vad | CN-SEC 中文网

应急响应

九维团队-青队（处置）| 使用内存取证检测高级恶意软件（一）

写在前边1.本文原文为K A, Monnappa. 2018年发表的《Learning Malware Analysis》的章节选段，本文均为译者对相关内容的翻译及实践记录，仅供各位学术交流使用。另出...

11月27日34 views评论

安全新闻

前言想写这篇文章很久了,不过一直没有很好的理由写,前几天冲鸭安全公众号突破900人,所以发一篇这种文章庆祝一下. 相信看我公众号的都是搞安全的,所以让我们从"免杀"为切入点,简单了解一下window...

10月11日58 views评论

程序逆向

Windows内存管理 EPROCESS结构体：在内核中表示一个进程VAD树二叉树，存储进程在内核层申请的虚拟内存信息(x86 EPROCESS+0x11c) (x64 EPROCESS+0x7d8)...

04月26日26 views评论

安全闲碎

前言只有我们知道了windows如何管理内存空间，才能够得心应手的进行对抗，所以了解windows内存管理是很有必要的。内存管理 VAD VAD处于EPROCESS的0x11c偏移处，它是一个二叉...

03月18日23 views评论

程序逆向

前言我们如果想要实现进程隐藏在3环通常会使用到PEB断链去达到隐藏进程的效果，但是那只是表面上的进程隐藏，所有内存的详细信息都会被储存在vad树里面，这里我们就来探究在64位下如何隐藏可执行内存 v...

07月20日206 views评论