在NT中直接访问物理内存

我们知道，在NT/2K/XP中，操作系统利用虚拟内存管理技术来维护地址空间映像，每个进程分配一个4GB的虚拟地址空间。运行在用户态的应用程序，不能直接访问物理内存地址；而运行在核心态的驱动程序，能将虚拟地址空间映射为物理地址空间，从而访问物理内存地址。

如果要在应用程序中以物理地址方式访问内存，自然而然的办法，是编写一个专用的驱动程序（如大家熟悉的WinIO），里面设置一定的IOCTL码，应用程序通过调用DeviceIoCtrol()来实现这样的功能。

那么，有没有一种方法，省去编写专用驱动程序这一步，很方便地就能访问物理内存呢？答案是肯定的。实际上，微软早就给我们准备好了一套办法，只是他们秘而不宣罢了。系统内建一个叫做PhysicalMemory的内核对象，可以通过系统核心文件NTDLL.DLL中的有关API进行操纵，从而实现物理内存的直接访问。微软声称这些API是用于驱动程序开发的，在VC/.NET中未提供原型说明和库文件，然而事实证明在应用程序中调用它们是没有问题的。我们感兴趣的API主要包括：

• ZwOpenSection 或 NtOpenSection - 打开内核对象
• ZwMapViewOfSection 或 NtMapViewOfSection - 映射虚拟地址空间
• ZwUnmapViewOfSection 或 NtUnmapViewOfSection - 取消地址空间映射
• RtlInitUnicodeString - 用UNICODE串初始化UNICODE描述的结构

• 以下的代码描述了如何利用NTDLL.DLL中的上述几个API，实现对物理内存的读取。需要指出的是，只有system拥有读写权限，administrator只有读权限，而user连读权限都没有。这一点，是不能与专用驱动程序方法向相比的。

  在VC/.NET中，由于没有相应的原型说明和库文件，我们用GetProcAddress()进行DLL显式调用。前面大段的代码，用于说明必需的类型和结构。读取物理内存的主要步骤为：打开内核对象 → 映射虚拟地址空间 → 读取(复制)内存 → 取消地址空间映射。

  typedef LONG    NTSTATUS;
   
  typedef struct _UNICODE_STRING
  {
      USHORT Length;
      USHORT MaximumLength;
      PWSTR Buffer;
  } UNICODE_STRING, *PUNICODE_STRING;
   
  typedef enum _SECTION_INHERIT
  {
      ViewShare =