Поделиться через

Функция RtlGetUnloadEventTrace

  • Статья

[Эта функция может быть изменена или удалена из Windows без дополнительного уведомления.]

Позволяет коду дампа получать сведения о выгруженном модуле из Ntdll.dll для хранения в мини-дампе.

Синтаксис

 PRTL_UNLOAD_EVENT_TRACE RtlGetUnloadEventTrace(void);

Параметры

У этой функции нет параметров.

Возвращаемое значение

Эта функция возвращает указатель на массив. Дополнительные сведения см. в подразделе "Примечания".

Комментарии

Массив RtlpUnloadEventTrace определяется следующим образом:

#define RTL_UNLOAD_EVENT_TRACE_NUMBER 64

typedef struct _RTL_UNLOAD_EVENT_TRACE {
    PVOID BaseAddress;   // Base address of dll
    SIZE_T SizeOfImage;  // Size of image
    ULONG Sequence;      // Sequence number for this event
    ULONG TimeDateStamp; // Time and date of image
    ULONG CheckSum;      // Image checksum
    WCHAR ImageName[32]; // Image name
} RTL_UNLOAD_EVENT_TRACE, *PRTL_UNLOAD_EVENT_TRACE;

RTL_UNLOAD_EVENT_TRACE RtlpUnloadEventTrace[RTL_UNLOAD_EVENT_TRACE_NUMBER];

У этой функции нет связанного файла заголовка. Связанная библиотека импорта Ntdll.lib доступна в комплекте драйверов Windows (WDK). Эту функцию также можно вызвать с помощью функций LoadLibrary и GetProcAddress .

Требования

Требование Значение
DLL
Ntdll.dll