Структуры RTL_PROCESS_MODULE_INFORMATION, RTL_PROCESS_MODULES
реклама
RTL_PROCESS_MODULE_INFORMATION
RTL_PROCESS_MODULES
возвращаемые ZwQuerySystemInformation с SystemInformationClass=SystemModuleInformation=11
Их определение можно найти например в справочнике по NativeAPI (SYSTEM_MODULE_INFORMATION), книге "UNDOCUMENTED WINDOWS 2000 SECRETS" от SVEN B. SCHREIBER (MODULE_INFO,MODULE_LIST) и хедере rtltypes.h проекта reactos http://www.reactos.org/generated/doxygen/df/d6b/rtltypes_8h-source.html
Однако эти исходники не совсем соответcтвуют реальным микрософтовским - они вполне рабочие на 32 битных системах, но нерабочие - на 64 битных.
В результате исследования возвращаемых на 64 битной WinXP x64 значений и изучения (частичных) исходников ядра Win 2000 более-менее правдоподобными следует признать следующие описания данных структур:
//
// Information Structures for RTL Debug Functions
//
typedef struct _RTL_PROCESS_MODULE_INFORMATION
{
PVOID Reserved1;
PVOID MappedBase; // Always NULL
PVOID ImageBase;
ULONG ImageSize;
ULONG Flags;
USHORT LoadOrderIndex; // 0..RTL_PROCESS_MODULES.NumberOfModules-1
USHORT InitOrderIndex; // 0 for drivers, =LoadOrderIndex for user mode DLLs (NTDLL.DLL)
USHORT LoadCount;
USHORT OffsetToFileName;
CHAR FullPathName[MAXIMUM_FILENAME_LENGTH];
} RTL_PROCESS_MODULE_INFORMATION, *PRTL_PROCESS_MODULE_INFORMATION;
typedef struct _RTL_PROCESS_MODULES
{
ULONG NumberOfModules;
RTL_PROCESS_MODULE_INFORMATION Modules[];
} RTL_PROCESS_MODULES, *PRTL_PROCESS_MODULES;
реклама
Лента материалов
Соблюдение Правил конференции строго обязательно!
Флуд, флейм и оффтоп преследуются по всей строгости закона!
Комментарии, содержащие оскорбления, нецензурные выражения (в т.ч. замаскированный мат), экстремистские высказывания, рекламу и спам, удаляются независимо от содержимого, а к их авторам могут применяться меры вплоть до запрета написания комментариев и, в случае написания комментария через социальные сети, жалобы в администрацию данной сети.
Сейчас обсуждают