Windows 内存分析-VAD标记和代码注入

我正在做一项关于内存取证的研究，目前我需要学习如何通过多种技术找到内存中的代码注入。其中一种方法是使用VAD标记进行代码注入

我试图弄清楚什么是VAD，什么是VAD标签，但我就是找不到一个简单的解释。我唯一理解的是VAD是某种win32结构，它与进程的地址空间有关。但我不明白VAD到底做什么，如何使用它注入代码，以及如何在使用VAD标记的RAM中发现代码注入

如果你能指导我完成这件事，我将不胜感激。

---

谢谢：）

VAD代表虚拟地址描述符。windows内核似乎将进程（或内核？）分配的内存组织为一个VAD标记分配树

我发现了一个似乎实现了记忆取证的项目，并参考了一篇似乎很好地描述了VAD的论文。我现在在手机上，所以我还没有彻底阅读它，但它看起来是一个很有前途的资源

该项目被称为

---

他们引用了一篇名为

线程是旧的，但我发现很好的解释VAD的。这将部分回答你的问题

此链接提供了VAD的详细信息，以及有关与良好快照一起使用的数据结构的更多信息

*虚拟地址描述符可以提供有关指定进程的地址空间的有用信息。它们提供有关PTE保护位、页面继承以及在进程之间共享页面的位置的信息

VAD树基于一种称为AVL树的编程算法，可以在Sysnative上找到一个示例和解释。链接中的进一步说明*