
55 DbgPrint("获取当前系统进程EPROCESS错误..");
56 return STATUS_SUCCESS;
57 }
58 DbgPrint("pEprocess addr is %x0x8\r\n", pEprocess);
59 pFirstEprocess = pEprocess;
60
61 while (pEprocess) {
62
63 ulProcessName = (ULONG)pEprocess + 0x174;
64 ulProcessID = *(ULONG*)((ULONG)pEprocess + 0x84);
65 VadRoot = *(ULONG*)((ULONG)pEprocess + 0x11c);
66
67 //--------------------------------------//
68 // 将目标进程与当前进程的进程名进行对比 //
69 //--------------------------------------//
70 RtlInitAnsiString(&ansi_string, (PCSTR)ulProcessName);
71 RtlInitAnsiString(&target_str, "test.exe");
72 if (RtlEqualString(&ansi_string, &target_str, TRUE)) {
73 DbgPrint("检测到进程字符串,%x", ulProcessID);
74 vad_enum((PMMVAD)VadRoot); // 开始遍历目标进程的VAD树
75 return STATUS_SUCCESS;
76 }
77 pEprocess = (PEPROCESS)(*(ULONG*)((ULONG)pEprocess + 0x88) - 0x88);
78
79 if (pEprocess == pFirstEprocess || *(ULONG*)((ULONG)pEprocess + 0x84) <= 0) {
80 DbgPrint("遍历结束!未检测到进程ID!\r\n");
81 break;
82 }
83 }
84 return STATUS_SUCCESS;
85 }
86
87 NTSTATUS DriverEntry(IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING registeryPat) {
88 DbgPrint("Driver Loaded!");
89 pDriverObject->DriverUnload = Unload;
90 process_enum();
91 return STATUS_SUCCESS;
92 }
关于找一找教程网
本站文章仅代表作者观点,不代表本站立场,所有文章非营利性免费分享。
本站提供了软件编程、网站开发技术、服务器运维、人工智能等等IT技术文章,希望广大程序员努力学习,让我们用科技改变世界。
[VAD树结构体的属性以及遍历]http://www.zyiz.net/tech/detail-93682.html