Dump文件数据存储格式(八)
十、已卸载模块列表流(UnloadedModuleListStream)
UnloadedModuleListStream流包含卸载模块的模块信息。跟随在ModuleListStream的后面。ModuleListStream相关信息如下:
0x29c0+0n26680=0x91f8
而UnloadedModuleListStream相关信息如下:
可知,UnloadedModuleListStream的RVA为0x91f8,所以它紧随在ModuleListStream的后面,大小为324字节。数据如下:
这些数据按如下结构组织:
首先是相当于头结构的_MINIDUMP_UNLOADED_MODULE_LIST,包含流的一些数据量
typedef struct_MINIDUMP_UNLOADED_MODULE_LIST {
ULONG32 SizeOfHeader;
ULONG32 SizeOfEntry;
ULONG32 NumberOfEntries;
} MINIDUMP_UNLOADED_MODULE_LIST,*PMINIDUMP_UNLOADED_MODULE_LIST;
- 上一篇: 仅通过转储来排除内存泄漏
- 下一篇: 使用Java中的InputStream读取文件数据