ZwQueryVirtualMemory 函式 (ntifs.h)
ZwQueryVirtualMemory 例程會決定主旨進程虛擬位址空間內頁面區域的狀態、保護和類型。
語法
NTSYSAPI NTSTATUS ZwQueryVirtualMemory(
[in] HANDLE ProcessHandle,
[in, optional] PVOID BaseAddress,
[in] MEMORY_INFORMATION_CLASS MemoryInformationClass,
[out] PVOID MemoryInformation,
[in] SIZE_T MemoryInformationLength,
[out, optional] PSIZE_T ReturnLength
);
參數
[in] ProcessHandle
要查詢頁面所在的進程句柄。 使用 ZwCurrentProcess 宏來指定目前的進程。
[in, optional] BaseAddress
要查詢之頁面區域的基位址。 這個值會四捨五入至下一個主頁面位址界限。
[in] MemoryInformationClass
要擷取資訊的記憶體信息類別。 目前唯 一支援的MEMORY_INFORMATION_CLASS 值為 MemoryBasicInformation。
[out] MemoryInformation
接收指定信息的緩衝區指標。 緩衝區的格式和內容取決於 MemoryInformationClass 參數中指定的指定資訊類別。 當 MemoryBasicInformation 值傳遞至 MemoryInformationClass 時, MemoryInformation 參數值是 MEMORY_BASIC_INFORMATION 結構。
[in] MemoryInformationLength
指定記憶體資訊緩衝區的位元組長度。
[out, optional] ReturnLength
選擇性指標,如果指定,則會接收放在記憶體資訊緩衝區中的位元元組數目。
傳回值
如果呼叫成功,則傳回STATUS_SUCCESS。 如果呼叫失敗,可能的錯誤碼包括下列各項:
| 傳回碼 | Description |
|---|---|
| STATUS_INVALID_PARAMETER | 指定的基位址超出可存取位址的範圍。 |
| STATUS_ACCESS_DENIED | 呼叫端的訪問許可權不足,無法執行要求的動作。 |
| STATUS_INFO_LENGTH_MISMATCH | MemoryInformation 緩衝區大於 MemoryInformationLength。 |
| STATUS_INVALID_INFO_CLASS | MemoryBasicInformation 以外的值已傳遞至 MemoryInformationClass 參數。 |
備註
ZwQueryVirtualMemory 會決定區域內第一頁的狀態,然後從基位址向上掃描進程地址對應中的後續專案,直到掃描整個頁面範圍,或直到遇到一組不相符屬性的頁面為止。 區域屬性、具有相符屬性的頁面區域長度,以及傳回適當的狀態值。
如果頁面的整個區域沒有相符的屬性集, 則 ReturnLength 參數值可用來計算未掃描之頁面區域的地址和長度。
NtQueryVirtualMemory 和 ZwQueryVirtualMemory 是相同 Windows 原生系統服務例程的兩個版本。
對於核心模式驅動程式的呼叫, NtXxx*** 和 ZwXxx*** 版本的 Windows 原生系統服務例程的行為可能會以處理和解譯輸入參數的方式不同。 如需例程 NtXxx 和 ZwXxx 版本之間的關聯性詳細資訊,請參閱 使用 Nt 和 Zw 版本的原生系統服務例程。
規格需求
| 需求 | 值 |
|---|---|
| 最低支援的用戶端 | Windows 10 |
| 目標平台 | Universal |
| 標頭 | ntifs.h |
| 程式庫 | NtosKrnl.lib |
| Dll | NtosKrnl.exe |
另請參閱
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應