我正在进行有关内存取证的研究,当前我需要学习通过多种技术在内存中查找代码注入(inject)的方法。一种方式是使用VAD标签进行代码注入(inject)。

我试图确切地找出什么是VAD以及什么是VAD标签,但是我只是找不到一个很好的简单解释。我唯一了解的是VAD是某种win32结构,它与进程的地址空间有关。但我不了解VAD的确切功能,如何使用它注入(inject)代码以及如何发现使用VAD标签的RAM中的代码注入(inject)。

如果您能指导我完成这项工作,我将不胜感激。
谢谢 :)

最佳答案

VAD代表虚拟地址描述符。 Windows内核似乎将由进程(或内核?)分配的内存组织为带有VAD标签的分配树。

我找到了一个似乎可以实现内存取证的项目,并且引用了一篇似乎可以很好地描述VAD的论文。我现在正在使用手机,所以我还没有完全阅读它,但是它看起来像是很有前途的资源。

该项目称为volatility

他们引用了一份名为"The VAD Tree: A Process-Eye View of Physical Memory," by Brendan Dolan-Gavitt的论文。

10-01 09:03