[求助]关进程虚拟内存描述表-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (12)
codebox 雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 19 粉丝 0 关注私信	codebox 2 楼虚拟地址描述符VAD，是存放在用户空间还是内核空间？ 2015-1-24 09:57 0
落笔飞花雪币： 719 活跃值： (777) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 458 粉丝 61 关注私信	落笔飞花 1 3 楼用户空间解析加载的PE的PE头部获得表然后基址+相对地址然后啪啪啪这些系统DLL是 PEB的LDR链表 2015-1-24 10:17 0
落笔飞花雪币： 719 活跃值： (777) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 458 粉丝 61 关注私信	落笔飞花 1 4 楼解析LDR加载的DLL然后解析这些DLL的 PE头最后加载地址+相对然后啪啪啪出的这张所谓的表.. 2015-1-24 10:20 0
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 5 楼以4KB为单位，从0地址开始，到用户态最高地址，调用VirtualQuery进行遍历，就可以得到这张表。可用地址和页面属性都可以获取到。模块相关的数据，需要ToolHelp32配合 2015-1-24 10:21 0
codebox 雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 19 粉丝 0 关注私信	codebox 6 楼使用PE分析的方式无法分析出程序堆栈所在的内存 VirtualQuery进行遍历2GB用户空间需要循环20多万次，性能上可能存在问题，如果没有更好的办法我会遍历下试试。另外我考虑这张表会不会就保存在2GB用户空间的某个位置直接读出来就可以了。因为OD分析这张表的速度很快。 2015-1-24 10:33 0
落笔飞花雪币： 719 活跃值： (777) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 458 粉丝 61 关注私信	落笔飞花 1 7 楼你可以尝试逆一下。 2015-1-24 10:58 0
kingsdows 雪币： 135 活跃值： (106) 能力值： ( LV2，RANK：140 ) 在线值：发帖 12 回帖 110 粉丝 1 关注私信	kingsdows 3 8 楼基本就是VirtualQuery遍历，优化算法，很快的。VirtualQuery返回了内存区域大小，下次遍历直接就跳过这个区域了。 2015-1-24 11:08 0
dppdpp 雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 365 粉丝 0 关注私信	dppdpp 9 楼读出来你也操作不了。麻烦死,直接VirtualQuery就可以了 2015-1-24 12:58 0
wankewan 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wankewan 10 楼 ************************* 2015-1-24 13:28 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 11 楼坐等楼上禁言进程VirtualQuery枚举下就有了! 2015-1-24 15:51 0
ghostway 雪币： 581 活跃值： (215) 能力值： ( LV8，RANK：130 ) 在线值：发帖 9 回帖 168 粉丝 4 关注私信	ghostway 1 12 楼内核里，VAD只是作为一个虚拟地址空间的平衡二叉树上得一个节点。VirtualAlloc和VirtualAllocEx在分配虚拟内存时，虚拟内存管理器会用到它。 2015-1-24 16:25 0
落笔飞花雪币： 719 活跃值： (777) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 458 粉丝 61 关注私信	落笔飞花 1 13 楼 VirtualQueryEX 2015-1-25 11:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (12)
codebox 雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 19 粉丝 0 关注私信	codebox 2 楼虚拟地址描述符VAD，是存放在用户空间还是内核空间？ 2015-1-24 09:57 0
落笔飞花雪币： 719 活跃值： (777) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 458 粉丝 61 关注私信	落笔飞花 1 3 楼用户空间解析加载的PE的PE头部获得表然后基址+相对地址然后啪啪啪这些系统DLL是 PEB的LDR链表 2015-1-24 10:17 0
落笔飞花雪币： 719 活跃值： (777) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 458 粉丝 61 关注私信	落笔飞花 1 4 楼解析LDR加载的DLL然后解析这些DLL的 PE头最后加载地址+相对然后啪啪啪出的这张所谓的表.. 2015-1-24 10:20 0
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 5 楼以4KB为单位，从0地址开始，到用户态最高地址，调用VirtualQuery进行遍历，就可以得到这张表。可用地址和页面属性都可以获取到。模块相关的数据，需要ToolHelp32配合 2015-1-24 10:21 0
codebox 雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 19 粉丝 0 关注私信	codebox 6 楼使用PE分析的方式无法分析出程序堆栈所在的内存 VirtualQuery进行遍历2GB用户空间需要循环20多万次，性能上可能存在问题，如果没有更好的办法我会遍历下试试。另外我考虑这张表会不会就保存在2GB用户空间的某个位置直接读出来就可以了。因为OD分析这张表的速度很快。 2015-1-24 10:33 0
落笔飞花雪币： 719 活跃值： (777) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 458 粉丝 61 关注私信	落笔飞花 1 7 楼你可以尝试逆一下。 2015-1-24 10:58 0
kingsdows 雪币： 135 活跃值： (106) 能力值： ( LV2，RANK：140 ) 在线值：发帖 12 回帖 110 粉丝 1 关注私信	kingsdows 3 8 楼基本就是VirtualQuery遍历，优化算法，很快的。VirtualQuery返回了内存区域大小，下次遍历直接就跳过这个区域了。 2015-1-24 11:08 0
dppdpp 雪币： 23 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 365 粉丝 0 关注私信	dppdpp 9 楼读出来你也操作不了。麻烦死,直接VirtualQuery就可以了 2015-1-24 12:58 0
wankewan 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wankewan 10 楼 ************************* 2015-1-24 13:28 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 11 楼坐等楼上禁言进程VirtualQuery枚举下就有了! 2015-1-24 15:51 0
ghostway 雪币： 581 活跃值： (215) 能力值： ( LV8，RANK：130 ) 在线值：发帖 9 回帖 168 粉丝 4 关注私信	ghostway 1 12 楼内核里，VAD只是作为一个虚拟地址空间的平衡二叉树上得一个节点。VirtualAlloc和VirtualAllocEx在分配虚拟内存时，虚拟内存管理器会用到它。 2015-1-24 16:25 0
落笔飞花雪币： 719 活跃值： (777) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 458 粉丝 61 关注私信	落笔飞花 1 13 楼 VirtualQueryEX 2015-1-25 11:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复