我正在进行有关内存取证的研究,当前我需要学习通过多种技术在内存中查找代码注入的方法。其中一种方法是使用VAD标签进行代码注入。
我试图确切地找出什么是VAD,什么是VAD标签,但我只是找不到一个很好的简单解释。我唯一了解的是VAD是某种win32结构,它与进程的地址空间有关。但我不了解VAD的确切功能,如何使用它注入代码以及如何发现使用VAD标签的RAM中的代码注入。
如果您能指导我完成这项工作,我将不胜感激。谢谢 :)