嗯,好像看到一个工具可以读到这个值,不知道是怎么做的. 多谢Raymond.

如何参考uf呢？有啥资料么？

嗯，或者可以试验一下通过调试符号得到函数长度的方法

想实现一个功能：不执行一个函数的代码而直接返回。我想的办法如下：              1。 函数的入口处设置断点              2。找到函数的return address              ...

我的电脑物理内存为1G。 测试如下： 1。 修改Boot.ini multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=''Microsoft Windows XP Professional'' /noexecute=optin /fastdetect multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=''Microsoft Windows XP Professional 512M'' /noexecute=optin /fastdetect /maxmem=512 2. 分别用选项1和选项2启动 3. 调用User mode的函数NtQuerySystemInformation来查看物理内存的大小 ...

另外的一个问题是： NtQuerySystemInformation或者ZWQuerySystemInformation有什么区别么？ 多谢Raymond的回答

问题: 1. 这样的方法得到的是真正的物理内存大小,还是Windows使用的物理内存的大小？ 2. NtQuerySystemInformation这个函数好像NTDLL和NTOSKRNL都有export,一个是从User Mode调用，一个从Kernel Mode调用。但是结果会不会有什么不同？ 3. WDK或者DDK中为什么查不到NtQuerySystemInformation或者ZWQuerySystemInformation。但是我用dependency walker确实有看到这两个函数。

请问如何获得物理内存的大小呢？在boot.ini里可以限制Windows可以使用的最大内存，但是如何得到真正的物理内存大小呢？请指教实现方法！

多谢，晚上联系啊。

使用命令.logopen和.logclose看看。