ToB企服应用市场:ToB评测及商务社交产业平台

标题: 驱动开发：内核遍历进程VAD结构体 [打印本页]

---

作者: tsx81428    时间: 2022-10-13 13:04
标题: 驱动开发：内核遍历进程VAD结构体
在上一篇文章《驱动开发：内核中实现Dump进程转储》中我们实现了ARK工具的转存功能，本篇文章继续以内存为出发点介绍VAD结构，该结构的全程是Virtual Address Descriptor即虚拟地址描述符，VAD是一个AVL自平衡二叉树，树的每一个节点代表一段虚拟地址空间。程序中的代码段，数据段，堆段都会各种占用一个或多个VAD节点，由一个MMVAD结构完整描述。
VAD结构的遍历效果如下:

那么这个结构在哪？每一个进程都有自己单独的VAD结构树，这个结构通常在EPROCESS结构里面里面，在内核调试模式下使用dt _EPROCESS可得到如下信息。

1. lyshark.com 1: kd> dt _EPROCESS
2. ntdll!_EPROCESS
3.    +0x500 Vm               : _MMSUPPORT_FULL
4.    +0x640 MmProcessLinks   : _LIST_ENTRY
5.    +0x650 ModifiedPageCount : Uint4B
6.    +0x654 ExitStatus       : Int4B
7.    +0x658 VadRoot          : _RTL_AVL_TREE
8.    +0x660 VadHint          : Ptr64 Void
9.    +0x668 VadCount         : Uint8B
10.    +0x670 VadPhysicalPages : Uint8B
11.    +0x678 VadPhysicalPagesLimit : Uint8B

复制代码

可以看到在本系统中VAD的偏移是+0x658紧跟其后的还有vadCount的计数等。

VAD结构是如何被添加的？通常情况下系统调用VirtualAllocate等申请一段堆内存时，则会在VAD树上增加一个结点_MMVAD结构体，需要说明的是栈并不受VAD的管理。由系统直接分配空间，并把地址记录在了TEB中。

1. lyshark.com 0: kd> dt _MMVAD
2. nt!_MMVAD
3.    +0x000 Core             : _MMVAD_SHORT
4.    +0x040 u2               : <anonymous-tag>
5.    +0x048 Subsection       : Ptr64 _SUBSECTION
6.    +0x050 FirstPrototypePte : Ptr64 _MMPTE
7.    +0x058 LastContiguousPte : Ptr64 _MMPTE
8.    +0x060 ViewLinks        : _LIST_ENTRY
9.    +0x070 VadsProcess      : Ptr64 _EPROCESS
10.    +0x078 u4               : <anonymous-tag>
11.    +0x080 FileObject       : Ptr64 _FILE_OBJECT

复制代码

结构体MMVAD则是每一个VAD内存块的属性，这个内存结构定义在WinDBG中可看到。

如上在EPROCESS结构中可以找到VAD结构的相对偏移+0x658以及进程VAD计数偏移+0x668，我们首先通过!process 0 0指令得到当前所有进程的EPROCESS结构，并选中进程。

1. lyshark.com 0: kd> !process 0 0
2. PROCESS ffffe28fbb0860c0
3.     SessionId: 1  Cid: 11a8    Peb: 0035c000  ParentCid: 11c8
4.     DirBase: 309f3002  ObjectTable: ffffac87ba3da580  HandleCount: 145.
5.     Image: x64.exe

复制代码

此处的ffffe28fbb0860c0正是我们所需要的EPROCESS结构。

当需要得到该进程的VAD结构时，只需要使用!vad ffffe28fbb0860c0 + 0x658来显示该进程的VAD树。

至于获取VAD有多少条，则可以直接使用!vad ffffe28fbb0860c0 + 0x668来获取到。

既然手动可以遍历出来，那么自动化也并不难，首先定义头文件vad.h同样这是微软定义，如果想要的到最新的，自己下载WinDBG调试内核输入命令。

1. #pragma once
2. #include <ntifs.h>
4. typedef struct _MM_GRAPHICS_VAD_FLAGS        // 15 elements, 0x4 bytes (sizeof)
5. {
6.         /*0x000*/     ULONG32      Lock : 1;                   // 0 BitPosition                  
7.         /*0x000*/     ULONG32      LockContended : 1;          // 1 BitPosition                  
8.         /*0x000*/     ULONG32      DeleteInProgress : 1;       // 2 BitPosition                  
9.         /*0x000*/     ULONG32      NoChange : 1;               // 3 BitPosition                  
10.         /*0x000*/     ULONG32      VadType : 3;                // 4 BitPosition                  
11.         /*0x000*/     ULONG32      Protection : 5;             // 7 BitPosition                  
12.         /*0x000*/     ULONG32      PreferredNode : 6;          // 12 BitPosition                  
13.         /*0x000*/     ULONG32      PageSize : 2;               // 18 BitPosition                  
14.         /*0x000*/     ULONG32      PrivateMemoryAlwaysSet : 1; // 20 BitPosition                  
15.         /*0x000*/     ULONG32      WriteWatch : 1;             // 21 BitPosition                  
16.         /*0x000*/     ULONG32      FixedLargePageSize : 1;     // 22 BitPosition                  
17.         /*0x000*/     ULONG32      ZeroFillPagesOptional : 1;  // 23 BitPosition                  
18.         /*0x000*/     ULONG32      GraphicsAlwaysSet : 1;      // 24 BitPosition                  
19.         /*0x000*/     ULONG32      GraphicsUseCoherentBus : 1; // 25 BitPosition                  
20.         /*0x000*/     ULONG32      GraphicsPageProtection : 3; // 26 BitPosition                  
21. }MM_GRAPHICS_VAD_FLAGS, *PMM_GRAPHICS_VAD_FLAGS;
22. typedef struct _MM_PRIVATE_VAD_FLAGS         // 15 elements, 0x4 bytes (sizeof)
23. {
24.         /*0x000*/     ULONG32      Lock : 1;                   // 0 BitPosition                  
25.         /*0x000*/     ULONG32      LockContended : 1;          // 1 BitPosition                  
26.         /*0x000*/     ULONG32      DeleteInProgress : 1;       // 2 BitPosition                  
27.         /*0x000*/     ULONG32      NoChange : 1;               // 3 BitPosition                  
28.         /*0x000*/     ULONG32      VadType : 3;                // 4 BitPosition                  
29.         /*0x000*/     ULONG32      Protection : 5;             // 7 BitPosition                  
30.         /*0x000*/     ULONG32      PreferredNode : 6;          // 12 BitPosition                  
31.         /*0x000*/     ULONG32      PageSize : 2;               // 18 BitPosition                  
32.         /*0x000*/     ULONG32      PrivateMemoryAlwaysSet : 1; // 20 BitPosition                  
33.         /*0x000*/     ULONG32      WriteWatch : 1;             // 21 BitPosition                  
34.         /*0x000*/     ULONG32      FixedLargePageSize : 1;     // 22 BitPosition                  
35.         /*0x000*/     ULONG32      ZeroFillPagesOptional : 1;  // 23 BitPosition                  
36.         /*0x000*/     ULONG32      Graphics : 1;               // 24 BitPosition                  
37.         /*0x000*/     ULONG32      Enclave : 1;                // 25 BitPosition                  
38.         /*0x000*/     ULONG32      ShadowStack : 1;            // 26 BitPosition                  
39. }MM_PRIVATE_VAD_FLAGS, *PMM_PRIVATE_VAD_FLAGS;
42. typedef struct _MMVAD_FLAGS            // 9 elements, 0x4 bytes (sizeof)
43. {
44.         /*0x000*/     ULONG32      Lock : 1;             // 0 BitPosition                  
45.         /*0x000*/     ULONG32      LockContended : 1;    // 1 BitPosition                  
46.         /*0x000*/     ULONG32      DeleteInProgress : 1; // 2 BitPosition                  
47.         /*0x000*/     ULONG32      NoChange : 1;         // 3 BitPosition                  
48.         /*0x000*/     ULONG32      VadType : 3;          // 4 BitPosition                  
49.         /*0x000*/     ULONG32      Protection : 5;       // 7 BitPosition                  
50.         /*0x000*/     ULONG32      PreferredNode : 6;    // 12 BitPosition                 
51.         /*0x000*/     ULONG32      PageSize : 2;         // 18 BitPosition                 
52.         /*0x000*/     ULONG32      PrivateMemory : 1;    // 20 BitPosition                 
53. }MMVAD_FLAGS, *PMMVAD_FLAGS;
55. typedef struct _MM_SHARED_VAD_FLAGS            // 11 elements, 0x4 bytes (sizeof)
56. {
57.         /*0x000*/     ULONG32      Lock : 1;                     // 0 BitPosition                  
58.         /*0x000*/     ULONG32      LockContended : 1;            // 1 BitPosition                  
59.         /*0x000*/     ULONG32      DeleteInProgress : 1;         // 2 BitPosition                  
60.         /*0x000*/     ULONG32      NoChange : 1;                 // 3 BitPosition                  
61.         /*0x000*/     ULONG32      VadType : 3;                  // 4 BitPosition                  
62.         /*0x000*/     ULONG32      Protection : 5;               // 7 BitPosition                  
63.         /*0x000*/     ULONG32      PreferredNode : 6;            // 12 BitPosition                  
64.         /*0x000*/     ULONG32      PageSize : 2;                 // 18 BitPosition                  
65.         /*0x000*/     ULONG32      PrivateMemoryAlwaysClear : 1; // 20 BitPosition                  
66.         /*0x000*/     ULONG32      PrivateFixup : 1;             // 21 BitPosition                  
67.         /*0x000*/     ULONG32      HotPatchAllowed : 1;          // 22 BitPosition                  
68. }MM_SHARED_VAD_FLAGS, *PMM_SHARED_VAD_FLAGS;
70. typedef struct _MMVAD_FLAGS2             // 7 elements, 0x4 bytes (sizeof)
71. {
72.         /*0x000*/     ULONG32      FileOffset : 24;        // 0 BitPosition                  
73.         /*0x000*/     ULONG32      Large : 1;              // 24 BitPosition                 
74.         /*0x000*/     ULONG32      TrimBehind : 1;         // 25 BitPosition                 
75.         /*0x000*/     ULONG32      Inherit : 1;            // 26 BitPosition                 
76.         /*0x000*/     ULONG32      NoValidationNeeded : 1; // 27 BitPosition                 
77.         /*0x000*/     ULONG32      PrivateDemandZero : 1;  // 28 BitPosition                 
78.         /*0x000*/     ULONG32      Spare : 3;              // 29 BitPosition                 
79. }MMVAD_FLAGS2, *PMMVAD_FLAGS2;
81. typedef struct _MMVAD_SHORT
82. {
83.         RTL_BALANCED_NODE VadNode;
84.         UINT32 StartingVpn;               /*0x18*/
85.         UINT32 EndingVpn;                 /*0x01C*/
86.         UCHAR StartingVpnHigh;
87.         UCHAR EndingVpnHigh;
88.         UCHAR CommitChargeHigh;
89.         UCHAR SpareNT64VadUChar;
90.         INT32 ReferenceCount;
91.         EX_PUSH_LOCK PushLock;            /*0x028*/
92.         struct
93.         {
94.                 union
95.                 {
96.                         ULONG_PTR flag;
97.                         MM_PRIVATE_VAD_FLAGS PrivateVadFlags;                        /*0x030*/
98.                         MMVAD_FLAGS  VadFlags;
99.                         MM_GRAPHICS_VAD_FLAGS GraphicsVadFlags;
100.                         MM_SHARED_VAD_FLAGS   SharedVadFlags;
101.                 }Flags;
103.         }u1;
105.         PVOID EventList;                        /*0x038*/
107. }MMVAD_SHORT, *PMMVAD_SHORT;
109. typedef struct _MMADDRESS_NODE
110. {
111.         ULONG64 u1;
112.         struct _MMADDRESS_NODE* LeftChild;
113.         struct _MMADDRESS_NODE* RightChild;
114.         ULONG64 StartingVpn;
115.         ULONG64 EndingVpn;
116. }MMADDRESS_NODE, *PMMADDRESS_NODE;
118. typedef struct _MMEXTEND_INFO     // 2 elements, 0x10 bytes (sizeof)
119. {
120.         /*0x000*/     UINT64       CommittedSize;
121.         /*0x008*/     ULONG32      ReferenceCount;
122.         /*0x00C*/     UINT8        _PADDING0_[0x4];
123. }MMEXTEND_INFO, *PMMEXTEND_INFO;
124. struct _SEGMENT
125. {
126.         struct _CONTROL_AREA* ControlArea;
127.         ULONG TotalNumberOfPtes;
128.         ULONG SegmentFlags;
129.         ULONG64 NumberOfCommittedPages;
130.         ULONG64 SizeOfSegment;
131.         union
132.         {
133.                 struct _MMEXTEND_INFO* ExtendInfo;
134.                 void* BasedAddress;
135.         }u;
136.         ULONG64 SegmentLock;
137.         ULONG64 u1;
138.         ULONG64 u2;
139.         PVOID* PrototypePte;
140.         ULONGLONG ThePtes[0x1];
141. };
143. typedef struct _EX_FAST_REF
144. {
145.         union
146.         {
147.                 PVOID Object;
148.                 ULONG_PTR RefCnt : 3;
149.                 ULONG_PTR Value;
150.         };
151. } EX_FAST_REF, *PEX_FAST_REF;
153. typedef struct _CONTROL_AREA                      // 17 elements, 0x80 bytes (sizeof)
154. {
155.         /*0x000*/     struct _SEGMENT* Segment;
156.         union                                         // 2 elements, 0x10 bytes (sizeof)  
157.         {
158.                 /*0x008*/         struct _LIST_ENTRY ListHead;              // 2 elements, 0x10 bytes (sizeof)  
159.                 /*0x008*/         VOID*        AweContext;
160.         };
161.         /*0x018*/     UINT64       NumberOfSectionReferences;
162.         /*0x020*/     UINT64       NumberOfPfnReferences;
163.         /*0x028*/     UINT64       NumberOfMappedViews;
164.         /*0x030*/     UINT64       NumberOfUserReferences;
165.         /*0x038*/     ULONG32 u;                     // 2 elements, 0x4 bytes (sizeof)   
166.         /*0x03C*/     ULONG32 u1;                    // 2 elements, 0x4 bytes (sizeof)   
167.         /*0x040*/     struct _EX_FAST_REF FilePointer;              // 3 elements, 0x8 bytes (sizeof)   
168.         // 4 elements, 0x8 bytes (sizeof)   
169. }CONTROL_AREA, *PCONTROL_AREA;
171. typedef struct _SUBSECTION_
172. {
173.         struct _CONTROL_AREA* ControlArea;
175. }SUBSECTION, *PSUBSECTION;
177. typedef struct _MMVAD
178. {
179.         MMVAD_SHORT Core;
180.         union                 /*0x040*/
181.         {
182.                 UINT32 LongFlags2;
183.                 //现在用不到省略
184.                 MMVAD_FLAGS2 VadFlags2;
186.         }u2;
187.         PSUBSECTION Subsection;               /*0x048*/
188.         PVOID FirstPrototypePte;        /*0x050*/
189.         PVOID LastContiguousPte;        /*0x058*/
190.         LIST_ENTRY ViewLinks;           /*0x060*/
191.         PEPROCESS VadsProcess;          /*0x070*/
192.         PVOID u4;                       /*0x078*/
193.         PVOID FileObject;               /*0x080*/
194. }MMVAD, *PMMVAD;
196. typedef struct _RTL_AVL_TREE         // 1 elements, 0x8 bytes (sizeof)
197. {
198.         /*0x000*/     struct _RTL_BALANCED_NODE* Root;
199. }RTL_AVL_TREE, *PRTL_AVL_TREE;
201. typedef struct _VAD_INFO_
202. {
203.         ULONG_PTR pVad;
204.         ULONG_PTR startVpn;
205.         ULONG_PTR endVpn;
206.         ULONG_PTR pFileObject;
207.         ULONG_PTR flags;
208. }VAD_INFO, *PVAD_INFO;
210. typedef struct _ALL_VADS_
211. {
212.         ULONG nCnt;
213.         VAD_INFO VadInfos[1];
214. }ALL_VADS, *PALL_VADS;
216. typedef struct _MMSECTION_FLAGS                        // 27 elements, 0x4 bytes (sizeof)
217. {
218.         /*0x000*/     UINT32       BeingDeleted : 1;                     // 0 BitPosition                  
219.         /*0x000*/     UINT32       BeingCreated : 1;                     // 1 BitPosition                  
220.         /*0x000*/     UINT32       BeingPurged : 1;                      // 2 BitPosition                  
221.         /*0x000*/     UINT32       NoModifiedWriting : 1;                // 3 BitPosition                  
222.         /*0x000*/     UINT32       FailAllIo : 1;                        // 4 BitPosition                  
223.         /*0x000*/     UINT32       Image : 1;                            // 5 BitPosition                  
224.         /*0x000*/     UINT32       Based : 1;                            // 6 BitPosition                  
225.         /*0x000*/     UINT32       File : 1;                             // 7 BitPosition                  
226.         /*0x000*/     UINT32       AttemptingDelete : 1;                 // 8 BitPosition                  
227.         /*0x000*/     UINT32       PrefetchCreated : 1;                  // 9 BitPosition                  
228.         /*0x000*/     UINT32       PhysicalMemory : 1;                   // 10 BitPosition                  
229.         /*0x000*/     UINT32       ImageControlAreaOnRemovableMedia : 1; // 11 BitPosition                  
230.         /*0x000*/     UINT32       Reserve : 1;                          // 12 BitPosition                  
231.         /*0x000*/     UINT32       Commit : 1;                           // 13 BitPosition                  
232.         /*0x000*/     UINT32       NoChange : 1;                         // 14 BitPosition                  
233.         /*0x000*/     UINT32       WasPurged : 1;                        // 15 BitPosition                  
234.         /*0x000*/     UINT32       UserReference : 1;                    // 16 BitPosition                  
235.         /*0x000*/     UINT32       GlobalMemory : 1;                     // 17 BitPosition                  
236.         /*0x000*/     UINT32       DeleteOnClose : 1;                    // 18 BitPosition                  
237.         /*0x000*/     UINT32       FilePointerNull : 1;                  // 19 BitPosition                  
238.         /*0x000*/     ULONG32      PreferredNode : 6;                    // 20 BitPosition                  
239.         /*0x000*/     UINT32       GlobalOnlyPerSession : 1;             // 26 BitPosition                  
240.         /*0x000*/     UINT32       UserWritable : 1;                     // 27 BitPosition                  
241.         /*0x000*/     UINT32       SystemVaAllocated : 1;                // 28 BitPosition                  
242.         /*0x000*/     UINT32       PreferredFsCompressionBoundary : 1;   // 29 BitPosition                  
243.         /*0x000*/     UINT32       UsingFileExtents : 1;                 // 30 BitPosition                  
244.         /*0x000*/     UINT32       PageSize64K : 1;                      // 31 BitPosition                  
245. }MMSECTION_FLAGS, *PMMSECTION_FLAGS;
247. typedef struct _SECTION                          // 9 elements, 0x40 bytes (sizeof)
248. {
249.         /*0x000*/     struct _RTL_BALANCED_NODE SectionNode;       // 6 elements, 0x18 bytes (sizeof)
250.         /*0x018*/     UINT64       StartingVpn;
251.         /*0x020*/     UINT64       EndingVpn;
252.         /*0x028*/     union {
253.                 PCONTROL_AREA   ControlArea;
254.                 PVOID   FileObject;
256.         }u1;                   // 4 elements, 0x8 bytes (sizeof)  
257.         /*0x030*/     UINT64       SizeOfSection;
258.         /*0x038*/     union {
259.                 ULONG32 LongFlags;
260.                 MMSECTION_FLAGS Flags;
261.         }u;                    // 2 elements, 0x4 bytes (sizeof)  
262.         struct                                       // 3 elements, 0x4 bytes (sizeof)  
263.         {
264.                 /*0x03C*/         ULONG32      InitialPageProtection : 12; // 0 BitPosition                  
265.                 /*0x03C*/         ULONG32      SessionId : 19;             // 12 BitPosition                  
266.                 /*0x03C*/         ULONG32      NoValidationNeeded : 1;     // 31 BitPosition                  
267.         };
268. }SECTION, *PSECTION;

复制代码

引入vad.h头文件，并写入如下代码，此处的eprocess_offset_VadRoot以及eprocess_offset_VadCount 则是上方得出的相对于EPROCESS结构的偏移值，每个系统都不一样，版本不同偏移值会不同。

1. #include "vad.h"
2. #include <ntifs.h>
4. // 定义VAD相对于EProcess头部偏移值
5. #define eprocess_offset_VadRoot 0x658
6. #define eprocess_offset_VadCount 0x668
8. VOID EnumVad(PMMVAD Root, PALL_VADS pBuffer, ULONG nCnt)
9. {
10.         if (!Root || !pBuffer || !nCnt)
11.         {
12.                 return;
13.         }
15.         __try
16.         {
17.                 if (nCnt > pBuffer->nCnt)
18.                 {
19.                         // 得到起始页与结束页
20.                         ULONG64 endptr = (ULONG64)Root->Core.EndingVpnHigh;
21.                         endptr = endptr << 32;
23.                         ULONG64 startptr = (ULONG64)Root->Core.StartingVpnHigh;
24.                         startptr = startptr << 32;
26.                         // 得到根节点
27.                         pBuffer->VadInfos[pBuffer->nCnt].pVad = (ULONG_PTR)Root;
29.                         // 起始页: startingVpn * 0x1000
30.                         pBuffer->VadInfos[pBuffer->nCnt].startVpn = (startptr | Root->Core.StartingVpn) << PAGE_SHIFT;
32.                         // 结束页: EndVpn * 0x1000 + 0xfff
33.                         pBuffer->VadInfos[pBuffer->nCnt].endVpn = ((endptr | Root->Core.EndingVpn) << PAGE_SHIFT) + 0xfff;
35.                         // VAD标志 928 = Mapped    1049088 = Private   ....
36.                         pBuffer->VadInfos[pBuffer->nCnt].flags = Root->Core.u1.Flags.flag;
38.                         // 验证节点可读性
39.                         if (MmIsAddressValid(Root->Subsection) && MmIsAddressValid(Root->Subsection->ControlArea))
40.                         {
41.                                 if (MmIsAddressValid((PVOID)((Root->Subsection->ControlArea->FilePointer.Value >> 4) << 4)))
42.                                 {
43.                                         pBuffer->VadInfos[pBuffer->nCnt].pFileObject = ((Root->Subsection->ControlArea->FilePointer.Value >> 4) << 4);
44.                                 }
45.                         }
46.                         pBuffer->nCnt++;
47.                 }
49.                 if (MmIsAddressValid(Root->Core.VadNode.Left))
50.                 {
51.                         // 递归枚举左子树
52.                         EnumVad((PMMVAD)Root->Core.VadNode.Left, pBuffer, nCnt);
53.                 }
55.                 if (MmIsAddressValid(Root->Core.VadNode.Right))
56.                 {
57.                         // 递归枚举右子树
58.                         EnumVad((PMMVAD)Root->Core.VadNode.Right, pBuffer, nCnt);
59.                 }
60.         }
61.         __except (1)
62.         {
63.         }
64. }
66. BOOLEAN EnumProcessVad(ULONG Pid, PALL_VADS pBuffer, ULONG nCnt)
67. {
68.         PEPROCESS Peprocess = 0;
69.         PRTL_AVL_TREE Table = NULL;
70.         PMMVAD Root = NULL;
72.         // 通过进程PID得到进程EProcess
73.         if (NT_SUCCESS(PsLookupProcessByProcessId((HANDLE)Pid, &Peprocess)))
74.         {
75.                 // 与偏移相加得到VAD头节点
76.                 Table = (PRTL_AVL_TREE)((UCHAR*)Peprocess + eprocess_offset_VadRoot);
77.                 if (!MmIsAddressValid(Table) || !eprocess_offset_VadRoot)
78.                 {
79.                         return FALSE;
80.                 }
82.                 __try
83.                 {
84.                         // 取出头节点
85.                         Root = (PMMVAD)Table->Root;
87.                         if (nCnt > pBuffer->nCnt)
88.                         {
89.                                 // 得到起始页与结束页
90.                                 ULONG64 endptr = (ULONG64)Root->Core.EndingVpnHigh;
91.                                 endptr = endptr << 32;
93.                                 ULONG64 startptr = (ULONG64)Root->Core.StartingVpnHigh;
94.                                 startptr = startptr << 32;
96.                                 pBuffer->VadInfos[pBuffer->nCnt].pVad = (ULONG_PTR)Root;
98.                                 // 起始页: startingVpn * 0x1000
99.                                 pBuffer->VadInfos[pBuffer->nCnt].startVpn = (startptr | Root->Core.StartingVpn) << PAGE_SHIFT;
101.                                 // 结束页: EndVpn * 0x1000 + 0xfff
102.                                 pBuffer->VadInfos[pBuffer->nCnt].endVpn = (endptr | Root->Core.EndingVpn) << PAGE_SHIFT;
103.                                 pBuffer->VadInfos[pBuffer->nCnt].flags = Root->Core.u1.Flags.flag;
105.                                 if (MmIsAddressValid(Root->Subsection) && MmIsAddressValid(Root->Subsection->ControlArea))
106.                                 {
107.                                         if (MmIsAddressValid((PVOID)((Root->Subsection->ControlArea->FilePointer.Value >> 4) << 4)))
108.                                         {
109.                                                 pBuffer->VadInfos[pBuffer->nCnt].pFileObject = ((Root->Subsection->ControlArea->FilePointer.Value >> 4) << 4);
110.                                         }
111.                                 }
112.                                 pBuffer->nCnt++;
113.                         }
115.                         // 枚举左子树
116.                         if (Table->Root->Left)
117.                         {
118.                                 EnumVad((MMVAD*)Table->Root->Left, pBuffer, nCnt);
119.                         }
121.                         // 枚举右子树
122.                         if (Table->Root->Right)
123.                         {
124.                                 EnumVad((MMVAD*)Table->Root->Right, pBuffer, nCnt);
125.                         }
126.                 }
127.                 __finally
128.                 {
129.                         ObDereferenceObject(Peprocess);
130.                 }
131.         }
132.         else
133.         {
134.                 return FALSE;
135.         }
137.         return TRUE;
138. }
140. VOID UnDriver(PDRIVER_OBJECT driver)
141. {
142.         DbgPrint(("Uninstall Driver Is OK \n"));
143. }
145. NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
146. {
147.         DbgPrint(("hello lyshark \n"));
149.         typedef struct
150.         {
151.                 ULONG nPid;
152.                 ULONG nSize;
153.                 PALL_VADS pBuffer;
154.         }VADProcess;
156.         __try
157.         {
158.                 VADProcess vad = { 0 };
160.                 vad.nPid = 4520;
162.                 // 默认有1000个线程
163.                 vad.nSize = sizeof(VAD_INFO) * 0x5000 + sizeof(ULONG);
165.                 // 分配临时空间
166.                 vad.pBuffer = (PALL_VADS)ExAllocatePool(PagedPool, vad.nSize);
168.                 // 根据传入长度得到枚举数量
169.                 ULONG nCount = (vad.nSize - sizeof(ULONG)) / sizeof(VAD_INFO);
171.                 // 枚举VAD
172.                 EnumProcessVad(vad.nPid, vad.pBuffer, nCount);
175.                 // 输出VAD
176.                 for (size_t i = 0; i < vad.pBuffer->nCnt; i++)
177.                 {
178.                         DbgPrint("StartVPN = %p | ", vad.pBuffer->VadInfos[i].startVpn);
179.                         DbgPrint("EndVPN = %p | ", vad.pBuffer->VadInfos[i].endVpn);
180.                         DbgPrint("PVAD = %p | ", vad.pBuffer->VadInfos[i].pVad);
181.                         DbgPrint("Flags = %d | ", vad.pBuffer->VadInfos[i].flags);
182.                         DbgPrint("pFileObject = %p \n", vad.pBuffer->VadInfos[i].pFileObject);
183.                 }
184.         }
185.         __except (1)
186.         {
187.         }
189.         Driver->DriverUnload = UnDriver;
190.         return STATUS_SUCCESS;
191. }

复制代码

程序运行后输出效果如下：


免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！

---

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)

Powered by Discuz! X3.4