RtlGetUnloadEventTrace 函数
[此函数可能会更改或从 Windows 中删除,而无需进一步通知。]
允许转储代码从Ntdll.dll获取已卸载的模块信息,以便在小型转储中存储。
语法
PRTL_UNLOAD_EVENT_TRACE RtlGetUnloadEventTrace(void);
parameters
此函数没有参数。
返回值
此函数返回指向数组的指针。 有关详细信息,请参阅“备注”。
注解
RtlpUnloadEventTrace 数组定义如下:
#define RTL_UNLOAD_EVENT_TRACE_NUMBER 64
typedef struct _RTL_UNLOAD_EVENT_TRACE {
PVOID BaseAddress; // Base address of dll
SIZE_T SizeOfImage; // Size of image
ULONG Sequence; // Sequence number for this event
ULONG TimeDateStamp; // Time and date of image
ULONG CheckSum; // Image checksum
WCHAR ImageName[32]; // Image name
} RTL_UNLOAD_EVENT_TRACE, *PRTL_UNLOAD_EVENT_TRACE;
RTL_UNLOAD_EVENT_TRACE RtlpUnloadEventTrace[RTL_UNLOAD_EVENT_TRACE_NUMBER];
此函数没有关联的头文件。 关联的导入库 Ntdll.lib 在 Windows 驱动程序工具包 (WDK) 中提供。 还可以使用 LoadLibrary 和 GetProcAddress 函数调用此函数。
要求
| 要求 | 值 |
|---|---|
| DLL |
|