Merhaba.
* VAD Nedir ? ( En Basit Haliyle ) :
İşte VAD ( Virtual Address Descriptor ), bu sanal bellek alanının içindekiler tablosudur.
İşletim sistemi ( Windows ), bir işleme ait her bir bellek bloğunun ( mapping ) kaydını tutmak için VAD yapılarını kullanır. Eğer bir program " Bana şu adresteki veriyi ver " derse, Windows önce VAD ağacına bakar: " Bu adres bu programa mı ait ? İzni var mı ? Bellekte mi yoksa diskte mi ?" sorularını sorar.
* Teknik Mimari: AVL Ağaçları ?
VAD yapıları işletim sistemi çekirdeğinde ( kernel ) rastgele durmazlar. Bunlar, bilgisayar bilimlerinde AVL Tree ( Dengeli İkili Arama Ağacı ) denilen bir veri yapısı şeklinde organize edilirler. Windows için hız her şeydir. Bir işlemci, bir bellek adresine erişmek istediğinde $O(n.)$ gibi yavaş bir hızla tüm listeyi tarayamaz. AVL ağaçları sayesinde arama işlemi $O(\log n)$ karmaşıklığında, yani inanılmaz hızlı gerçekleşir.
Kod:
Her bir " yaprak " ( node ), bir bellek aralığını temsil eder. Örneğin:
Başlangıç Adresi: 0x00400000
Bitiş Adresi: 0x00450000
İzinler: Sadece Okunabilir (Read-Only)
Tür: Mapped (Bir dosyaya bağlı)* VAD, Adli Tıp ( Forensics ) İçin Neden Hayati Önemde ?
Bir saldırgan (
) veya gelişmiş bir malware, kendini sistemden gizlemek istediğinde dosyalarla değil, bellekle oynar. Ancak ne kadar uğraşırlarsa uğraşsınlar, VAD yapılarını tamamen manipüle etmek çok zordur çünkü bunu yapmak sistemi çökertme riskini taşır.1. Gizli DLL ve Kod Enjeksiyonu:
Bir rat, kendini meşru bir sürecin (örneğin explorer.exe) içine enjekte edebilir. Dosya sistemine baktığınızda her şey temiz görünür. Ancak VAD ağacını incelediğinizde, normalde "Read-Only" olması gereken bir bölgenin aniden PAGE_EXECUTE_READWRITE (hem yazılabilir hem çalıştırılabilir) olduğunu görürseniz, orada bir bit yeniği olduğunu anlarsınız. Bu, tipik bir enjeksiyon belirtisidir.2. Process Hollowing:
Saldırganlar, meşru bir süreci askıya alıp içini boşaltır ve kendi zararlı kodlarını yerleştirirler. VAD yapıları, o belleğin aslında hangi dosyaya ait olması gerektiğini söyler. Eğer VAD "Bu bellek bloğu ntdll.dll dosyasına ait olmalı" diyorsa ama içeride alakasız bir kod varsa, yakayı ele verirler.3. Bellek İzinleri ve Tutarsızlıklar:
Windows bellek yönetiminde belirli kurallar vardır. Örneğin, bir bellek bölgesi hem "Yazılabilir" hem de "Çalıştırılabilir" ise, bu her zaman şüphelidir. Analistler Volatility gibi araçlarla vadinfo komutunu çalıştırarak bu izin tutarsızlıklarını saniyeler içinde tespit edebilirler.* Özetle: VAD Neden Önemli ?
VAD'ı anlamak, bir suç mahallinde sadece ortadaki cesede bakmak değil, odadaki gizli bölmeleri ve sahte duvarları bulmak gibidir. Klasik antivirüsler diskteki dosyalara bakar, ancak modern saldırılar bellekte yaşar.
VAD verisi bize şunları söyler:
- Hangi bellek bölgesi hangi amaçla kullanılıyor ?
- Hangi bölgeler "tehlikeli" izinlere sahip ?
- Bellekteki bir veri gerçekten bir dosyadan mı geliyor yoksa havadan mı enjekte edilmiş ?
* Gelelim Şimdi Buraya Kadar Okuyan Üyelerimize Özel Alana 
Herhangi bir hacking aracı ile windows üzerinde çalışma yürüten dostlar için kötü bir haberim var, 03.05.2026 Military Class bir anakartınız veya NIST 800-88 üzeri bir wipe özelliğiniz yoksa eğer, istediğiniz kadar bitlocker atıp sıfırlayın yine de VAD recover ile forensic edilebiliyor. Hele ki hazır araçlar genelde gürültücüdür. bellekte devasa boşluklar açar, izinleri birbirine katar ve adeta ben buradayım diye bağırır. Unutmayın, sistemde bir şeyi gizlemek, onu yok etmek değildir. Vm içinde vm açsanız dahi, chrome üzerinden temp makinaya bağlansanız dahi windows veri kaydeder. Günün sonunda, elinizdeki yöntemler sizi görünmez yapmaz. sadece olası bir incelemede bilirkişiler için yakalanması en kolay hedef haline getirir.
Yakında paylaşıyor olacağım, sevgiler.
Yakında paylaşıyor olacağım, sevgiler.
