Может кто-нибудь объяснить системный вызов Windows ZwMapViewOfSection, чтобы нуб (я) мог понять?

Question

Я изучаю набор системных вызовов Windows API, выполняемых вредоносной программой, работающей в «песочнице», чтобы понять ее злонамеренные намерения.К сожалению, я изо всех сил пытаюсь понять функцию ZwMapViewOfSection, описанную в документации: https://docs.microsoft.com/en-us/windows-hardware/drivers/ddi/content/wdm/nf-wdm-zwmapviewofsection

Теперь я понимаю, что эта функция связана с отображением физической памяти в виртуальную память в таблице страниц.Кроме того, я нахожу документацию загадочной и не дружелюбной для начинающих.Я также сбит с толку, почему они называют блоки физической памяти «секциями», а не «фреймами» (если это то, на что они действительно ссылаются - мне не ясно).Кто-нибудь может дать более интуитивное объяснение этого системного вызова и что он вообще делает?Это обычный системный вызов для программ или он ограничен вредоносным ПО?Спасибо.

Answer 1

Обычно обычные программы выполняют этот вызов (конечно, не напрямую), каждая программа будет вызывать его несколько раз во время инициализации, по крайней мере (ZwMapViewOfSection используется при выполнении резервного копирования памяти, используемого для реализации исполняемого файла).разделы самого кода).Не так часто встречается во время нормального программного кода, но также не редкость.Особенно часто, если программа выполняет динамическую загрузку DLL, но легитимные программы могут также выполнять сопоставление памяти с вводом-выводом по своим собственным причинам.

Она работает с объектами раздела памяти (я так и не понял этого имени), которые являются одним из них.часть связи между дисковыми файлами и отображаемыми в памяти областями, раздел создается с помощью ZwCreateSection или открывается с помощью ZwOpenSection, а затем другая часть вступает в игру с ZwMapViewOfSection.

Какая часть этого, собственно, вас смущает?Знание этого значительно облегчит предоставление информативного ответа.