遍历vad二叉树来遍历进程里的模块

最新推荐文章于 2022-11-18 09:37:44 发布
原创 最新推荐文章于 2022-11-18 09:37:44 发布 · 1.2k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#vad

本文介绍了一种通过遍历VAD(Virtual Address Descriptor)二叉树来获取进程中的模块信息的方法。该方法利用Windows内核提供的数据结构,如MMVAD、MMADDRESS_NODE等,递归地遍历进程的虚拟地址空间,提取每个模块的基地址和大小,并尝试获取模块的文件路径。这种方法对于理解和分析进程加载的DLL和EXE非常有用。 
/*
 遍历vad二叉树来遍历进程里的模块
*/

#include <ntifs.h>

typedef struct _MMADDRESS_NODE
{
	ULONG64 u1;
	struct _MMADDRESS_NODE* LeftChild;
	struct _MMADDRESS_NODE* RightChild;
	ULONG64 StartingVpn;
	ULONG64 EndingVpn;
}MMADDRESS_NODE, *PMMADDRESS_NODE;
typedef struct _EX_FAST_REF
{
	union
	{
		PVOID Object;
		ULONG_PTR RefCnt : 3;
		ULONG_PTR Value;
	};
} EX_FAST_REF, *PEX_FAST_REF;
struct _SEGMENT
{
	struct _CONTROL_AREA* ControlArea;
	ULONG TotalNumberOfPtes;
	ULONG SegmentFlags;
	ULONG64 NumberOfCommittedPages;
	ULONG64 SizeOfSegment;
	union
	{
		struct _MMEXTEND_INFO* ExtendInfo;
		void* BasedAddress;
	};
	ULONG64 SegmentLock;
	ULONG64 u1;
	ULONG64 u2;
	struct _MMPTE* PrototypePte;
	ULONGLONG ThePtes[0x1];
};
//控制区
struct _CONTROL_AREA
{
	struct _SEGMENT* Segment;
	struct _LIST_ENTRY DereferenceList;
	unsigned __int64 NumberOfSectionReferences;
	unsigned __int64 NumberOfPfnReferences;
	unsigned __int64 NumberOfMappedViews;
	unsigned __int64 NumberOfUserReferences;
最低0.47元/天 解锁文章
x64遍历VAD
My classmates
12-18 1869
#include &lt;ntifs.h&gt; typedef struct _MMADDRESS_NODE { ULONG64 u1; struct _MMADDRESS_NODE* LeftChild; struct _MMADDRESS_NODE* RightChild; ULONG64 StartingVpn; ULONG64 EndingVpn; }MMADDRESS_NOD...
[Rootkit] dll 隐藏 - VAD
墨鱼菜鸡
06-10 652
3环下要想隐藏dll,仅仅靠断链和抹去PE头信息是不够的;这样做能骗过同样在3环运行的调试器,但是骗不过在0环通过驱动做检测的PChunter、Process Hacker等工具;要想彻底隐藏,需要更进一步搞定驱动层的各种...
Win7 x64 Vad遍历模块
zhuhuibeishadiao
12-06 6128
Win7x64 Vad遍历模块
通过VAD树枚举进程DLL(通过processID)
03-20
通过VAD树枚举进程DLL,VAD(Virtual address descriptor) 是一棵平衡二叉搜索树。管理着一个进程的虚拟内存。当然其中也包含着一个进程的dll模块信息
FindDllByVad遍历dll文件
小驹的专栏
01-09 1万+
vadRoot结构好像中有在sp2系统下有效,在sp3系统下调试时,会在遍历avl树的操作时蓝屏... 驱动层: .h /* FindDllByVad.H Author: Last Updated: 2007-07-06 This framework is generated by EasySYS 0.3.0 This template file is c
驱动开发:内核遍历进程VAD结构体
热门推荐
优快云
10-13 2万+
树的每一个节点代表一段虚拟地址空间。程序中的代码段,数据段,堆段都会各种占用一个或多个。结构体,需要说明的是栈并不受VAD的管理。同样这是微软定义,如果想要的到最新的,自己下载WinDBG调试内核输入命令。内存块的属性,这个内存结构定义在WinDBG中可看到。结构的偏移值,每个系统都不一样,版本不同偏移值会不同。当需要得到该进程VAD结构时,只需要使用。结构中可以找到VAD结构的相对偏移。可以看到在本系统中VAD的偏移是。头文件,并写入如下代码,此处的。来显示该进程VAD树。结构树,这个结构通常在。
x64下隐藏可执行内存
hongduilanjun的博客
09-14 2775
我们如果想要实现进程隐藏在3环通常会使用到PEB断链去达到隐藏进程的效果,但是那只是表面上的进程隐藏,所有内存的详细信息都会被储存在vad面,这我们就来探究在64位下如何隐藏可执行内存。
从DbgView探究Windows内存管理笔记
0xDQ的博客
04-29 966
0x00 前言 讲内存管理单纯的理论比较空洞,所以本文从探究DebugVeiw的内存分布开始,来探究windows系统的内存管理。 因为windows内存管理使用的是二叉树来实现的,所以在开始探究之前,可以先去了解二叉树这一数据结构。 ...
内存取证
最新发布
03-13
这种方法通过对每个进程中由 Windows 内存管理器维护的一系列 VAD 节点进行遍历访问,从而获取关于进程地址空间布局的具体细节。具体而言,可以通过 EPROCESS 数据结构内的 VadRoot 字段定位至一棵平衡二叉树的根...
linux vad检测,VAD树结构体的属性以及遍历
weixin_32819955的博客
05-14 662
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.htmlVAD树的属性以及遍历前面学习过的PFNDATABSAE是管理物理页的,整个操作系统仅维护一个PFNDATABASE。现在的VAD是管理虚拟内存的,每一个进程有自己单独的一个VAD树。VAD树:比如你使用VirtualAllocate函数申请一个内存,则会在VAD树上...
内存无模块注入DLL易语言源码
09-19
将自身的功能DLL加载进资源中,然后编译成为注入DLL,然后把注入DLL注入到指定的程序中,该注入DLL就会把你的功能DLL采用重定位的方式注入到进程中,并把注入DLL自身卸载,实现无API无ldr无vad记录注入。最有效化隐藏自身功能DLL。
MyHider.zip_peb_peb模块隐藏_vad_模块隐藏_进程隐藏
07-14
一个用来隐藏进程、通过修改PEB隐藏进程模块、通过修改VAD树隐藏进程模块的示例驱动,注释良好,适合初学者。
win 10 64 14393遍历进程VAD
落笔飞花笑百生的博客
04-01 3400
typedef struct _SEGMENT{  /*(*((ntkrnlmp!_SEGMENT *)0xffffa405114286d0))[Type:_SEGMENT]   [+0x000] ControlArea      : 0xffffd18b3276d370[Type:_CONTROL_AREA *]   [+0x008] TotalNumberOfPtes : 0xa[Typ
模块隐藏
diheqiu3577的博客
07-07 401
1.模块隐藏之断链   TEB它记录的相关线程的信息,每一个线程都有自己的TEB,FS:[0]即是当前线程的TEB.             MOV eax,fs:[0]    2.  PEB存放进程信息,每个进程都有自己的PEB信息,TEB偏移0x30即当前进程的PEB;             MOV eax,fs:[0x30]             mov ...
windows10驱动 x64--- 驱动实现遍历VAD树(六)
weixin_41725706的博客
11-18 1023
驱动层vad遍历
隐藏内核模块的方法
06-30 2094
在rootkit.com上一个russian hacker发的文章中提到这两种方法,和他交流了下,在llroot中实现了,代码贴出来灌水:/********************************************************************************** The following routines implement hide dri
深入浅析Windows内核——VAD
SaiCT的专栏
12-21 7282
深入浅析Windows内核——VAD篇为何叫深入浅析呢?所谓深入指的是我们将要面对的是微软公开的Windows源码,适用于Windows XP/Windows Server 2003。所谓浅析当然是指本人水平有限,这能望文生义,做一做表面文章。大家都知道,在x86的平台上Windows操作系统为每个进程描述了一个完整的4G的地址空间,这4G空间由低位2G的用户地址空间和高位2G的系
模块枚举(枚举隐藏模块
huanongying131的博客
06-21 1582
转:https://www.cnblogs.com/xiaojinma/archive/2012/12/06/2805399.html
jeecgboot的autopoi模板导出的写法
新手是谁?
10-02 2890
不废话,直接贴代码 1.在 jeecg-boot/jeecg-boot-module-system/src/main/resources文件夹下建立模板文件夹,本文用的是“exportTemplate”,如下图。 2.模板按官方教程的写法弄好。 3.开始正式代码 3.1 获取模板文件的函数 public static TemplateExportParams getTemplateParams(String name){ return new TemplateExportParams
Windows内存管理:遍历VAD树获取进程DLL
"本文主要介绍了如何通过VAD树来枚举进程中的DLL,并涉及Windows内存管理、内核级操作以及Inline Hook技术。" 在Windows操作系统中,内存管理是至关重要的,它确保了进程间的隔离和有效利用物理内存。VAD(Virtual ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值