@Windows XP Professional Service Pack 3 (x86) (5.1, Build 2600)

 lkd> dt -b _LDR_DATA_TABLE_ENTRY

 nt!_LDR_DATA_TABLE_ENTRY

    +0x000 InLoadOrderLinks : _LIST_ENTRY

       +0x000 Flink            : Ptr32

       +0x004 Blink            : Ptr32

    +0x008 InMemoryOrderLinks : _LIST_ENTRY

       +0x000 Flink            : Ptr32

       +0x004 Blink            : Ptr32

    +0x010 InInitializationOrderLinks : _LIST_ENTRY

       +0x000 Flink            : Ptr32

       +0x004 Blink            : Ptr32

    +0x018 DllBase          : Ptr32

    +0x01c EntryPoint       : Ptr32

    +0x020 SizeOfImage      : Uint4B

    +0x024 FullDllName      : _UNICODE_STRING

       +0x000 Length           : Uint2B

       +0x002 MaximumLength    : Uint2B

       +0x004 Buffer           : Ptr32

    +0x02c BaseDllName      : _UNICODE_STRING

       +0x000 Length           : Uint2B

       +0x002 MaximumLength    : Uint2B

       +0x004 Buffer           : Ptr32

    +0x034 Flags            : Uint4B

    +0x038 LoadCount        : Uint2B

    +0x03a TlsIndex         : Uint2B

    +0x03c HashLinks        : _LIST_ENTRY

       +0x000 Flink            : Ptr32

       +0x004 Blink            : Ptr32

    +0x03c SectionPointer   : Ptr32

    +0x040 CheckSum         : Uint4B

    +0x044 TimeDateStamp    : Uint4B

    +0x044 LoadedImports    : Ptr32

    +0x048 EntryPointActivationContext : Ptr32

    +0x04c PatchInformation : Ptr32

@Windows 7 Ultimate (x64) (6.1, Build 7600)

 lkd> dt -b _LDR_DATA_TABLE_ENTRY

 nt!_LDR_DATA_TABLE_ENTRY

    +0x000 InLoadOrderLinks : _LIST_ENTRY

       +0x000 Flink            : Ptr64

       +0x008 Blink            : Ptr64

    +0x010 InMemoryOrderLinks : _LIST_ENTRY

       +0x000 Flink            : Ptr64

       +0x008 Blink            : Ptr64

    +0x020 InInitializationOrderLinks : _LIST_ENTRY

       +0x000 Flink            : Ptr64

       +0x008 Blink            : Ptr64

    +0x030 DllBase          : Ptr64

    +0x038 EntryPoint       : Ptr64

    +0x040 SizeOfImage      : Uint4B

    +0x048 FullDllName      : _UNICODE_STRING

       +0x000 Length           : Uint2B

       +0x002 MaximumLength    : Uint2B

       +0x008 Buffer           : Ptr64

    +0x058 BaseDllName      : _UNICODE_STRING

       +0x000 Length           : Uint2B

       +0x002 MaximumLength    : Uint2B

       +0x008 Buffer           : Ptr64

    +0x068 Flags            : Uint4B

    +0x06c LoadCount        : Uint2B

    +0x06e TlsIndex         : Uint2B

    +0x070 HashLinks        : _LIST_ENTRY

       +0x000 Flink            : Ptr64

       +0x008 Blink            : Ptr64

    +0x070 SectionPointer   : Ptr64

    +0x078 CheckSum         : Uint4B

    +0x080 TimeDateStamp    : Uint4B

    +0x080 LoadedImports    : Ptr64

    +0x088 EntryPointActivationContext : Ptr64

    +0x090 PatchInformation : Ptr64

    +0x098 ForwarderLinks   : _LIST_ENTRY

       +0x000 Flink            : Ptr64

       +0x008 Blink            : Ptr64

    +0x0a8 ServiceTagLinks  : _LIST_ENTRY

       +0x000 Flink            : Ptr64

       +0x008 Blink            : Ptr64

    +0x0b8 StaticLinks      : _LIST_ENTRY

       +0x000 Flink            : Ptr64

       +0x008 Blink            : Ptr64

    +0x0c8 ContextInformation : Ptr64

    +0x0d0 OriginalBase     : Uint8B

    +0x0d8 LoadTime         : _LARGE_INTEGER

       +0x000 LowPart          : Uint4B

       +0x004 HighPart         : Int4B

       +0x000 u                : <unnamed-tag>

          +0x000 LowPart          : Uint4B

          +0x004 HighPart         : Int4B
       +0x000 QuadPart         : Int8B

C++ Code

typedef struct _LDR_DATA_TABLE_ENTRY {

    // Start from Windows XP

    LIST_ENTRY InLoadOrderLinks;

    LIST_ENTRY InMemoryOrderLinks;

    LIST_ENTRY InInitializationOrderLinks;

    PVOID DllBase;

    PVOID EntryPoint;

    ULONG SizeOfImage;

    UNICODE_STRING FullDllName;

    UNICODE_STRING BaseDllName;

    ULONG Flags;

    USHORT LoadCount;

    USHORT TlsIndex;

    union {

        LIST_ENTRY HashLinks;

        struct {

            PVOID SectionPointer;

            ULONG CheckSum;

        };

    };

    union {

        ULONG TimeDateStamp;

        PVOID LoadedImports;

    };

    PVOID EntryPointActivationContext;        //_ACTIVATION_CONTEXT *

    PVOID PatchInformation;

    // Start from Windows Vista

    LIST_ENTRY ForwarderLinks;

    LIST_ENTRY ServiceTagLinks;

    LIST_ENTRY StaticLinks;

    PVOID ContextInformation;

    PVOID OriginalBase;

    LARGE_INTEGER LoadTime;

} LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;

[驱动开发] struct _LDR_DATA_TABLE_ENTRY的更多相关文章

  1. 驱动开发:内核中实现Dump进程转储

    多数ARK反内核工具中都存在驱动级别的内存转存功能,该功能可以将应用层中运行进程的内存镜像转存到特定目录下,内存转存功能在应对加壳程序的分析尤为重要,当进程在内存中解码后,我们可以很容易的将内存镜像导 ...

  2. Linux驱动开发概述

    原文出处:http://www.cnblogs.com/jacklu/p/4722563.html Linux设备分类 设备的驱动程序也要像裸机程序那样进行一些硬件操作,不同的是驱动程序需要" ...

  3. Android驱动开发5-8章读书笔记

    Android驱动开发读书笔记                                                              第五章 S5PV210是一款32位处理器,具有 ...

  4. 驱动开发学习笔记. 0.05 linux 2.6 platform device register 平台设备注册 2/2 共2篇

    驱动开发读书笔记. 0.05 linux 2.6 platform device register 平台设备注册 2/2 共2篇 下面这段摘自 linux源码里面的文档 : 内核版本2.6.22Doc ...

  5. 驱动开发学习笔记. 0.04 linux 2.6 platform device register 平台设备注册 1/2 共2篇

    驱动开发读书笔记. 0.04  linux 2.6 platform device register 平台设备注册  1/2 共2篇下面这段摘自 linux源码里面的文档 : Documentatio ...

  6. 嵌入式Linux驱动开发日记

    嵌入式Linux驱动开发日记 主机硬件环境 开发机:虚拟机Ubuntu12.04 内存: 1G 硬盘:80GB 目标板硬件环境 CPU: SP5V210 (开发板:QT210) SDRAM: 512M ...

  7. 嵌入式linux驱动开发之点亮led(驱动编程思想之初体验)

    这节我们就开始开始进行实战啦!这里顺便说一下啊,出来做开发的基础很重要啊,基础不好,迟早是要恶补的.个人深刻觉得像这种嵌入式的开发对C语言和微机接口与原理是非常依赖的,必须要有深厚的基础才能hold的 ...

  8. [Windows驱动开发](二)基础知识——数据结构

    本节主要介绍驱动开发的一些基础知识. 1. 驱动程序的基本组成 1.1. 最经常见到的数据结构 a. DRIVER_OBJECT驱动对象 // WDK中对驱动对象的定义 // 每个驱动程序都会有一个唯 ...

  9. Linux驱动开发 -- 打开dev_dbg()

    Linux驱动开发 -- 打开dev_dbg() -- :: 分类: LINUX linux设备驱动调试,我们在内核中看到内核使用dev_dbg来控制输出信息,这个函数的实质是调用printk(KER ...

随机推荐

  1. 更新Debian软件源

    更新Debian软件源 sudo cp /etc/apt/sources.list /etc/apt/sources.list_bak #备份一下软件源 sudo vi /etc/apt/source ...

  2. CSS入门

    CSS,层叠样式表,是对web页面显示效果进行控制的一套标准.当页面的内容受多种样式控制,将会按照一定的顺序处理.CSS的作用:(1)将网页的内容结构和格式控制分开.(2)可以精确控制页面的所有元素. ...

  3. web前端,移动开发规范概述

    以下规范建议,均是Alloyteam在日常开发过程中总结提炼出的经验,规范具备较好的项目实践,强烈推荐使用 字体设置 使用无衬线字体 body { font-family: "Helveti ...

  4. app标配控制器:UITabBarController

    UITabBarController UITabBarController和UINavigationController类似可以轻松的管理多个控制器,底部有一个条,底部条tabBar的高度是49. U ...

  5. MS SQL提示列名 'Y' 无效的原因及解决办法

    在作项目写MS SQL 存储过程时,需拼接SQL语句字符串,其中有单字符变量,如下图: 如上图执行存储过程是提示“列名‘Y’无效”.经反复测试,原因在用单字符变量连接SQL字符串是必须在引用变量前后各 ...

  6. C++ TR1 Function Bind

    在C++ 11出现以前,C++的事件一般是通过回调形试来实现,如 void (*func)(int,int,int),其实际上是一种函数指针,在C中调用时是直接写函数名在参数列表中,而在C++中,大部 ...

  7. 扩展django的User的部分方法

    这做项目时发现django自带的User中的字段不够用,默认的auth_user表总共只有11个字段,如果需要更多的字段该怎么办,在网上搜了一下,有这么几种方法. 1. 直接修改django 源码,修 ...

  8. 每天一点 js join 函数

    <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/ ...

  9. <input type="file">火狐兼容

    <input type="file">放着a标签下火狐不兼容 <a href=""><input type="file& ...

  10. php 错误处理函数

    eval()   把子符串当做php 代码执行 // 回调函数function a($b, $c) { echo $b; echo $c; } call_user_func_array('a', ar ...