26 ноября 2000
SECTION_IMAGE_INFORMATION
typedef struct _SECTION_IMAGE_INFORMATION {
PVOID EntryPoint;
ULONG StackZeroBits;
ULONG StackReserved;
ULONG StackCommit;
ULONG ImageSubsystem;
WORD SubSystemVersionLow;
WORD SubSystemVersionHigh;
ULONG Unknown1;
ULONG ImageCharacteristics;
ULONG ImageMachineType;
ULONG Unknown2[3];
} SECTION_IMAGE_INFORMATION, *PSECTION_IMAGE_INFORMATION;
Структура SECTION_IMAGE_INFORMATION возвращается в результате вызова NtQuerySection с классом информации SectionImageInformation.
Система автоматически проверяет тип и содержимое объекта "Файл", переданного в качестве параметра в функцию NtCreateSection, и устанавливает бит SEC_IMAGE в атрибутах секции.
Эта структура очень полезна при создании процесса, так как перед вызовом можно проверить все интересующие
поля заголовка PE непосредственно перед вызовом NtCreateProcess и без отображения секции в память целевого процесса.
EntryPoint
Точка входа образа.
StackZeroBits
Количество бит из левой части адреса стека, которые должны быть установлены в 0. Это означает максимальный размер адреса стека в памяти процесса.
StackReserved
Общий размер стека, в байтах.
StackCommit
Переданный в начале размер блока стека.
ImageSubsystem
Подсистема образа. Может принимать значения IMAGE_SUBSYSTEM_*, описанные в Microsoft SDK и доступные в заголовочном файле <winnt.h>.
SubSystemVersionLow
Младшая часть версии подсистемы.
SubSystemVersionHigh
Старшая часть версии подсистемы.
Unknown1
(?)
ImageCharacteristics
Характеристики DLL.
ImageMachineType
Одно из значений IMAGE_FILE_MACHINE_*.
Unknown2[3]
(?)
Документировал:
Томаш Новак
Зависимости:
Библиотека: ntdll.lib
См. также:
NtCreateProcess
NtCreateSection
NtMapViewOfSection
NtOpenSection
NtQuerySection
SECTION_BASIC_INFORMATION
SECTION_INFORMATION_CLASS