共用方式為


RtlGetUnloadEventTraceEx 函式

擷取目前進程的動態卸載模組清單大小和位置。

語法

VOID WINAPI RtlGetUnloadEventTraceEx(
  _Out_ PULONG *ElementSize,
  _Out_ PULONG *ElementCount,
  _Out_ PVOID  *EventTrace
);

參數

ElementSize [out]

包含清單中專案大小的變數指標。

ElementCount [out]

包含清單中專案數之變數的指標。

EventTrace [out]

RTL_UNLOAD_EVENT_TRACE結構的陣列指標。 如需詳細資訊,請參閱<備註>。

傳回值

此函式不會傳回值。

備註

載入器會將卸載的事件資訊儲存在可跨進程讀取的位置,方法是利用Ntdll.dll在所有進程中的相同基底位址載入的事實。 當偵錯工具需要查詢卸載的模組資訊時,它會呼叫此函式來判斷變數所在的位址,然後查詢目標進程中的虛擬記憶體,以讀取實際值。

清單中的每個元素都會定義如下。

typedef struct _RTL_UNLOAD_EVENT_TRACE {
    PVOID BaseAddress;   // Base address of dll
    SIZE_T SizeOfImage;  // Size of image
    ULONG Sequence;      // Sequence number for this event
    ULONG TimeDateStamp; // Time and date of image
    ULONG CheckSum;      // Image checksum
    WCHAR ImageName[32]; // Image name
} RTL_UNLOAD_EVENT_TRACE, *PRTL_UNLOAD_EVENT_TRACE;

此函式沒有相關聯的標頭檔。 Windows 驅動程式套件 (WDK) 中提供相關聯的匯入程式庫 Ntdll.lib。 您也可以使用 LoadLibraryGetProcAddress 函式來呼叫此函式。

規格需求

需求
DLL
Ntdll.dll