windows – 内存分析 – VAD标签和代码注入

我正在研究内存取证,目前我需要了解如何通过多种技术在内存中查找代码注入.其中一种方法是使用VAD标签进行代码注入.

我试图找出VAD究竟是什么以及什么是VAD标签,但我找不到一个简单的简单解释.我唯一理解的是VAD是某种win32结构,它与进程的地址空间有关.但是我不明白VAD到底是做什么的,你如何使用它来注入代码,以及如何在RAM中发现使用VAD标签的代码注入.

如果你指导我,我会很感激.
谢谢 :)

最佳答案 VAD代表虚拟地址描述符.似乎
windows内核组织了由进程(或内核?)分配的VAD标记分配树的内存.

我找到了一个似乎实现内存取证的项目,并且参考了一篇似乎很好地描述VAD的论文.我现在正在使用我的手机所以我没有彻底阅读它,但它看起来像一个很有前途的资源.

该项目名为volatility.

他们参考了一篇名为“The VAD Tree: A Process-Eye View of Physical Memory,” by Brendan Dolan-Gavitt的论文.

点赞