@Windows XP Professional Service Pack 3 (x86) (5.1, Build 2600)

 lkd> dt -b _LDR_DATA_TABLE_ENTRY

 nt!_LDR_DATA_TABLE_ENTRY

    +0x000 InLoadOrderLinks : _LIST_ENTRY

       +0x000 Flink            : Ptr32

       +0x004 Blink            : Ptr32

    +0x008 InMemoryOrderLinks : _LIST_ENTRY

       +0x000 Flink            : Ptr32

       +0x004 Blink            : Ptr32

    +0x010 InInitializationOrderLinks : _LIST_ENTRY

       +0x000 Flink            : Ptr32

       +0x004 Blink            : Ptr32

    +0x018 DllBase          : Ptr32

    +0x01c EntryPoint       : Ptr32

    +0x020 SizeOfImage      : Uint4B

    +0x024 FullDllName      : _UNICODE_STRING

       +0x000 Length           : Uint2B

       +0x002 MaximumLength    : Uint2B

       +0x004 Buffer           : Ptr32

    +0x02c BaseDllName      : _UNICODE_STRING

       +0x000 Length           : Uint2B

       +0x002 MaximumLength    : Uint2B

       +0x004 Buffer           : Ptr32

    +0x034 Flags            : Uint4B

    +0x038 LoadCount        : Uint2B

    +0x03a TlsIndex         : Uint2B

    +0x03c HashLinks        : _LIST_ENTRY

       +0x000 Flink            : Ptr32

       +0x004 Blink            : Ptr32

    +0x03c SectionPointer   : Ptr32

    +0x040 CheckSum         : Uint4B

    +0x044 TimeDateStamp    : Uint4B

    +0x044 LoadedImports    : Ptr32

    +0x048 EntryPointActivationContext : Ptr32

    +0x04c PatchInformation : Ptr32

@Windows 7 Ultimate (x64) (6.1, Build 7600)

 lkd> dt -b _LDR_DATA_TABLE_ENTRY

 nt!_LDR_DATA_TABLE_ENTRY

    +0x000 InLoadOrderLinks : _LIST_ENTRY

       +0x000 Flink            : Ptr64

       +0x008 Blink            : Ptr64

    +0x010 InMemoryOrderLinks : _LIST_ENTRY

       +0x000 Flink            : Ptr64

       +0x008 Blink            : Ptr64

    +0x020 InInitializationOrderLinks : _LIST_ENTRY

       +0x000 Flink            : Ptr64

       +0x008 Blink            : Ptr64

    +0x030 DllBase          : Ptr64

    +0x038 EntryPoint       : Ptr64

    +0x040 SizeOfImage      : Uint4B

    +0x048 FullDllName      : _UNICODE_STRING

       +0x000 Length           : Uint2B

       +0x002 MaximumLength    : Uint2B

       +0x008 Buffer           : Ptr64

    +0x058 BaseDllName      : _UNICODE_STRING

       +0x000 Length           : Uint2B

       +0x002 MaximumLength    : Uint2B

       +0x008 Buffer           : Ptr64

    +0x068 Flags            : Uint4B

    +0x06c LoadCount        : Uint2B

    +0x06e TlsIndex         : Uint2B

    +0x070 HashLinks        : _LIST_ENTRY

       +0x000 Flink            : Ptr64

       +0x008 Blink            : Ptr64

    +0x070 SectionPointer   : Ptr64

    +0x078 CheckSum         : Uint4B

    +0x080 TimeDateStamp    : Uint4B

    +0x080 LoadedImports    : Ptr64

    +0x088 EntryPointActivationContext : Ptr64

    +0x090 PatchInformation : Ptr64

    +0x098 ForwarderLinks   : _LIST_ENTRY

       +0x000 Flink            : Ptr64

       +0x008 Blink            : Ptr64

    +0x0a8 ServiceTagLinks  : _LIST_ENTRY

       +0x000 Flink            : Ptr64

       +0x008 Blink            : Ptr64

    +0x0b8 StaticLinks      : _LIST_ENTRY

       +0x000 Flink            : Ptr64

       +0x008 Blink            : Ptr64

    +0x0c8 ContextInformation : Ptr64

    +0x0d0 OriginalBase     : Uint8B

    +0x0d8 LoadTime         : _LARGE_INTEGER

       +0x000 LowPart          : Uint4B

       +0x004 HighPart         : Int4B

       +0x000 u                : <unnamed-tag>

          +0x000 LowPart          : Uint4B

          +0x004 HighPart         : Int4B
       +0x000 QuadPart         : Int8B

C++ Code

typedef struct _LDR_DATA_TABLE_ENTRY {

    // Start from Windows XP

    LIST_ENTRY InLoadOrderLinks;

    LIST_ENTRY InMemoryOrderLinks;

    LIST_ENTRY InInitializationOrderLinks;

    PVOID DllBase;

    PVOID EntryPoint;

    ULONG SizeOfImage;

    UNICODE_STRING FullDllName;

    UNICODE_STRING BaseDllName;

    ULONG Flags;

    USHORT LoadCount;

    USHORT TlsIndex;

    union {

        LIST_ENTRY HashLinks;

        struct {

            PVOID SectionPointer;

            ULONG CheckSum;

        };

    };

    union {

        ULONG TimeDateStamp;

        PVOID LoadedImports;

    };

    PVOID EntryPointActivationContext;        //_ACTIVATION_CONTEXT *

    PVOID PatchInformation;

    // Start from Windows Vista

    LIST_ENTRY ForwarderLinks;

    LIST_ENTRY ServiceTagLinks;

    LIST_ENTRY StaticLinks;

    PVOID ContextInformation;

    PVOID OriginalBase;

    LARGE_INTEGER LoadTime;

} LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;

[驱动开发] struct _LDR_DATA_TABLE_ENTRY的更多相关文章

  1. 驱动开发:内核中实现Dump进程转储

    多数ARK反内核工具中都存在驱动级别的内存转存功能,该功能可以将应用层中运行进程的内存镜像转存到特定目录下,内存转存功能在应对加壳程序的分析尤为重要,当进程在内存中解码后,我们可以很容易的将内存镜像导 ...

  2. Linux驱动开发概述

    原文出处:http://www.cnblogs.com/jacklu/p/4722563.html Linux设备分类 设备的驱动程序也要像裸机程序那样进行一些硬件操作,不同的是驱动程序需要" ...

  3. Android驱动开发5-8章读书笔记

    Android驱动开发读书笔记                                                              第五章 S5PV210是一款32位处理器,具有 ...

  4. 驱动开发学习笔记. 0.05 linux 2.6 platform device register 平台设备注册 2/2 共2篇

    驱动开发读书笔记. 0.05 linux 2.6 platform device register 平台设备注册 2/2 共2篇 下面这段摘自 linux源码里面的文档 : 内核版本2.6.22Doc ...

  5. 驱动开发学习笔记. 0.04 linux 2.6 platform device register 平台设备注册 1/2 共2篇

    驱动开发读书笔记. 0.04  linux 2.6 platform device register 平台设备注册  1/2 共2篇下面这段摘自 linux源码里面的文档 : Documentatio ...

  6. 嵌入式Linux驱动开发日记

    嵌入式Linux驱动开发日记 主机硬件环境 开发机:虚拟机Ubuntu12.04 内存: 1G 硬盘:80GB 目标板硬件环境 CPU: SP5V210 (开发板:QT210) SDRAM: 512M ...

  7. 嵌入式linux驱动开发之点亮led(驱动编程思想之初体验)

    这节我们就开始开始进行实战啦!这里顺便说一下啊,出来做开发的基础很重要啊,基础不好,迟早是要恶补的.个人深刻觉得像这种嵌入式的开发对C语言和微机接口与原理是非常依赖的,必须要有深厚的基础才能hold的 ...

  8. [Windows驱动开发](二)基础知识——数据结构

    本节主要介绍驱动开发的一些基础知识. 1. 驱动程序的基本组成 1.1. 最经常见到的数据结构 a. DRIVER_OBJECT驱动对象 // WDK中对驱动对象的定义 // 每个驱动程序都会有一个唯 ...

  9. Linux驱动开发 -- 打开dev_dbg()

    Linux驱动开发 -- 打开dev_dbg() -- :: 分类: LINUX linux设备驱动调试,我们在内核中看到内核使用dev_dbg来控制输出信息,这个函数的实质是调用printk(KER ...

随机推荐

  1. PHP发送电子邮件

    1.导入文件,如本案例把Stmp.class.php放到Common\Common目录下,代码很多,直接复制就行! <?php namespace Common\Common; class Sm ...

  2. 置信度&置信水平&置信区间

    置信水平是指总体参数值落在样本统计值某一区内的概率:而置信区间是指在某一置信水平下,样本统计值与总体参数值间误差范围.置信区间越大,置信水平越高. 例如:估计某件事件完成会在10~12日之间,但这个估 ...

  3. 在 Linux 上配置一个 syslog 服务器

    syslog服务器可以用作一个网络中的日志监控中心,所有能够通过网络来发送日志的设施(包含了Linux或Windows服务器,路由器,交换机以及其他主机)都可以把日志发送给它. 通过设置一个syslo ...

  4. Mysql 服务在本机,需要单机调试Mysql数据库 发生 不认识hostname‘localhost’

    今天在本机安装Mysql Server然后用Workbench打开,连接本机数据库 hostname:localhost port:3306 弹出:localhost 不能连接 错误-1042 尝试了 ...

  5. 使用Word发表博客

        使用浏览器编辑博客,会让你感到非常不方便,如果在没有网络的时候,就不能打开编辑器页面了,只能先写在word或其他编辑软件中.可以设置word使用word编辑并直接发布到博客.   文件 - 新 ...

  6. 常用CSS样式

    1.line-height:行高.默认normal normal:允许内容顶开或溢出制定的容器边界; length:15px,可以为负数; ... 2.overflow:滚动条设置 overflow- ...

  7. java之ubuntu12.04 开发环境配制

    配置java开发环境,即安装jdk: 1.配置环境变量 ,更改/etc/profile文件:sudo gedit /etc/profile; 在文件最后加上如下几行(其实跟windows下的配置原理一 ...

  8. 【转】RadControls for Silverlight(学习2-RadDataPager)

    引用地址:http://www.cnblogs.com/forrestsun/archive/2011/05/15/2046894.html <Grid x:Name="LayoutR ...

  9. 【转】 Easy RadControl 之 RadGridView(Silverlight)

    1.不显示第1列即列指示器(Row Indicators) 在 telerik:RadGridView中设置属性   RowIndicatorVisibility="Collapsed&qu ...

  10. 0x7c95caa2指令引用的0x00000000内存 该内存不能read

    出现这样的错误,往往和动态库有关系! 解决方法: