我們知道，在NT/2K/XP中，操作系統利用虛擬內存管理技術來維護地址空間映像，每個進程分配一個4GB的虛擬地址空間。運行在用戶態的應用程序，不能直接訪問物理內存地址；而運行在核心態的驅動程序，能將虛擬地址空間映射為物理地址空間，從而訪問物理內存地址。

如果要在應用程序中以物理地址方式訪問內存，自然而然的辦法，是編寫一個專用的驅動程序（如大家熟悉的WinIO），里面設置一定的IOCTL碼，應用程序通過調用DeviceIoCtrol()來實現這樣的功能。

那么，有沒有一種方法，省去編寫專用驅動程序這一步，很方便地就能訪問物理內存呢？答案是肯定的。實際上，微軟早就給我們準備好了一套辦法，只是他們秘而不宣罷了。系統內建一個叫做PhysicalMemory的內核對象，可以通過系統核心文件NTDLL.DLL中的有關API進行操縱，從而實現物理內存的直接訪問。微軟聲稱這些API是用于驅動程序開發的，在VC/.NET中未提供原型說明和庫文件，然而事實證明在應用程序中調用它們是沒有問題的。我們感興趣的API主要包括：

ZwOpenSection 或 NtOpenSection - 打開內核對象
ZwMapViewOfSection 或 NtMapViewOfSection - 映射虛擬地址空間
ZwUnmapViewOfSection 或 NtUnmapViewOfSection - 取消地址空間映射
RtlInitUnicodeString - 用UNICODE串初始化UNICODE描述的結構
以下的代碼描述了如何利用NTDLL.DLL中的上述幾個API，實現對物理內存的讀取。需要指出的是，只有system擁有讀寫權限，administrator只有讀權限，而user連讀權限都沒有。這一點，是不能與專用驅動程序方法向相比的。

在VC/.NET中，由于沒有相應的原型說明和庫文件，我們用GetProcAddress()進行DLL顯式調用。前面大段的代碼，用于說明必需的類型和結構。讀取物理內存的主要步驟為：打開內核對象 → 映射虛擬地址空間 → 讀取(復制)內存 → 取消地址空間映射。

typedef LONG    NTSTATUS;
 
typedef struct _UNICODE_STRING
{
    USHORT Length;
    USHORT MaximumLength;
    PWSTR Buffer;
} UNICODE_STRING, *PUNICODE_STRING;
 
typedef enum _SECTION_INHERIT
{
    ViewShare = 1,
    ViewUnmap = 2
} SECTION_INHERIT, *PSECTION_INHERIT;
 
typedef struct _OBJECT_ATTRIBUTES
{
    ULONG Length;
    HANDLE RootDirectory;
    PUNICODE_STRING ObjectName;
    ULONG Attributes;
    PVOID SecurityDescriptor;
    PVOID SecurityQualityOfService;
} OBJECT_ATTRIBUTES, *POBJECT_ATTRIBUTES;
 
#define InitializeObjectAttributes( p, n, a, r, s ) { \
    (p)->Length = sizeof( OBJECT_ATTRIBUTES ); \
    (p)->RootDirectory = r; \
    (p)->Attributes = a; \
    (p)->ObjectName = n; \
    (p)->SecurityDescriptor = s; \
    (p)->SecurityQualityOfService = NULL; \
}
 
// Interesting functions in NTDLL
typedef NTSTATUS (WINAPI *ZwOpenSectionProc)
(
    PHANDLE SectionHandle,
    DWORD DesiredAccess,
    POBJECT_ATTRIBUTES ObjectAttributes
);
typedef NTSTATUS (WINAPI *ZwMapViewOfSectionProc)
(
    HANDLE SectionHandle,
    HANDLE ProcessHandle,
    PVOID *BaseAddress,
    ULONG ZeroBits,
    ULONG CommitSize,
    PLARGE_INTEGER SectionOffset,
    PULONG ViewSize,
    SECTION_INHERIT InheritDisposition,
    ULONG AllocationType,
    ULONG Protect
);
typedef NTSTATUS (WINAPI *ZwUnmapViewOfSectionProc)
(
    HANDLE ProcessHandle,
    PVOID BaseAddress
);
typedef VOID (WINAPI *RtlInitUnicodeStringProc)
(
    IN OUT PUNICODE_STRING DestinationString,
    IN PCWSTR SourceString
);
 
// Global variables
static HMODULE hModule = NULL;
static HANDLE hPhysicalMemory = NULL;
static ZwOpenSectionProc ZwOpenSection;
static ZwMapViewOfSectionProc ZwMapViewOfSection;
static ZwUnmapViewOfSectionProc ZwUnmapViewOfSection;
static RtlInitUnicodeStringProc RtlInitUnicodeString;
 
// initialize
BOOL InitPhysicalMemory()
{
    if (!(hModule = LoadLibrary("ntdll.dll")))
    {
        return FALSE;
    }
 
    // 以下從NTDLL獲取我們需要的幾個函數指針
    if (!(ZwOpenSection = (ZwOpenSectionProc)GetProcAddress(hModule, "ZwOpenSection")))
    {
        return FALSE;
    }
 
    if (!(ZwMapViewOfSection = (ZwMapViewOfSectionProc)GetProcAddress(hModule, "ZwMapViewOfSection")))
    {
        return FALSE;
    }
 
    if (!(ZwUnmapViewOfSection = (ZwUnmapViewOfSectionProc)GetProcAddress(hModule, "ZwUnmapViewOfSection")))
    {
        return FALSE;
    }
 
    if (!(RtlInitUnicodeString = (RtlInitUnicodeStringProc)GetProcAddress(hModule, "RtlInitUnicodeString")))
    {
        return FALSE;
    }
 
    // 以下打開內核對象
    WCHAR PhysicalMemoryName[] = L"\\Device\\PhysicalMemory";
    UNICODE_STRING PhysicalMemoryString;
    OBJECT_ATTRIBUTES attributes;
    RtlInitUnicodeString(&PhysicalMemoryString, PhysicalMemoryName);
    InitializeObjectAttributes(&attributes, &PhysicalMemoryString, 0, NULL, NULL);
    NTSTATUS status = ZwOpenSection(&hPhysicalMemory, SECTION_MAP_READ, &attributes );
 
    return (status >= 0);
}
 
// terminate -- free handles
void ExitPhysicalMemory()
{
    if (hPhysicalMemory != NULL)
    {
        CloseHandle(hPhysicalMemory);
    }
 
    if (hModule != NULL)
    {
        FreeLibrary(hModule);
    }
}
 
BOOL ReadPhysicalMemory(PVOID buffer, DWORD address, DWORD length)
{
    DWORD outlen;            // 輸出長度，根據內存分頁大小可能大于要求的長度
    PVOID vaddress;          // 映射的虛地址
    NTSTATUS status;         // NTDLL函數返回的狀態
    LARGE_INTEGER base;      // 物理內存地址
 
    vaddress = 0;
    outlen = length;
    base.QuadPart = (ULONGLONG)(address);
 
    // 映射物理內存地址到當前進程的虛地址空間
    status = ZwMapViewOfSection(hPhysicalMemory,
        (HANDLE) -1,
        (PVOID *)&vaddress,
        0,
        length,
        &base,
        &outlen,
        ViewShare,
        0,
        PAGE_READONLY);
 
    if (status < 0)
    {
        return FALSE;
    }
 
    // 當前進程的虛地址空間中，復制數據到輸出緩沖區
    memmove(buffer, vaddress, length);
 
    // 完成訪問，取消地址映射
    status = ZwUnmapViewOfSection((HANDLE)-1, (PVOID)vaddress);
 
    return (status >= 0);
}
 
// 一個測試函數，從物理地址0xfe000開始，讀取4096個字節
// 對于Award BIOS，可以從這段數據找到序列號等信息
BOOL test()
{
    UCHAR buf[4096];
 
    if (!InitPhysicalMemory())
    {
        return FALSE;
    }
 
    if (!ReadPhysicalMemory(buf, 0xfe000, 4096))
    {
        // ... 成功讀取了指定數據
        ExitPhysicalMemory();
        return FALSE;
    }
 
    ExitPhysicalMemory();
 
    return TRUE;
}

補充說明一點，由于Windows虛擬內存頁面大小默認是4KB，NtMapViewOfSection()返回的虛擬空間基址是按照4KB對齊的，返回的

本文來自CSDN博客，轉載請標明出處：http://blog.csdn.net/coffeemay/archive/2006/10/28/1354465.aspx