首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[原创] 实现 windbg !vad 功能 ,也可以说成是内核枚举进程模块
发表于: 2017-12-15 09:53 7418

[原创] 实现 windbg !vad 功能 ,也可以说成是内核枚举进程模块

ugvjewxf 活跃值
2017-12-15 09:53
7418

环境:Windows 7 Kernel Version 7601 MP (1 procs) Free x64

Built by: 7601.18247.amd64fre.win7sp1_gdr.130828-1532

准确的说是进程线性地址分部情况:就是本进程那些内存已经被使用了。那些内存地址是可读的,可写的,可执行的,

因为这玩意,微软没有公开,所以都是硬编码
2: kd> dt _ePROCESS fffffa8005fc3600
ntdll!_EPROCESS
   +0x000 Pcb              : _KPROCESS
   +0x160 ProcessLock      : _EX_PUSH_LOCK
   +0x168 CreateTime       : _LARGE_INTEGER 0x01d37544`e3d9ce23
   +0x170 ExitTime         : _LARGE_INTEGER 0x0
   ...........................//省略
   +0x43c ExitStatus       : 0n53248
   +0x440 VadRoot          : _MM_AVL_TABLE      //取这个位置的内容
   +0x480 AlpcContext      : _ALPC_PROCESS_CONTEXT
   +0x4a0 TimerResolutionLink : _LIST_ENTRY [ 0x00000000`00000120 - 0x00000000`00000000 ]
   +0x4b0 RequestedTimerResolution : 0
   +0x4b4 ActiveThreadsHighWatermark : 0
   +0x4b8 SmallestTimerResolution : 0
   +0x4c0 TimerResolutionStackRecord : (null) 


2: kd> dt _MM_AVL_TABLE fffffa8005fc3600+440
ntdll!_MM_AVL_TABLE
   +0x000 BalancedRoot     : _MMADDRESS_NODE
   +0x028 DepthOfTree      : 0y00000 (0)
   +0x028 Unused           : 0y000
   +0x028 NumberGenericTableElements : 0y00000000000000000000000000000000000000000000000000000000 (0)
   +0x030 NodeHint         : 0x00000000`0000a909 Void
   +0x038 NodeFreeHint     : 0xfffffa80`05e63d70 Void


2: kd> dt _MMADDRESS_NODE fffffa8005fc3600+440
ntdll!_MMADDRESS_NODE
   +0x000 u1               : <unnamed-tag>
   +0x008 LeftChild        : 0xfffffa80`05fc3a48 _MMADDRESS_NODE
   +0x010 RightChild       : (null) 
   +0x018 StartingVpn      : 0xfffffa80`05e63d70
   +0x020 EndingVpn        : 0


2: kd> !vad 0xfffffa80`05e63d70
VAD           Level     Start       End Commit
fffffa8005eb0340  8        10        1f      0 Mapped       READWRITE          Pagefile section, shared commit 0x10
fffffa8005e9dc90  7        20        20      1 Private      READWRITE          
fffffa8005ec3290  8        30        30      1 Private      READWRITE          
fffffa8005e33ac0  6        40        40      0 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\System32\apisetschema.dll
fffffa8005f3f7f0  7        50        53      0 Mapped       READONLY           Pagefile section, shared commit 0x4
fffffa80059ac320  5        60        60      0 Mapped       READONLY           Pagefile section, shared commit 0x1
fffffa8005f124e0  8        70        70      1 Private      READWRITE          
fffffa8005ef0aa0  7        80        e6      0 Mapped       READONLY           \Windows\System32\locale.nls
fffffa8005e3cb30  8        f0        f0      0 Mapped       READONLY           Pagefile section, shared commit 0x1
fffffa8005e41190  6       100       100      0 Mapped       READWRITE          Pagefile section, shared commit 0x1
fffffa80069fa2d0  8       110       110      0 Mapped       READONLY           Pagefile section, shared commit 0x1
fffffa8004338760  7       120       125      0 Mapped       READONLY           Pagefile section, shared commit 0x6
fffffa8005fb5d60  4       130       16f      7 Private      READWRITE          
fffffa8005f90930  7       170       1af      7 Private      READWRITE          
fffffa8005e3fbd0  6       1b0       1b0      0 Mapped       READWRITE          Pagefile section, shared commit 0x1
fffffa800608c510  7       1c0       1c0      0 Mapped       READONLY           Pagefile section, shared commit 0x1
fffffa8005fb9520  5       210       30f      5 Private      READWRITE          
fffffa80044c3e00  8       310       3cf      0 Mapped       READONLY           Pagefile section, shared commit 0x9
fffffa800458f1d0  7       3d0       3d0      0 Mapped       READONLY           Pagefile section, shared commit 0x1
fffffa800458f840  8       3e0       3e6      0 Mapped       READONLY           \Windows\Registration\R000000000006.clb
fffffa8005ed3110  6       3f0       3ff     16 Private      READWRITE          
fffffa8004489e00  7       400       47f      1 Private      READWRITE          
fffffa8005fcfef0  8       480       48f      1 Private      NO_ACCESS          
fffffa8005f5c7e0  3       490       50f    128 Private      READWRITE          
fffffa80060a1830  7       510       520      0 Mapped       READONLY           \Windows\System32\C_1252.NLS
fffffa8006088160  6       530       53f      1 Private      READWRITE          
fffffa8005ea8cd0  5       540       57f      7 Private      READWRITE          
fffffa8005ed48e0  7       590       5cf      7 Private      READWRITE          
fffffa8005eee330  6       5d0       60f     43 Private      READWRITE          
fffffa80068ef850  7       620       65f      7 Private      READWRITE          
fffffa8005f287a0  8       690       78f    256 Private      READWRITE          
fffffa8005e20c60  4       790       917      0 Mapped       READONLY           Pagefile section, shared commit 0x5
fffffa8005f5e2a0  7       920       aa0      0 Mapped       READONLY           Pagefile section, shared commit 0x181
fffffa8005929cf0  6       ab0       baf     35 Private      READWRITE          
fffffa8005e81b50  5       bb0       e7e      0 Mapped       READONLY           \Windows\Globalization\Sorting\SortDefault.nls
fffffa8006037ac0  7       ea0       edf      7 Private      READWRITE          
fffffa80059c9d70  6       f40      103f      5 Private      READWRITE          
fffffa8006a2df80  8      1040      1089     74 Mapped       WRITECOPY          \Windows\SysWOW64\zh-CN\KernelBase.dll.mui
fffffa800482cda0  7      1110      114f      7 Private      READWRITE          
fffffa80041fab10  8      1170      11af      7 Private      READWRITE          
fffffa8005fc3ec0  2      1220      13bc     78 Mapped  Exe  EXECUTE_WRITECOPY  \Program Files (x86)\Alibaba\xxxxxxxMon.exe
fffffa8005f096f0  6      1450      154f      3 Private      READWRITE          
fffffa8004c71cd0  5      1550      1848      0 Mapped       READONLY           Pagefile section, shared commit 0x2f9
fffffa8005f4c1f0  6      1860      189f      7 Private      READWRITE          
fffffa8005832090  4      18a0      18df      7 Private      READWRITE          
fffffa800603a2a0  6      1960      199f      7 Private      READWRITE          
fffffa8005e57b60  5      1b70      1baf      7 Private      READWRITE          
fffffa8005fee520  3      1bb0      1caf      3 Private      READWRITE          
fffffa8005eb3690  6      1cb0      1cef      7 Private      READWRITE          
fffffa8006a21f00  5      1f40      1f7f      1 Private      READWRITE          
fffffa80060753e0  6      1f90      1fcf      1 Private      READWRITE          
fffffa8005726190  7      2000      200f      1 Private      READWRITE          
fffffa8005e9f580  4      2010      210f      4 Private      READWRITE          
fffffa800646ae60  6      2110      220f     33 Private      READWRITE          
fffffa800603a870  5      22e0      23df      3 Private      READWRITE          
fffffa800492a130  7      2400      243f      7 Private      READWRITE          
fffffa8005832570  6      24c0      25bf     12 Private      READWRITE          
fffffa8005ee2400  1      2620      271f      3 Private      READWRITE          
fffffa8006035170  7      2740      283f      3 Private      READWRITE          
fffffa8006b75700  8      2860      295f      3 Private      READWRITE          
fffffa8005f5a290  6      2990      2a8f      3 Private      READWRITE          
fffffa80048f7730  7      2c20      2c5f     45 Private      READWRITE          
fffffa800605f740  5      2c60      2c9f      3 Private      READWRITE          
fffffa80057097f0  7      2ca0      2d9f    204 Private      READWRITE          
fffffa80069d3170  6      2dc0      2ebf      3 Private      READWRITE          
fffffa800487e180  7      3120      321f      3 Private      READWRITE          
fffffa800573b240  4      3220      325f      1 Private      READWRITE          
fffffa80057975f0  7      32c0      33bf      4 Private      READWRITE          
fffffa80063b9420  6     6ca60     6ca97      3 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\ncrypt.dll
fffffa80063e9ec0  7     6cc70     6ccac      6 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\bcryptprimitives.dll
fffffa800638abb0  8     6ccb0     6ccc6      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\bcrypt.dll
fffffa8006a02450  5     6d460     6d4ae     11 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\webio.dll
fffffa8006a02c50  7     6d4b0     6d507      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\winhttp.dll
fffffa8006a1a160  6     6d510     6d62d     16 Mapped  Exe  EXECUTE_WRITECOPY  \Program Files (x86)\Alibaba\xxxxxxx\NetCore.dll
fffffa8005f797b0  3     6da50     6da65      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\wlanapi.dll
fffffa8006a44240  6     6ecd0     6ecd7      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\credssp.dll
fffffa80069b5520  7     6f050     6f055      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\wlanutil.dll
fffffa80060e2da0  5     71d70     71d87      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\ntdsapi.dll
fffffa80060c51b0  6     71d90     71e25      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\wbem\fastprox.dll
fffffa8006071010  4     71e30     71e3e      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\wbem\wbemsvc.dll
fffffa80060925f0  6     71e40     71e7a      4 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\rsaenh.dll
fffffa800609f3f0  5     71e80     71e95      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\cryptsp.dll
fffffa80060875d0  6     71ea0     71efb      7 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\wbemcomn.dll
fffffa800608b6f0  2     71f00     71f09      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\wbem\wbemprox.dll
fffffa8006075920  6     71fb0     71fb5      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\rasadhlp.dll
fffffa8004577320  7     71fc0     71ff7      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\FWPUCLNT.DLL
fffffa8005ef8340  5     72000     7200c      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\wshbth.dll
fffffa800489cd60  6     72010     72017      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\winrnr.dll
fffffa800489c470  4     72020     72031      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\pnrpnsp.dll
fffffa8006072690  7     72040     7204f      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\NapiNSP.dll
fffffa8005fb50d0  6     722a0     72305      7 Mapped  Exe  EXECUTE_WRITECOPY  \Program Files (x86)\Alibaba\xxxxxxx\Report.dll
fffffa8005e73cd0  7     72310     72351      3 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\wevtapi.dll
fffffa8006a31460  5     72e90     72e95      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\wship6.dll
fffffa8006073680  6     738e0     738ef      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\nlaapi.dll
fffffa80059f2ac0  3     738f0     738f2      0 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\api-ms-win-core-synch-l1-2-0.dll
fffffa80053e04c0  8     73970     73981      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\samlib.dll
fffffa80060884c0  7     73a20     73a63      4 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\dnsapi.dll
fffffa80059c9ce0  8     74460     7446e      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\samcli.dll
fffffa8005ea7ef0  6     744e0     744e7      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\secur32.dll
fffffa8006000e10  8     74530     74558      4 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\winsta.dll
fffffa80060b16b0  7     74560     7456d      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\RpcRtRemote.dll
fffffa8005eaf690  8     74790     7479e      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\wkscli.dll
fffffa8005e788d0  5     747a0     747b8     10 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\srvcli.dll
fffffa8005ea8d20  7     747c0     747c8      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\netutils.dll
fffffa8005ea14d0  6     747d0     747e0      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\netapi32.dll
fffffa8005eb29d0  7     748e0     748ec      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\wtsapi32.dll
fffffa8005ead190  4     748f0     748f8      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\version.dll
fffffa800605b120  7     74900     7490c      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\dhcpcsvc6.dll
fffffa800451b560  6     74910     74921      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\dhcpcsvc.dll
fffffa8005ea97e0  5     74930     74936      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\winnsi.dll
fffffa8005e72010  8     74940     7495b      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\IPHLPAPI.DLL
fffffa80069feca0  7     74960     74964      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\WSHTCPIP.DLL
fffffa800489ccd0  8     74970     749ab      3 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\mswsock.dll
fffffa80059ac480  6     75060     75067      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\System32\wow64cpu.dll
fffffa8005f09640  7     75070     750cb      6 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\System32\wow64win.dll
fffffa8005e63d70  0     750d0     7510e      3 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\System32\wow64.dll
fffffa8005ec49b0  6     752b0     752bb      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\cryptbase.dll
fffffa8005f0a0d0  5     752c0     7531f      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\sspicli.dll
fffffa8005edd1f0  6     75320     7537f      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\imm32.dll
fffffa8005e31e20  4     75410     7541b      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\msasn1.dll
fffffa8005ed4930  6     75420     7544c      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\wintrust.dll
fffffa80059c9010  5     754a0     755bc      3 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\crypt32.dll
fffffa8005eb02b0  3     755c0     75606      3 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\KernelBase.dll
fffffa8005ea9c40  5     75610     76259      9 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\shell32.dll
fffffa8005ec4a40  4     76270     7631b      8 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\msvcrt.dll
fffffa8005ef6470  2     76320     763bf      5 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\advapi32.dll
fffffa8005ea1370  6     76510     76526      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\userenv.dll
fffffa8003e58990  5     76530     76548      4 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\sechost.dll
fffffa8005ef63e0  4     76550     76584      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\ws2_32.dll
fffffa8005e579d0  5     76590     76594      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\psapi.dll
fffffa8005ed07e0  3     76790     7687f      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\rpcrt4.dll
fffffa8005ff62e0  4     76a70     76a79      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\lpk.dll
fffffa8005ec48f0  5     76a80     76b0f      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\gdi32.dll
fffffa8005ed4590  1     76b80     76c8f      3 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\kernel32.dll
fffffa8005ebe190  7     76c90     76d2c      3 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\usp10.dll
fffffa8005f1bf00  6     76d50     76eab      5 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\ole32.dll
fffffa8005ea7f80  7     76eb0     76eba      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\profapi.dll
fffffa8005e8e4b0  5     76ec0     76f8b      3 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\msctf.dll
fffffa8006147010  7     771f0     77219      3 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\imagehlp.dll
fffffa8005961e20  6     77220     77225      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\nsi.dll
fffffa80059ad770  4     77230     772be      3 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\oleaut32.dll
fffffa8005ebb3c0  7     772c0     77316      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\shlwapi.dll
fffffa8004877290  6     77320     7741f      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\user32.dll
fffffa800608ae30  7     774a0     77522      5 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\clbcatq.dll
fffffa8005f095f0  5     77530     7764e      0 Private      EXECUTE_READWRITE  
fffffa80059ac3b0  7     77650     77749      0 Private      EXECUTE_READWRITE  
fffffa800457a210  6     77750     778f8     12 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\System32\ntdll.dll
fffffa8005fcb2a0  3     77930     77aaf      9 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\ntdll.dll
fffffa800639f0e0  6     7ef73     7ef75      3 Private      READWRITE          
fffffa8006083a50  5     7ef7c     7ef7e      3 Private      READWRITE          
fffffa8006000ea0  7     7ef7f     7ef81      3 Private      READWRITE          
fffffa8005e8e180  6     7ef82     7ef84      3 Private      READWRITE          
fffffa8005f3e750  7     7ef85     7ef87      3 Private      READWRITE          
fffffa8005eddb10  4     7ef88     7ef8a      3 Private      READWRITE          
fffffa8005e7ceb0  6     7ef8e     7ef90      3 Private      READWRITE          
fffffa8006147550  7     7ef91     7ef93      3 Private      READWRITE          
fffffa8005e08740  5     7ef94     7ef96      3 Private      READWRITE          
fffffa800603a680  7     7ef97     7ef99      3 Private      READWRITE          
fffffa80058cdce0  6     7ef9d     7ef9f      3 Private      READWRITE          
fffffa8005fcb210  2     7efa0     7efd2      0 Mapped       READONLY           Pagefile section, shared commit 0x33
fffffa8005e24180  6     7efd5     7efd7      3 Private      READWRITE          
fffffa8005e0eab0  5     7efd8     7efda      3 Private      READWRITE          
fffffa80053c9760  6     7efdb     7efdd      3 Private      READWRITE          
fffffa8005fc3410  4     7efde     7efde      1 Private      READWRITE          
fffffa8005fcb960  5     7efdf     7efdf      1 Private      READWRITE          
fffffa800480f0c0  6     7efe0     7f0df      0 Mapped       READONLY           Pagefile section, shared commit 0x5
fffffa8005f5e0d0  3     7f0e0     7ffdf      0 Private      READONLY           
fffffa80053c96c0  4     7ffe0     7ffef     -1 Private      READONLY           
fffffa800457a2a0  5     7fff0  7fffffef     -1 Private      READONLY           

Total VADs: 169, average level: 6, maximum depth: 8
Total private commit: 0x569 pages (5540 KB)
Total shared commit:  0x4e0 pages (4992 KB)
2: kd> dt _ePROCESS fffffa8005fc3600
ntdll!_EPROCESS
   +0x000 Pcb              : _KPROCESS
   +0x160 ProcessLock      : _EX_PUSH_LOCK
   +0x168 CreateTime       : _LARGE_INTEGER 0x01d37544`e3d9ce23
   +0x170 ExitTime         : _LARGE_INTEGER 0x0
   ...........................//省略
   +0x43c ExitStatus       : 0n53248
   +0x440 VadRoot          : _MM_AVL_TABLE      //取这个位置的内容
   +0x480 AlpcContext      : _ALPC_PROCESS_CONTEXT
   +0x4a0 TimerResolutionLink : _LIST_ENTRY [ 0x00000000`00000120 - 0x00000000`00000000 ]
   +0x4b0 RequestedTimerResolution : 0
   +0x4b4 ActiveThreadsHighWatermark : 0
   +0x4b8 SmallestTimerResolution : 0
   +0x4c0 TimerResolutionStackRecord : (null) 


2: kd> dt _MM_AVL_TABLE fffffa8005fc3600+440
ntdll!_MM_AVL_TABLE
   +0x000 BalancedRoot     : _MMADDRESS_NODE
   +0x028 DepthOfTree      : 0y00000 (0)
   +0x028 Unused           : 0y000
   +0x028 NumberGenericTableElements : 0y00000000000000000000000000000000000000000000000000000000 (0)
   +0x030 NodeHint         : 0x00000000`0000a909 Void
   +0x038 NodeFreeHint     : 0xfffffa80`05e63d70 Void


2: kd> dt _MMADDRESS_NODE fffffa8005fc3600+440
ntdll!_MMADDRESS_NODE
   +0x000 u1               : <unnamed-tag>
   +0x008 LeftChild        : 0xfffffa80`05fc3a48 _MMADDRESS_NODE
   +0x010 RightChild       : (null) 
   +0x018 StartingVpn      : 0xfffffa80`05e63d70
   +0x020 EndingVpn        : 0


2: kd> !vad 0xfffffa80`05e63d70
VAD           Level     Start       End Commit
fffffa8005eb0340  8        10        1f      0 Mapped       READWRITE          Pagefile section, shared commit 0x10
fffffa8005e9dc90  7        20        20      1 Private      READWRITE          
fffffa8005ec3290  8        30        30      1 Private      READWRITE          
fffffa8005e33ac0  6        40        40      0 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\System32\apisetschema.dll
fffffa8005f3f7f0  7        50        53      0 Mapped       READONLY           Pagefile section, shared commit 0x4
fffffa80059ac320  5        60        60      0 Mapped       READONLY           Pagefile section, shared commit 0x1
fffffa8005f124e0  8        70        70      1 Private      READWRITE          
fffffa8005ef0aa0  7        80        e6      0 Mapped       READONLY           \Windows\System32\locale.nls
fffffa8005e3cb30  8        f0        f0      0 Mapped       READONLY           Pagefile section, shared commit 0x1
fffffa8005e41190  6       100       100      0 Mapped       READWRITE          Pagefile section, shared commit 0x1
fffffa80069fa2d0  8       110       110      0 Mapped       READONLY           Pagefile section, shared commit 0x1
fffffa8004338760  7       120       125      0 Mapped       READONLY           Pagefile section, shared commit 0x6
fffffa8005fb5d60  4       130       16f      7 Private      READWRITE          
fffffa8005f90930  7       170       1af      7 Private      READWRITE          
fffffa8005e3fbd0  6       1b0       1b0      0 Mapped       READWRITE          Pagefile section, shared commit 0x1
fffffa800608c510  7       1c0       1c0      0 Mapped       READONLY           Pagefile section, shared commit 0x1
fffffa8005fb9520  5       210       30f      5 Private      READWRITE          
fffffa80044c3e00  8       310       3cf      0 Mapped       READONLY           Pagefile section, shared commit 0x9
fffffa800458f1d0  7       3d0       3d0      0 Mapped       READONLY           Pagefile section, shared commit 0x1
fffffa800458f840  8       3e0       3e6      0 Mapped       READONLY           \Windows\Registration\R000000000006.clb
fffffa8005ed3110  6       3f0       3ff     16 Private      READWRITE          
fffffa8004489e00  7       400       47f      1 Private      READWRITE          
fffffa8005fcfef0  8       480       48f      1 Private      NO_ACCESS          
fffffa8005f5c7e0  3       490       50f    128 Private      READWRITE          
fffffa80060a1830  7       510       520      0 Mapped       READONLY           \Windows\System32\C_1252.NLS
fffffa8006088160  6       530       53f      1 Private      READWRITE          
fffffa8005ea8cd0  5       540       57f      7 Private      READWRITE          
fffffa8005ed48e0  7       590       5cf      7 Private      READWRITE          
fffffa8005eee330  6       5d0       60f     43 Private      READWRITE          
fffffa80068ef850  7       620       65f      7 Private      READWRITE          
fffffa8005f287a0  8       690       78f    256 Private      READWRITE          
fffffa8005e20c60  4       790       917      0 Mapped       READONLY           Pagefile section, shared commit 0x5
fffffa8005f5e2a0  7       920       aa0      0 Mapped       READONLY           Pagefile section, shared commit 0x181
fffffa8005929cf0  6       ab0       baf     35 Private      READWRITE          
fffffa8005e81b50  5       bb0       e7e      0 Mapped       READONLY           \Windows\Globalization\Sorting\SortDefault.nls
fffffa8006037ac0  7       ea0       edf      7 Private      READWRITE          
fffffa80059c9d70  6       f40      103f      5 Private      READWRITE          
fffffa8006a2df80  8      1040      1089     74 Mapped       WRITECOPY          \Windows\SysWOW64\zh-CN\KernelBase.dll.mui
fffffa800482cda0  7      1110      114f      7 Private      READWRITE          
fffffa80041fab10  8      1170      11af      7 Private      READWRITE          
fffffa8005fc3ec0  2      1220      13bc     78 Mapped  Exe  EXECUTE_WRITECOPY  \Program Files (x86)\Alibaba\xxxxxxxMon.exe
fffffa8005f096f0  6      1450      154f      3 Private      READWRITE          
fffffa8004c71cd0  5      1550      1848      0 Mapped       READONLY           Pagefile section, shared commit 0x2f9
fffffa8005f4c1f0  6      1860      189f      7 Private      READWRITE          
fffffa8005832090  4      18a0      18df      7 Private      READWRITE          
fffffa800603a2a0  6      1960      199f      7 Private      READWRITE          
fffffa8005e57b60  5      1b70      1baf      7 Private      READWRITE          
fffffa8005fee520  3      1bb0      1caf      3 Private      READWRITE          
fffffa8005eb3690  6      1cb0      1cef      7 Private      READWRITE          
fffffa8006a21f00  5      1f40      1f7f      1 Private      READWRITE          
fffffa80060753e0  6      1f90      1fcf      1 Private      READWRITE          
fffffa8005726190  7      2000      200f      1 Private      READWRITE          
fffffa8005e9f580  4      2010      210f      4 Private      READWRITE          
fffffa800646ae60  6      2110      220f     33 Private      READWRITE          
fffffa800603a870  5      22e0      23df      3 Private      READWRITE          
fffffa800492a130  7      2400      243f      7 Private      READWRITE          
fffffa8005832570  6      24c0      25bf     12 Private      READWRITE          
fffffa8005ee2400  1      2620      271f      3 Private      READWRITE          
fffffa8006035170  7      2740      283f      3 Private      READWRITE          
fffffa8006b75700  8      2860      295f      3 Private      READWRITE          
fffffa8005f5a290  6      2990      2a8f      3 Private      READWRITE          
fffffa80048f7730  7      2c20      2c5f     45 Private      READWRITE          
fffffa800605f740  5      2c60      2c9f      3 Private      READWRITE          
fffffa80057097f0  7      2ca0      2d9f    204 Private      READWRITE          
fffffa80069d3170  6      2dc0      2ebf      3 Private      READWRITE          
fffffa800487e180  7      3120      321f      3 Private      READWRITE          
fffffa800573b240  4      3220      325f      1 Private      READWRITE          
fffffa80057975f0  7      32c0      33bf      4 Private      READWRITE          
fffffa80063b9420  6     6ca60     6ca97      3 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\ncrypt.dll
fffffa80063e9ec0  7     6cc70     6ccac      6 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\bcryptprimitives.dll
fffffa800638abb0  8     6ccb0     6ccc6      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\bcrypt.dll
fffffa8006a02450  5     6d460     6d4ae     11 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\webio.dll
fffffa8006a02c50  7     6d4b0     6d507      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\winhttp.dll
fffffa8006a1a160  6     6d510     6d62d     16 Mapped  Exe  EXECUTE_WRITECOPY  \Program Files (x86)\Alibaba\xxxxxxx\NetCore.dll
fffffa8005f797b0  3     6da50     6da65      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\wlanapi.dll
fffffa8006a44240  6     6ecd0     6ecd7      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\credssp.dll
fffffa80069b5520  7     6f050     6f055      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\wlanutil.dll
fffffa80060e2da0  5     71d70     71d87      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\ntdsapi.dll
fffffa80060c51b0  6     71d90     71e25      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\wbem\fastprox.dll
fffffa8006071010  4     71e30     71e3e      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\wbem\wbemsvc.dll
fffffa80060925f0  6     71e40     71e7a      4 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\rsaenh.dll
fffffa800609f3f0  5     71e80     71e95      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\cryptsp.dll
fffffa80060875d0  6     71ea0     71efb      7 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\wbemcomn.dll
fffffa800608b6f0  2     71f00     71f09      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\wbem\wbemprox.dll
fffffa8006075920  6     71fb0     71fb5      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\rasadhlp.dll
fffffa8004577320  7     71fc0     71ff7      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\FWPUCLNT.DLL
fffffa8005ef8340  5     72000     7200c      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\wshbth.dll
fffffa800489cd60  6     72010     72017      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\winrnr.dll
fffffa800489c470  4     72020     72031      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\pnrpnsp.dll
fffffa8006072690  7     72040     7204f      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\NapiNSP.dll
fffffa8005fb50d0  6     722a0     72305      7 Mapped  Exe  EXECUTE_WRITECOPY  \Program Files (x86)\Alibaba\xxxxxxx\Report.dll
fffffa8005e73cd0  7     72310     72351      3 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\wevtapi.dll
fffffa8006a31460  5     72e90     72e95      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\wship6.dll
fffffa8006073680  6     738e0     738ef      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\nlaapi.dll
fffffa80059f2ac0  3     738f0     738f2      0 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\api-ms-win-core-synch-l1-2-0.dll
fffffa80053e04c0  8     73970     73981      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\samlib.dll
fffffa80060884c0  7     73a20     73a63      4 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\dnsapi.dll
fffffa80059c9ce0  8     74460     7446e      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\samcli.dll
fffffa8005ea7ef0  6     744e0     744e7      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\secur32.dll
fffffa8006000e10  8     74530     74558      4 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\winsta.dll
fffffa80060b16b0  7     74560     7456d      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\RpcRtRemote.dll
fffffa8005eaf690  8     74790     7479e      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\wkscli.dll
fffffa8005e788d0  5     747a0     747b8     10 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\srvcli.dll
fffffa8005ea8d20  7     747c0     747c8      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\netutils.dll
fffffa8005ea14d0  6     747d0     747e0      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\netapi32.dll
fffffa8005eb29d0  7     748e0     748ec      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\wtsapi32.dll
fffffa8005ead190  4     748f0     748f8      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\version.dll
fffffa800605b120  7     74900     7490c      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\dhcpcsvc6.dll
fffffa800451b560  6     74910     74921      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\dhcpcsvc.dll
fffffa8005ea97e0  5     74930     74936      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\winnsi.dll
fffffa8005e72010  8     74940     7495b      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\IPHLPAPI.DLL
fffffa80069feca0  7     74960     74964      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\WSHTCPIP.DLL
fffffa800489ccd0  8     74970     749ab      3 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\mswsock.dll
fffffa80059ac480  6     75060     75067      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\System32\wow64cpu.dll
fffffa8005f09640  7     75070     750cb      6 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\System32\wow64win.dll
fffffa8005e63d70  0     750d0     7510e      3 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\System32\wow64.dll
fffffa8005ec49b0  6     752b0     752bb      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\cryptbase.dll
fffffa8005f0a0d0  5     752c0     7531f      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\sspicli.dll
fffffa8005edd1f0  6     75320     7537f      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\imm32.dll
fffffa8005e31e20  4     75410     7541b      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\msasn1.dll
fffffa8005ed4930  6     75420     7544c      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\wintrust.dll
fffffa80059c9010  5     754a0     755bc      3 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\crypt32.dll
fffffa8005eb02b0  3     755c0     75606      3 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\KernelBase.dll
fffffa8005ea9c40  5     75610     76259      9 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\shell32.dll
fffffa8005ec4a40  4     76270     7631b      8 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\msvcrt.dll
fffffa8005ef6470  2     76320     763bf      5 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\advapi32.dll
fffffa8005ea1370  6     76510     76526      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\userenv.dll
fffffa8003e58990  5     76530     76548      4 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\sechost.dll
fffffa8005ef63e0  4     76550     76584      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\ws2_32.dll
fffffa8005e579d0  5     76590     76594      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\psapi.dll
fffffa8005ed07e0  3     76790     7687f      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\rpcrt4.dll
fffffa8005ff62e0  4     76a70     76a79      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\lpk.dll
fffffa8005ec48f0  5     76a80     76b0f      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\gdi32.dll
fffffa8005ed4590  1     76b80     76c8f      3 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\kernel32.dll
fffffa8005ebe190  7     76c90     76d2c      3 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\usp10.dll
fffffa8005f1bf00  6     76d50     76eab      5 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\ole32.dll
fffffa8005ea7f80  7     76eb0     76eba      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\profapi.dll
fffffa8005e8e4b0  5     76ec0     76f8b      3 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\msctf.dll
fffffa8006147010  7     771f0     77219      3 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\imagehlp.dll
fffffa8005961e20  6     77220     77225      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\nsi.dll
fffffa80059ad770  4     77230     772be      3 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\oleaut32.dll
fffffa8005ebb3c0  7     772c0     77316      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\shlwapi.dll
fffffa8004877290  6     77320     7741f      2 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\user32.dll
fffffa800608ae30  7     774a0     77522      5 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\SysWOW64\clbcatq.dll
fffffa8005f095f0  5     77530     7764e      0 Private      EXECUTE_READWRITE  
fffffa80059ac3b0  7     77650     77749      0 Private      EXECUTE_READWRITE  
fffffa800457a210  6     77750     778f8     12 Mapped  Exe  EXECUTE_WRITECOPY  \Windows\System32\ntdll.dll

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 1
支持
分享
最新回复 (3)
yber
雪    币: 9
活跃值: (180)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
2
很有想法
2018-5-13 10:11
0
冰雄
雪    币: 1485
活跃值: (1135)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
楼主可以实现一下!vtop 吗
2019-1-18 11:35
0
blindtiger
雪    币: 5734
活跃值: (1737)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
4
这玩意遇到手动操作PTE的 并不准确
2019-1-18 13:59
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//