SECTION_IMAGE_INFORMATION

Недокументированные функции NTDLL

26 ноября 2000

typedef struct _SECTION_IMAGE_INFORMATION {

  PVOID                   EntryPoint;
  ULONG                   StackZeroBits;
  ULONG                   StackReserved;
  ULONG                   StackCommit;
  ULONG                   ImageSubsystem;
  WORD                    SubSystemVersionLow;
  WORD                    SubSystemVersionHigh;
  ULONG                   Unknown1;
  ULONG                   ImageCharacteristics;
  ULONG                   ImageMachineType;
  ULONG                   Unknown2[3];

} SECTION_IMAGE_INFORMATION, *PSECTION_IMAGE_INFORMATION;

Структура SECTION_IMAGE_INFORMATION возвращается в результате вызова NtQuerySection с классом информации SectionImageInformation. Система автоматически проверяет тип и содержимое объекта "Файл", переданного в качестве параметра в функцию NtCreateSection, и устанавливает бит SEC_IMAGE в атрибутах секции.

Эта структура очень полезна при создании процесса, так как перед вызовом можно проверить все интересующие поля заголовка PE непосредственно перед вызовом NtCreateProcess и без отображения секции в память целевого процесса.

EntryPoint Точка входа образа.

StackZeroBits Количество бит из левой части адреса стека, которые должны быть установлены в 0. Это означает максимальный размер адреса стека в памяти процесса.

StackReserved Общий размер стека, в байтах.

StackCommit Переданный в начале размер блока стека.

ImageSubsystem Подсистема образа. Может принимать значения IMAGE_SUBSYSTEM_*, описанные в Microsoft SDK и доступные в заголовочном файле .

SubSystemVersionLow Младшая часть версии подсистемы.

SubSystemVersionHigh Старшая часть версии подсистемы.

Unknown1 (?)

ImageCharacteristics Характеристики DLL.

ImageMachineType Одно из значений IMAGE_FILE_MACHINE_*.

Unknown2[3] (?)

Документировал:

Томаш Новак

Зависимости: