VAD树结构体的属性以及遍历
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html
VAD树的属性以及遍历
前面学习过的PFNDATABSAE是管理物理页的,整个操作系统仅维护一个PFNDATABASE。
现在的VAD是管理虚拟内存的,每一个进程有自己单独的一个VAD树。
VAD树:
- 比如你使用VirtualAllocate函数申请一个内存,则会在VAD树上增加一个结点,其是_MMVAD结构体。
- 一个VAD结点可以有多个页,这在StartingVpn和EndingVpn会介绍。
- 当以MEN_SERVIED保留属性提交时,其只是在VAD树上挂上一个节点,真正提交时这棵树才是由意义的。
一、VAD结构体介绍
kd> dt _MMVAD
nt!_MMVAD
+0x000 StartingVpn : Uint4B
+0x004 EndingVpn : Uint4B
+0x008 Parent : Ptr32 _MMVAD
+0x00c LeftChild : Ptr32 _MMVAD
+0x010 RightChild : Ptr32 _MMVAD
+0x014 u : __unnamed
+0x018 ControlArea : Ptr32 _CONTROL_AREA
+0x01c FirstPrototypePte : Ptr32 _MMPTE
+0x020 LastContiguousPte : Ptr32 _MMPTE
+0x024 u2 : __unnamed
1. StringVpn 起始页 / EndingVpn结束页
1)两者算法是不同的。起始页:startingVpn*0x1000/结束页:EndVpn*0x1000+0xfff。
2. Parent、LeftChild、RightChild - 其父节点、左子树、右子树。
1)我们遍历这些树时用到的就是这些结构体成员。
3. u - 其是_MMVAN_FLAGS属性,非常重要的。
kd> dt _MMVAD_FLAGS
nt!_MMVAD_FLAGS
+0x000 CommitCharge : Pos 0, 19 Bits
+0x000 PhysicalMapping : Pos 19, 1 Bit
+0x000 ImageMap : Pos 20, 1 Bit
+0x000 UserPhysicalPages : Pos 21, 1 Bit
+0x000 NoChange : Pos 22, 1 Bit
+0x000 WriteWatch : Pos 23, 1 Bit
+0x000 Protection : Pos 24, 5 Bits
+0x000 LargePages : Pos 29, 1 Bit
+0x000 MemCommit : Pos 30, 1 Bit
+0x000 PrivateMemory : Pos 31, 1 Bit
1)CommitCharge 实际提交的页数。
其19Bits,我们内存低字节7ffffff,正好十九位。
比如我们以MEN_RESERVED保留形式提交了4页大小的内存,此时这里为2,将一页改为EXECUTE属性,这时这里就会变成2。
2)PyhsicalMapping:内核物理页映射。
3)UserPhysicalPages:内核物理页映射。
4)PrivateMemory:如果私有设置为1。
5)ImageMap:对dll/exe等文件进行保护,防止其被修改(使用映射写拷贝之类的原理)
如果ImageMap为1,PrivateMemory为0,说明其为DLL。
6)NoChange:关于锁页技术。当置为1,像VirtualProtect等函数不会改变其页的属性。
7)LargePage:标志是否为大页。
8)MemCommit:提交状态,只要提交就会置为1(CommitCharge存储提交了多少页)
9)Protection:3bit,关于保护(比如页的读写、可执行等)。
下面介绍了其对应相关文件的对应关系,看这个很好理解。
这篇博客详细介绍了R3与R0中页面保护的对应关系:R3环申请内存时页面保护与_MMVAD_FLAGS位的对应关系
4. ContraArea 控制结构 :
其指向一个_CONTROL_AREA的数据结构,该结构就暂不表述了。
1)_CONTROL_AREA+ 0x24 FilePointer,文件指针,指向一个_FILE_OBJECT结构体。
2)_FILE_OBJECT结构体中,保存着文件对象很多关键的信息。
a> +0x30 FileName 文件名
若想知道该页属于哪个文件,可以查看这里。
将.sys文件伪装成.dll文件,则必须修改这里。
b> +0x26-0x28 文件保护属性
比如一个文件被独占无法删除,在内核中你可以将DeleteAccess位置1,之后强制删除。
二、利用windbg遍历VAD树
1. 每个进程的VAD树存储在_EPROCESS+0x11c结构体中,其是ROOTVAD根结点。
2. 获取每个进程的 _EPROCESS,使用指令!process 0 0,得到PROCESS的值就是指向_EPROCESS的指针。
3. 当获取VadRoot之后,可以使用 !vad VadRoot来显示该进程的VAD树。
三、使用代码实现VAD树的遍历
代码核心就是先遍历进程找出目标进程(这里默认 test.exe),之后对目标进程的VAD树进行遍历。
#include <ntddk.h> //---------------------//
// MMVAD结构体简单定义 //
//---------------------//
typedef struct _MMVAD {
ULONG StartingVpn;
ULONG EndingVpn;
struct _MMVAD * Parent;
struct _MMVAD * LeftChild;
struct _MMVAD * RightChild;
}MMVAD,*PMMVAD; VOID Unload(IN PDRIVER_OBJECT pDriverObject) {
DbgPrint("Driver UnLoad!");
} //-----------//
// 遍历VAD树 //
//-----------//
VOID vad_enum(PMMVAD pVad) {
if (pVad) {
DbgPrint("Start: %x | End: %x | \r\n", pVad->StartingVpn, pVad->EndingVpn);
if (pVad->LeftChild)
vad_enum(pVad->LeftChild);
if (pVad->RightChild)
vad_enum(pVad->RightChild);
}
} //-------------------------------------------------------------//
// 在内核中进程遍历的原理就是先获取系统进程EPROCESS结构 //
// 然后依照其链表来获取其他的进程 //
// 依次遍历出来 //
//-------------------------------------------------------------//
NTSTATUS process_enum() { PEPROCESS pEprocess = NULL; // 得到系统进程地址
PEPROCESS pFirstEprocess = NULL;
ULONG ulProcessName = ; // 字符串指针,指向进程名称
ULONG ulProcessID = ; // 进程ID
ANSI_STRING target_str; // 带检测进程的名称
ANSI_STRING ansi_string; //
ULONG VadRoot; //----------------------------//
// 得到当前系统进程的EPROCESS //
//----------------------------//
pEprocess = PsGetCurrentProcess();
if (pEprocess == NULL) {
DbgPrint("获取当前系统进程EPROCESS错误..");
return STATUS_SUCCESS;
}
DbgPrint("pEprocess addr is %x0x8\r\n", pEprocess);
pFirstEprocess = pEprocess; while (pEprocess) { ulProcessName = (ULONG)pEprocess + 0x174;
ulProcessID = *(ULONG*)((ULONG)pEprocess + 0x84);
VadRoot = *(ULONG*)((ULONG)pEprocess + 0x11c); //--------------------------------------//
// 将目标进程与当前进程的进程名进行对比 //
//--------------------------------------//
RtlInitAnsiString(&ansi_string, (PCSTR)ulProcessName);
RtlInitAnsiString(&target_str, "test.exe");
if (RtlEqualString(&ansi_string, &target_str, TRUE)) {
DbgPrint("检测到进程字符串,%x", ulProcessID);
vad_enum((PMMVAD)VadRoot); // 开始遍历目标进程的VAD树
return STATUS_SUCCESS;
}
pEprocess = (PEPROCESS)(*(ULONG*)((ULONG)pEprocess + 0x88) - 0x88); if (pEprocess == pFirstEprocess || *(ULONG*)((ULONG)pEprocess + 0x84) <= ) {
DbgPrint("遍历结束!未检测到进程ID!\r\n");
break;
}
}
return STATUS_SUCCESS;
} NTSTATUS DriverEntry(IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING registeryPat) {
DbgPrint("Driver Loaded!");
pDriverObject->DriverUnload = Unload;
process_enum();
return STATUS_SUCCESS;
}
最新文章
- Windows平台分布式架构实践 - 负载均衡
- elixir 高可用系列(四) Task
- C# JObject解析Json(多方法解析Json 二)
- 【weiphp微信开发教程】留言板插件开发详解
- iOS Container View Controller
- iOS开发——根据Url 获取图片尺寸
- react 编写组件 五
- 关于ASP.NET控件方面的学习(恢复版)
- COJ 0015 20602铁轨
- centos 6.5下安装文件上传下载服务
- JS模式--职责链模式
- 移动端touch事件实现页面弹动--小插件
- 查看文件状态与跟踪新文件(git status/add)
- 2019.04.23 Scrapy框架
- vmware提示请卸载干净再重新安装的解决办法
- Python之旅Day3 文件操作 函数(递归|匿名|嵌套|高阶)函数式编程 内置方法
- nvm use 指定版本后无效 win7
- android 7.0拍照问题file:///storage/emulated/0/photo.jpeg exposed beyond app through ClipData.Item.getUri
- c运行库、c标准库、windows API的区别和联系
- Firemonkey 绘图 TPathData