@Windows XP Professional Service Pack 3 (x86) (5.1, Build 2600)

 lkd> dt -b _LDR_DATA_TABLE_ENTRY

 nt!_LDR_DATA_TABLE_ENTRY

    +0x000 InLoadOrderLinks : _LIST_ENTRY

       +0x000 Flink            : Ptr32

       +0x004 Blink            : Ptr32

    +0x008 InMemoryOrderLinks : _LIST_ENTRY

       +0x000 Flink            : Ptr32

       +0x004 Blink            : Ptr32

    +0x010 InInitializationOrderLinks : _LIST_ENTRY

       +0x000 Flink            : Ptr32

       +0x004 Blink            : Ptr32

    +0x018 DllBase          : Ptr32

    +0x01c EntryPoint       : Ptr32

    +0x020 SizeOfImage      : Uint4B

    +0x024 FullDllName      : _UNICODE_STRING

       +0x000 Length           : Uint2B

       +0x002 MaximumLength    : Uint2B

       +0x004 Buffer           : Ptr32

    +0x02c BaseDllName      : _UNICODE_STRING

       +0x000 Length           : Uint2B

       +0x002 MaximumLength    : Uint2B

       +0x004 Buffer           : Ptr32

    +0x034 Flags            : Uint4B

    +0x038 LoadCount        : Uint2B

    +0x03a TlsIndex         : Uint2B

    +0x03c HashLinks        : _LIST_ENTRY

       +0x000 Flink            : Ptr32

       +0x004 Blink            : Ptr32

    +0x03c SectionPointer   : Ptr32

    +0x040 CheckSum         : Uint4B

    +0x044 TimeDateStamp    : Uint4B

    +0x044 LoadedImports    : Ptr32

    +0x048 EntryPointActivationContext : Ptr32

    +0x04c PatchInformation : Ptr32

@Windows 7 Ultimate (x64) (6.1, Build 7600)

 lkd> dt -b _LDR_DATA_TABLE_ENTRY

 nt!_LDR_DATA_TABLE_ENTRY

    +0x000 InLoadOrderLinks : _LIST_ENTRY

       +0x000 Flink            : Ptr64

       +0x008 Blink            : Ptr64

    +0x010 InMemoryOrderLinks : _LIST_ENTRY

       +0x000 Flink            : Ptr64

       +0x008 Blink            : Ptr64

    +0x020 InInitializationOrderLinks : _LIST_ENTRY

       +0x000 Flink            : Ptr64

       +0x008 Blink            : Ptr64

    +0x030 DllBase          : Ptr64

    +0x038 EntryPoint       : Ptr64

    +0x040 SizeOfImage      : Uint4B

    +0x048 FullDllName      : _UNICODE_STRING

       +0x000 Length           : Uint2B

       +0x002 MaximumLength    : Uint2B

       +0x008 Buffer           : Ptr64

    +0x058 BaseDllName      : _UNICODE_STRING

       +0x000 Length           : Uint2B

       +0x002 MaximumLength    : Uint2B

       +0x008 Buffer           : Ptr64

    +0x068 Flags            : Uint4B

    +0x06c LoadCount        : Uint2B

    +0x06e TlsIndex         : Uint2B

    +0x070 HashLinks        : _LIST_ENTRY

       +0x000 Flink            : Ptr64

       +0x008 Blink            : Ptr64

    +0x070 SectionPointer   : Ptr64

    +0x078 CheckSum         : Uint4B

    +0x080 TimeDateStamp    : Uint4B

    +0x080 LoadedImports    : Ptr64

    +0x088 EntryPointActivationContext : Ptr64

    +0x090 PatchInformation : Ptr64

    +0x098 ForwarderLinks   : _LIST_ENTRY

       +0x000 Flink            : Ptr64

       +0x008 Blink            : Ptr64

    +0x0a8 ServiceTagLinks  : _LIST_ENTRY

       +0x000 Flink            : Ptr64

       +0x008 Blink            : Ptr64

    +0x0b8 StaticLinks      : _LIST_ENTRY

       +0x000 Flink            : Ptr64

       +0x008 Blink            : Ptr64

    +0x0c8 ContextInformation : Ptr64

    +0x0d0 OriginalBase     : Uint8B

    +0x0d8 LoadTime         : _LARGE_INTEGER

       +0x000 LowPart          : Uint4B

       +0x004 HighPart         : Int4B

       +0x000 u                : <unnamed-tag>

          +0x000 LowPart          : Uint4B

          +0x004 HighPart         : Int4B
       +0x000 QuadPart         : Int8B

C++ Code

typedef struct _LDR_DATA_TABLE_ENTRY {

    // Start from Windows XP

    LIST_ENTRY InLoadOrderLinks;

    LIST_ENTRY InMemoryOrderLinks;

    LIST_ENTRY InInitializationOrderLinks;

    PVOID DllBase;

    PVOID EntryPoint;

    ULONG SizeOfImage;

    UNICODE_STRING FullDllName;

    UNICODE_STRING BaseDllName;

    ULONG Flags;

    USHORT LoadCount;

    USHORT TlsIndex;

    union {

        LIST_ENTRY HashLinks;

        struct {

            PVOID SectionPointer;

            ULONG CheckSum;

        };

    };

    union {

        ULONG TimeDateStamp;

        PVOID LoadedImports;

    };

    PVOID EntryPointActivationContext;        //_ACTIVATION_CONTEXT *

    PVOID PatchInformation;

    // Start from Windows Vista

    LIST_ENTRY ForwarderLinks;

    LIST_ENTRY ServiceTagLinks;

    LIST_ENTRY StaticLinks;

    PVOID ContextInformation;

    PVOID OriginalBase;

    LARGE_INTEGER LoadTime;

} LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;

[驱动开发] struct _LDR_DATA_TABLE_ENTRY的更多相关文章

  1. 驱动开发:内核中实现Dump进程转储

    多数ARK反内核工具中都存在驱动级别的内存转存功能,该功能可以将应用层中运行进程的内存镜像转存到特定目录下,内存转存功能在应对加壳程序的分析尤为重要,当进程在内存中解码后,我们可以很容易的将内存镜像导 ...

  2. Linux驱动开发概述

    原文出处:http://www.cnblogs.com/jacklu/p/4722563.html Linux设备分类 设备的驱动程序也要像裸机程序那样进行一些硬件操作,不同的是驱动程序需要" ...

  3. Android驱动开发5-8章读书笔记

    Android驱动开发读书笔记                                                              第五章 S5PV210是一款32位处理器,具有 ...

  4. 驱动开发学习笔记. 0.05 linux 2.6 platform device register 平台设备注册 2/2 共2篇

    驱动开发读书笔记. 0.05 linux 2.6 platform device register 平台设备注册 2/2 共2篇 下面这段摘自 linux源码里面的文档 : 内核版本2.6.22Doc ...

  5. 驱动开发学习笔记. 0.04 linux 2.6 platform device register 平台设备注册 1/2 共2篇

    驱动开发读书笔记. 0.04  linux 2.6 platform device register 平台设备注册  1/2 共2篇下面这段摘自 linux源码里面的文档 : Documentatio ...

  6. 嵌入式Linux驱动开发日记

    嵌入式Linux驱动开发日记 主机硬件环境 开发机:虚拟机Ubuntu12.04 内存: 1G 硬盘:80GB 目标板硬件环境 CPU: SP5V210 (开发板:QT210) SDRAM: 512M ...

  7. 嵌入式linux驱动开发之点亮led(驱动编程思想之初体验)

    这节我们就开始开始进行实战啦!这里顺便说一下啊,出来做开发的基础很重要啊,基础不好,迟早是要恶补的.个人深刻觉得像这种嵌入式的开发对C语言和微机接口与原理是非常依赖的,必须要有深厚的基础才能hold的 ...

  8. [Windows驱动开发](二)基础知识——数据结构

    本节主要介绍驱动开发的一些基础知识. 1. 驱动程序的基本组成 1.1. 最经常见到的数据结构 a. DRIVER_OBJECT驱动对象 // WDK中对驱动对象的定义 // 每个驱动程序都会有一个唯 ...

  9. Linux驱动开发 -- 打开dev_dbg()

    Linux驱动开发 -- 打开dev_dbg() -- :: 分类: LINUX linux设备驱动调试,我们在内核中看到内核使用dev_dbg来控制输出信息,这个函数的实质是调用printk(KER ...

随机推荐

  1. 在update时用触发器插入数据

    CREATE trigger [dbo].[Debt_Insert] on [dbo].[Debt] for insert as declare @tmpOrderID1 varchar(30)sel ...

  2. 为Node.js编写组件的几种方式

    本文主要备忘为Node.js编写组件的三种实现:纯js实现.v8 API实现(同步&异步).借助swig框架实现. 关键字:Node.js.C++.v8.swig.异步.回调. 简介 首先介绍 ...

  3. CentOS搭建VPN

    安装ppp #yum install ppp 安装pptpd 配置软件源,修改/etc/yum.repos.d/Doylenet.repo,如果系统没有该文件则创建 #vim /etc/yum.rep ...

  4. 如何通过命令行创建和设置一个MySQL用户

    我想要在MySQL服务器上创建一个新的用户帐号,并且赋予他适当的权限和资源限制.如何通过命令行的方式来创建并且设置一个MySQL用户呢? 要访问一个MySQL服务器,你需要使用一个用户帐号登录其中方可 ...

  5. github上面建立分支

    首先是有一个github的账户,然后随便开个项目. 好了,现在把git命令行打开,输入下面几行代码. git clone https://github.com/user/repository.git ...

  6. 模仿JavaAppArguments.java示例,编写一个程序,此程序从命令行接收多个数 字,求和之后输出结果,写出其的设计思想、程序流程图、源程序代码。

    一 设计思想 首先现在file中建立一个类,并把任务名和类名写上(注意类名的大写):第二步则是参数的输入,并且定义求和变量:第三步则是对参数数据类型的要求,要把字符类型转化为整数类型并输出(这也是本道 ...

  7. 利用WPS 2012/2013 0day针对中国政府部门的定向攻击

    今天早上,我们捕获到一个利用wps 2012/2013 0day针对中国政府部门的钓鱼邮件定向攻击事件. 邮件发件人以2014中国经济形势解析高层报告组委会 标题发出,附件为包含wps2012 0da ...

  8. C++中的数组越界

    C++中数组发生越界错误时, compiling过程不会报错, linking过程也不会报错, 会在executing过程中发生意想不到的错误或问题.

  9. ubuntu 12.04 java 环境的配置

    首先从官网下载JDK 链接地址: ...sudo gedit ~/.bashrc #Java Pathexport JAVA_HOME=/home/pan60157/java/jdk1.6.0_45e ...

  10. java中的反射机制在Android开发中的用处

    JAVA反射机制是在运行状态中,对于任意一个类,都能够知道这个类的所有属性和方法:对于任意一个对象,都能够调用它的任意一个方法和属性:这种动态获取的信息以及动态调用对象的方法的功能称为java语言的反 ...