内存分析- VAD标记和代码注入

Question

我正在做一项关于内存取证的研究，目前我需要学习通过几种技术在内存中找到代码注入的方法。其中一种方法是使用VAD标签进行代码注入。

我试图找出什么是VAD和什么是VAD标签，但我就是找不到一个简单的解释。我唯一理解的是VAD是一种win32结构，它与进程的地址空间有关。但我不明白VAD到底做了什么，你如何使用它注入你的代码，以及你如何发现RAM中使用VAD标签的代码注入。

如果你能指导我解决这个问题，我将不胜感激。谢谢:)

Answer 1

VAD代表虚拟地址描述符。看起来windows内核组织由进程(或内核？)分配的内存。VAD标记的分配树。

我发现了一个似乎实现了内存取证的项目，并引用了一篇似乎很好地描述了VAD的论文。我现在正在用手机，所以我还没有彻底读完，但它看起来是一个很有前途的资源。

该项目名为volatility。

他们引用了一篇名为"The VAD Tree: A Process-Eye View of Physical Memory," by Brendan Dolan-Gavitt的论文。

Answer 2

线程是旧的，但我找到了VAD的很好的解释。它可以部分地回答你的问题。

该链接提供了对VAD的深入了解，以及有关使用的数据结构的更多信息以及良好的快照。

*虚拟地址描述符可以提供有关指定进程的地址空间的有用信息。它们提供有关PTE保护位、页面继承以及在进程之间共享页面的位置的信息。

VAD树基于一种称为AVL树的编程算法，可以在Sysnative上找到其中的一个示例和解释。在link*中有更多说明

Virtual Address Discriptors