在上一篇文章《内核中实现Dump进程转储》中我们实现了ARK工具的转存功能，本篇文章继续以内存为出发点介绍VAD结构，该结构的全程是VirtualAddressDescriptor即虚拟地址描述符，VAD是一个AVL自平衡二叉树，树的每一个节点代表一段虚拟地址空间。程序中的代码段，数据段，堆段都会各种占用一

在上一篇文章《驱动开发：内核中实现Dump进程转储》中我们实现了ARK工具的转存功能，本篇文章继续以内存为出发点介绍VAD结构，该结构的全程是VirtualAddressDescriptor即虚拟地

在上一篇文章《驱动开发：内核中实现Dump进程转储》中我们实现了ARK工具的转存功能，本篇文章继续以内存为出发点介绍VAD结构，该结构的全程是VirtualAddressDescriptor即虚拟

PEB结构(ProcessEnvirormentBlockStructure)其中文名是进程环境块信息，进程环境块内部包含了进程运行的详细参数信息，每一个进程在运行后都会存在一个特有的PEB结构，通过附

PEB结构(ProcessEnvirormentBlockStructure)其中文名是进程环境块信息，进程环境块内部包含了进程运行的详细参数信息，每一个进程在运行后都会存在一个特有的PEB结构，通过附