В свое время, при написании анти-руткита мне понадобилось восстановить структуру спроецированных файлов в пользовательское пространство процесса. Выделения памяти и проекции секций процесса описываются механизмом Virtual Address Descriptors (VAD), указатель, на вершину которого находится в структуре _EPROCESS. VAD в Windows — это сбалансированное бинарное дерево. Первое, что приходит в голову — обходить это дерево [...]
Loading ...