Win32_ModuleLoadTrace クラス - WMI Library

Win32_ModuleLoadTrace クラスの説明

ModuleLoadTrace イベント クラスはプロセスが新しいモジュールを読み込んだことを示します。

---

プロパティ リスト

DefaultBase

Data Type: uint64

Access Type: Read Only

NT イメージ ヘッダーに一覧されている既定の読み込み先ベース アドレス。要求されたアドレスが使用できない場合、イメージは別のアドレス (ImageBase) に読み込まれ、読み込み先ベース アドレスが変更されます。

FileName

Data Type: string

Access Type: Read Only

FileName プロパティは読み込まれたモジュールのファイル名を示します。

ImageBase

Data Type: uint64

Access Type: Read Only

ImageBase プロパティはモジュールがプロセス メモリに読み込まれたベース アドレスを示します。

ImageChecksum

Data Type: uint32

Access Type: Read Only

NT イメージ ヘッダーに一覧されている NT イメージ チェックサム (通常はリンク時に設定)。イメージが変更されていないか、同じかを検証するために使用されるハッシュです。注: 暗号化ハッシュではないため、脆弱性があります。

ImageSize

Data Type: uint64

Access Type: Read Only

ImageSize プロパティは、読み込まれたモジュールのサイズをバイトで示します。

ProcessID

Data Type: uint32

Access Type: Read Only

ProcessID プロパティはモジュールを読み込まれたプロセスを示します。

---

メソッド リスト

Win32_ModuleLoadTraceクラスにはメソッドはありません。

---

WQL サンプル

SELECT * FROM Win32_ModuleLoadTrace

VB6/VBS
SWbemServicesクラスのExecQueryメソッドからWQLを実行可能です。
Set PrcSet = Service.ExecQuery("SELECT * FROM Win32_ModuleLoadTrace")

VB.Net
ObjectQueryクラスのQueryStringプロパティにWQLを設定し、ManagementObjectSearcherクラスのGetメソッドからWQLを実行可能です。
Searcher.Query.QueryString = "SELECT * FROM Win32_ModuleLoadTrace"
PrcSrc = Searcher.Get

PowerShell
Get-WmiObjectコマンドレットのqueryオプションを指定しWQLを実行可能です。
Get-WmiObject -query "SELECT * FROM Win32_ModuleLoadTrace"

---

このサイトの情報について

このコンテンツはWMIの各コンポーネントが持っているWin32_ModuleLoadTraceクラス情報を参照・抽出しリファレンスとして作成・提供しています。
参照したWMIの名前空間はroot/CIMV2、書き出し環境はWindows Server 2008 R2になります。

WMIの使い方(VB6, VBS, VBA, VB.NET, VC#, PowerShellを対象)に関してはWMI Stepも参考にしてみてください。(WMI初心者・入門編としてもおすすめです。) 各種言語を使用したWMIを使用するたたき台としてソーステンプレートも公開しています。プログラム/スクリプト作成時に役立てば…と思っています。

今後各WMI ClassをサポートしているOSの種類を掲載する予定です。
予定OS: Windows XP/Windows Vista/Windows 7/Windows Server 2003/Windows Server 2003 R2/Windows Server 2008/Windows Server 2008 R2

---