ZwQueryVirtualMemory报告进程地址空间中的虚拟内存。我想做同样的事情,但对于系统空间中的分页内存。是否存在处理系统空间而不是处理过程空间的等效函数?
您可以使用ZwQuerySystemInformation和SystemModuleInformation来获取所有正在运行的驱动程序。然后你可以找到你想要的条目,并获得驱动程序的基础和大小。如果你想正确地做到这一点,你可以使用与上面相同的方法,或者使用PsLoadedModuleList来获得目标驱动程序的基础,然后手动遍历带有标题的部分。
还有一个提示,如果你要复制它来转储它,请使用MmCopyMemory。