内核远程堆分配与销毁：运用ZwAllocateVirtualMemoryZwFreeVirtualMemory实现内存管理.pdfVIP

在开始学习内核内存读写篇之前，我们先来实现一个简单的内存分配销毁堆的功能，在内核空间内用户依然可

以动态地申请与销毁一段的堆空间。通常来说，内核中了ZwAllocateVirtualMemory这个函数用于

专门分配虚拟空间，而与之相对应的则是ZwFreeVirtualMemory此函数则用于销毁堆内存。当我们需要分配

内核空间时，往往需要切换到对端进程栈上再进行操作。接下来LyShark将从API开始介绍如何运用这两个函

数实现内存分配与使用，并以此来作为驱动读写篇的知识。

首先以内存分配为例ZwAllocateVirtualMemory()函数，该系列函数在ntifs.h头文件内，且如果需要使用

则提前在程序头部进行，该函数的微软定义如下所示；

NTSYINTSTATUSZwAllocateVirtualMemory(

进程处理，

//指向将接收已分配页面区域基址的变量的指

针//节视图基址中必须为