RtlGetUnloadEventTrace-Funktion
[Diese Funktion kann ohne weitere Ankündigung geändert oder aus Windows entfernt werden.]
Ermöglicht dem Speicherabbildcode, die entladenen Modulinformationen aus Ntdll.dll zur Speicherung im Minidump abzurufen.
Syntax
PRTL_UNLOAD_EVENT_TRACE RtlGetUnloadEventTrace(void);
Parameter
Diese Funktion besitzt keine Parameter.
Rückgabewert
Diese Funktion gibt einen Zeiger auf ein Array zurück. Weitere Informationen finden Sie in den Hinweisen.
Bemerkungen
Das Array RtlpUnloadEventTrace ist wie folgt definiert:
#define RTL_UNLOAD_EVENT_TRACE_NUMBER 64
typedef struct _RTL_UNLOAD_EVENT_TRACE {
PVOID BaseAddress; // Base address of dll
SIZE_T SizeOfImage; // Size of image
ULONG Sequence; // Sequence number for this event
ULONG TimeDateStamp; // Time and date of image
ULONG CheckSum; // Image checksum
WCHAR ImageName[32]; // Image name
} RTL_UNLOAD_EVENT_TRACE, *PRTL_UNLOAD_EVENT_TRACE;
RTL_UNLOAD_EVENT_TRACE RtlpUnloadEventTrace[RTL_UNLOAD_EVENT_TRACE_NUMBER];
Diese Funktion verfügt über keine zugeordnete Headerdatei. Die zugehörige Importbibliothek Ntdll.lib ist im Windows Driver Kit (WDK) verfügbar. Sie können diese Funktion auch mit den Funktionen LoadLibrary und GetProcAddress aufrufen.
Anforderungen
| Anforderung | Wert |
|---|---|
| DLL |
|