RtlGetUnloadEventTraceEx 函式
擷取目前進程的動態卸載模組清單大小和位置。
語法
VOID WINAPI RtlGetUnloadEventTraceEx(
_Out_ PULONG *ElementSize,
_Out_ PULONG *ElementCount,
_Out_ PVOID *EventTrace
);
參數
-
ElementSize [out]
-
包含清單中專案大小的變數指標。
-
ElementCount [out]
-
包含清單中專案數之變數的指標。
-
EventTrace [out]
-
RTL_UNLOAD_EVENT_TRACE結構的陣列指標。 如需詳細資訊,請參閱<備註>。
傳回值
此函式不會傳回值。
備註
載入器會將卸載的事件資訊儲存在可跨進程讀取的位置,方法是利用Ntdll.dll在所有進程中的相同基底位址載入的事實。 當偵錯工具需要查詢卸載的模組資訊時,它會呼叫此函式來判斷變數所在的位址,然後查詢目標進程中的虛擬記憶體,以讀取實際值。
清單中的每個元素都會定義如下。
typedef struct _RTL_UNLOAD_EVENT_TRACE {
PVOID BaseAddress; // Base address of dll
SIZE_T SizeOfImage; // Size of image
ULONG Sequence; // Sequence number for this event
ULONG TimeDateStamp; // Time and date of image
ULONG CheckSum; // Image checksum
WCHAR ImageName[32]; // Image name
} RTL_UNLOAD_EVENT_TRACE, *PRTL_UNLOAD_EVENT_TRACE;
此函式沒有相關聯的標頭檔。 Windows 驅動程式套件 (WDK) 中提供相關聯的匯入程式庫 Ntdll.lib。 您也可以使用 LoadLibrary 和 GetProcAddress 函式來呼叫此函式。
規格需求
需求 | 值 |
---|---|
DLL |
|