Função RtlGetUnloadEventTrace
[Essa função pode ser alterada ou removida do Windows sem aviso prévio.]
Permite que o código de despejo obtenha as informações do módulo descarregado de Ntdll.dll para armazenamento no minidespejo.
Sintaxe
PRTL_UNLOAD_EVENT_TRACE RtlGetUnloadEventTrace(void);
Parâmetros
Essa função não tem parâmetros.
Valor retornado
Essa função retorna um ponteiro para uma matriz. Para obter mais informações, consulte Comentários.
Comentários
A matriz RtlpUnloadEventTrace é definida da seguinte maneira:
#define RTL_UNLOAD_EVENT_TRACE_NUMBER 64
typedef struct _RTL_UNLOAD_EVENT_TRACE {
PVOID BaseAddress; // Base address of dll
SIZE_T SizeOfImage; // Size of image
ULONG Sequence; // Sequence number for this event
ULONG TimeDateStamp; // Time and date of image
ULONG CheckSum; // Image checksum
WCHAR ImageName[32]; // Image name
} RTL_UNLOAD_EVENT_TRACE, *PRTL_UNLOAD_EVENT_TRACE;
RTL_UNLOAD_EVENT_TRACE RtlpUnloadEventTrace[RTL_UNLOAD_EVENT_TRACE_NUMBER];
Essa função não tem nenhum arquivo de cabeçalho associado. A biblioteca de importação associada, Ntdll.lib, está disponível no WDK (Kit de Driver do Windows). Você também pode chamar essa função usando as funções LoadLibrary e GetProcAddress .
Requisitos
| Requisito | Valor |
|---|---|
| DLL |
|