探讨关于MiAllocatePool申请内存的部分算法
无需任何API枚举信息

下文描述的调用过程:MiAllocatePool->ExpAllocatePoolWithTagFromNode->ExAllocateHeapPool->RtlpHpLfhSlotAllocate

非分页内存下
首先让我们回顾一下VAD树

不知道有没有细心的师傅们观察过_MMVAD结构这个地址是存在一个非常有规律的内存布局
当有模块的情况下

我们仔细观察发现 它是一个极其规律的布局形式
既然存在这么一块区域,我们就可以遍历

如何找到想要的区域起始位置?
这里微软给出了答案:
在RtlpHpLfhSlotAllocate下的

就是想要的起始位置
我们向上看发现

继续看AffinitySlotPtr_buffer来源

来源于第三个参数,追回到上一层
其第三个参数是一个算法过程:

这里有几个参数过程很麻烦 很复杂这里给各位整理之后的算法 (Windows 10 21H2 19044)

这样我们就精准的定位到了这块区域的起始位置,当然逆向出算法仅仅是一种提高效率的方法,还有很多暴力搜索的方法各位师傅们可以自行探索,这里暂时不作研究
有了起始地址之后,我们就可以进行内存暴力搜索,这里就比较容易
举个例子,我们要得到MMVAD结构的模块信息,只需要在这块内存中

找到这个Vad的码然后+0x10的位置就是 MMVAD Address
那么MMVAD+0x70的位置然后 &~0xf 就是EPROCESS 这里可以用作枚举进程
当然这里是不同的内存区域情况,不仅局限于VAD还有更多的信息不言而喻>>>

[培训]科锐逆向工程师培训第53期2025年7月8日开班！