x64遍历VAD

最新推荐文章于 2023-05-12 13:41:59 发布
最新推荐文章于 2023-05-12 13:41:59 发布
阅读量1.8k 收藏 3
点赞数 1
CC 4.0 BY-SA版权
分类专栏: win64
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42052102/article/details/85082190
本文详细探讨了在x64体系结构中遍历虚拟地址描述符(VAD)的过程,涵盖了VAD的数据结构、遍历策略以及在内存管理中的关键作用。通过理解这一过程,读者将能更好地掌握操作系统如何管理和保护内存资源。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

#include <ntifs.h>
typedef struct _MMADDRESS_NODE
{
   
   
	ULONG64 u1;
	struct _MMADDRESS_NODE* LeftChild;
	struct _MMADDRESS_NODE* RightChild;
	ULONG64 StartingVpn;
	ULONG64 EndingVpn;
}MMADDRESS_NODE, *PMMADDRESS_NODE;
typedef struct _EX_FAST_REF
{
   
   
	union
	{
   
   
		PVOID Object;
		ULONG_PTR RefCnt : 3;
		ULONG_PTR Value;
	};
} EX_FAST_REF, *PEX_FAST_REF;
struct _SEGMENT
{
   
   
	struct _CONTROL_AREA* ControlArea; 
	ULONG TotalNumberOfPtes;
	ULONG SegmentFlags;
	ULONG64 NumberOfCommittedPages;
	ULONG64 SizeOfSegment; 
	union
	{
   
   
		struct _MMEXTEND_INFO* ExtendInfo;  
		void* BasedAddress; 
	};
	ULONG64 SegmentLock; 
	ULONG64 u1; 
	ULONG64 u2; 
	struct _MMPTE* PrototypePte; 
	ULONGLONG ThePtes[0x1]; 
};
//控制区
struct _CONTROL_AREA
{
   
   
	struct _SEGMENT* Segment;
	struct _LIST_ENTRY DereferenceList;
	unsigned __int64 NumberOfSectionReferences;
	unsigned __int64 NumberOfPfnReferences;
	unsigned __int64 NumberOfMappedViews;
	unsigned __int64 NumberOfUserReferences;
	ULONG  u; 
	ULONG FlushInProgressCount; 
	struct _EX_FAST_REF FilePointer; 
	
	/*ULONG ControlAreaLock;
	ULONG ModifiedWriteCount;
	ULONG Starti
最低0.47元/天 解锁文章

200万优质内容无限畅学
【实战】如何训练一个客服语音对话场景VAD模型
kakaZhui的博客
07-06 78
VAD本质上是一个二分类任务(语音/非语音),因此需要对音频进行逐帧(或逐时间段)的标注。标注工具:使用Audacity, Praat, Label-Studio等音频标注工具。标注粒度:通常以毫秒为单,标注出每个语音片段的起始和结束时间。明确标注规则核心问题:什么是“语音”?严格定义:只标注包含明确词义的人类说话声。宽松定义:除了说话声,还包括笑声、哭声、叹息、咳嗽等人类发出的声音。选择哪种定义取决于下游任务的需求。例如,如果下游需要分析客户情绪,那么哭声和笑声也应该被标注为“语音”。
win 10 64 14393遍历进程VAD
落笔飞花笑百生的博客
04-01 3340
typedef struct _SEGMENT{  /*(*((ntkrnlmp!_SEGMENT *)0xffffa405114286d0))[Type:_SEGMENT]   [+0x000] ControlArea      : 0xffffd18b3276d370[Type:_CONTROL_AREA *]   [+0x008] TotalNumberOfPtes : 0xa[Typ
Win7 x64 Vad遍历模块
zhuhuibeishadiao
12-06 6044
Win7x64 Vad遍历模块
windows10驱动 x64--- 驱动实现遍历VAD树(六)
weixin_41725706的博客
11-18 965
驱动层vad遍历
FindDllByVad遍历dll文件
小驹的专栏
01-09 1万+
vadRoot结构好像中有在sp2系统下有效,在sp3系统下调试时,会在遍历avl树的操作时蓝屏... 驱动层: .h /* FindDllByVad.H Author: Last Updated: 2007-07-06 This framework is generated by EasySYS 0.3.0 This template file is c
通过VAD树枚举进程DLL(通过processID)
03-20
通过VAD树枚举进程DLL,VAD(Virtual address descriptor) 是一棵平衡二叉搜索树。管理着一个进程的虚拟内存。当然其中也包含着一个进程的dll模块信息
x64下隐藏可执行内存
hongduilanjun的博客
09-14 2686
我们如果想要实现进程隐藏在3环通常会使用到PEB断链去达到隐藏进程的效果,但是那只是表面上的进程隐藏,所有内存的详细信息都会被储存在vad树里面,这里我们就来探究在64下如何隐藏可执行内存。
for x in utt2spk utt2uniq feats.scp vad.scp text segments utt2lang utt2dur utt2num_frames $maybe_wav $maybe_reco2dur $utt_extra_files; do if [ -f $data/$x ]; then cp $data/$x $data/.backup/$x if ! cmp -s $data/$x < "( subtools/kaldi/utils/filter_scp.pl $tmpdir/utts $data/$x )" ; then subtools/kaldi/utils/filter_scp.pl $tmpdir/utts $data/.backup/$x > $data/$x fi fi done
07-15
1. `for x in utt2spk utt2uniq feats.scp vad.scp text segments utt2lang utt2dur utt2num_frames $maybe_wav $maybe_reco2dur $utt_extra_files; do`:这一行定义了一个循环,遍历了一系列文件的变量名。 2. `if...
驱动开发:内核遍历进程VAD结构体
热门推荐
优快云
10-13 2万+
树的每一个节点代表一段虚拟地址空间。程序中的代码段,数据段,堆段都会各种占用一个或多个。结构体,需要说明的是栈并不受VAD的管理。同样这是微软定义,如果想要的到最新的,自己下载WinDBG调试内核输入命令。内存块的属性,这个内存结构定义在WinDBG中可看到。结构的偏移值,每个系统都不一样,版本不同偏移值会不同。当需要得到该进程的VAD结构时,只需要使用。结构中可以找到VAD结构的相对偏移。可以看到在本系统中VAD的偏移是。头文件,并写入如下代码,此处的。来显示该进程的VAD树。结构树,这个结构通常在。
遍历vad二叉树来遍历进程里的模块
liuhaidon1992的博客
01-08 1196
/* 遍历vad二叉树来遍历进程里的模块 */ #include <ntifs.h> typedef struct _MMADDRESS_NODE { ULONG64 u1; struct _MMADDRESS_NODE* LeftChild; struct _MMADDRESS_NODE* RightChild; ULONG64 StartingVpn; ULONG...
内存遍历工具
07-24
内存遍历工具,可以遍历程序内存,游戏内存
超级内存遍历工具
10-02
超级内存遍历工具
一款很强的 超级 内存遍历工具
01-18
做外挂就一定要遍历内存, 这个工具就帮助你这个,需要的来拿。。
C/C++ 进程无模块内存注入[x86/x64]
05-30
Windows R3 无模块注入,x86+x64通用,不支持异常处理,编译前关闭GS安全检查,VS2015所写,并无明显C++特征,兼容性极高
linux vad检测,VAD树结构体的属性以及遍历
weixin_32819955的博客
05-14 636
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.htmlVAD树的属性以及遍历前面学习过的PFNDATABSAE是管理物理页的,整个操作系统仅维护一个PFNDATABASE。现在的VAD是管理虚拟内存的,每一个进程有自己单独的一个VAD树。VAD树:比如你使用VirtualAllocate函数申请一个内存,则会在VAD树上...
【随手写】Windows内核学习-内存篇-打印VAD
qq_39933891的博客
05-12 245
【代码】【随手写】Windows内核学习-内存篇-打印VAD树。
JIURL玩玩Win2k内存篇 VAD
jiurl的专栏
08-15 3604
JIURL玩玩Win2k内存篇 VAD作者: JIURL                 主页: http://jiurl.yeah.net     日期: 2003-7-30     在程序中我们可以使用 VirtualAlloc 在用户地址空间(4G地址空间中的低2G)中申请(保留或者提交)
遍历Windows系统的内核模块(源码)
liujiayu2的专栏
05-31 1834
原文链接: http://blog.youkuaiyun.com/baggiowangyu/article/details/7094946 自己做了一个工具需要遍历Windows系统加载的内核模块信息,网上查了一些都是用Zwxxx内核函数来做。后来发现完全没必要...     直接上代码: [cpp] view plain copy
深入浅析Windows内核——VAD
SaiCT的专栏
12-21 7180
深入浅析Windows内核——VAD篇为何叫深入浅析呢?所谓深入指的是我们将要面对的是微软公开的Windows源码,适用于Windows XP/Windows Server 2003。所谓浅析当然是指本人水平有限,这能望文生义,做一做表面文章。大家都知道,在x86的平台上Windows操作系统为每个进程描述了一个完整的4G的地址空间,这4G空间由低2G的用户地址空间和高2G的系
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值