5 memory windows memory-management code-injection
我正在进行有关内存取证的研究,当前我需要学习通过多种技术在内存中查找代码注入的方法。其中一种方法是使用VAD标签进行代码注入。
我试图确切地找出什么是VAD,什么是VAD标签,但我只是找不到一个很好的简单解释。我唯一了解的是VAD是某种win32结构,它与进程的地址空间有关。但我不了解VAD的确切功能,如何使用它注入代码以及如何发现使用VAD标签的RAM中的代码注入。
如果您能指导我完成这项工作,我将不胜感激。谢谢 :)
VAD 代表虚拟地址描述符。Windows 内核似乎将进程(或内核?)分配的内存组织为 VAD 标记分配树。
我发现一个项目似乎实现了内存取证,并且引用了一篇似乎很好地描述了 VAD 的论文。我现在在手机上,所以我还没有彻底阅读它,但它看起来是一个很有前途的资源。
该项目称为波动性。
他们引用了Brendan Dolan-Gavitt 撰写的一篇名为“VAD 树:物理内存的进程眼视图”的论文。