Fungsi RtlGetUnloadEventTraceEx
Mengambil ukuran dan lokasi daftar modul yang dibongkar secara dinamis untuk proses saat ini.
Sintaks
VOID WINAPI RtlGetUnloadEventTraceEx(
_Out_ PULONG *ElementSize,
_Out_ PULONG *ElementCount,
_Out_ PVOID *EventTrace
);
Parameter
-
ElementSize [out]
-
Penunjuk ke variabel yang berisi ukuran elemen dalam daftar.
-
ElementCount [out]
-
Penunjuk ke variabel yang berisi jumlah elemen dalam daftar.
-
EventTrace [out]
-
Penunjuk ke array struktur RTL_UNLOAD_EVENT_TRACE . Untuk informasi selengkapnya, lihat Keterangan.
Nilai kembali
Fungsi ini tidak mengembalikan nilai.
Keterangan
Loader menyimpan informasi peristiwa yang tidak dimuat di lokasi yang dapat dibaca di seluruh proses dengan memanfaatkan fakta bahwa Ntdll.dll dimuat pada alamat dasar yang sama di semua proses. Ketika debugger perlu mengkueri informasi modul yang dibongkar, ia memanggil fungsi ini untuk menentukan alamat tempat variabel berada, lalu meminta memori virtual dalam proses target di alamat tersebut untuk membaca nilai aktual.
Setiap elemen dalam daftar didefinisikan sebagai berikut.
typedef struct _RTL_UNLOAD_EVENT_TRACE {
PVOID BaseAddress; // Base address of dll
SIZE_T SizeOfImage; // Size of image
ULONG Sequence; // Sequence number for this event
ULONG TimeDateStamp; // Time and date of image
ULONG CheckSum; // Image checksum
WCHAR ImageName[32]; // Image name
} RTL_UNLOAD_EVENT_TRACE, *PRTL_UNLOAD_EVENT_TRACE;
Fungsi ini tidak memiliki file header terkait. Pustaka impor terkait, Ntdll.lib, tersedia di Windows Driver Kit (WDK). Anda juga dapat memanggil fungsi ini menggunakan fungsi LoadLibrary dan GetProcAddress .
Persyaratan
| Persyaratan | Nilai |
|---|---|
| DLL |
|