w10 PEB64 +68h ApiSetMap

[nosos]

собственно вопрос - знает ли кто где можно структуры PEB TEB для в10 посмотреть?
лично у меня возникли проблемы с апи сет мапом...то ли апи сет теперь в пебе по другому адресу. то ли сам апи сет теперь другой.

[Darwin]

А WinDbg там не работает? У нас тут не все с 8-кой работают, не говоря уже про 10-ку.

[nosos]

=) а про вин дбг и про то как он там не работает у меня спрошается чутка ниже в этом же треде.

[DarthTon0]

Аписет другой - https://github.com/DarthTon/Blackbon...lve.cpp#L38-57, https://github.com/DarthTon/Blackbon...piSet.h#L13-68

[nosos]

очень благодарен. а не подскажите как подружить в10 и виндебаг?

[JKornev]

Мб тебе поможет http://eretik.omegahg.com/kd/win1007...041_kdnic.html

[nosos]

Аписет другой - https://github.com/DarthTon/Blackbon...lve.cpp#L38-57, https://github.com/DarthTon/Blackbon...piSet.h#L13-68

в структуре возможно ошибка
typedef struct _API_SET_VALUE_ARRAY_10
{
ULONG Flags;
ULONG NameOffset;
ULONG Unk;
ULONG NameLength;
ULONG DataOffset;
ULONG Count;

в моем в10 так
typedef struct _API_SET_VALUE_ARRAY_10
{
ULONG Flags;
ULONG NameOffset;
ULONG NameLength;
ULONG Unk; значение на 4 меньше чем NameLength
ULONG DataOffset;
ULONG Count;

и еще
typedef struct _API_SET_NAMESPACE_ARRAY_10
{
ULONG Version; 06
ULONG Size;
ULONG Flags;
ULONG Count;
ULONG Start;
ULONG End;
ULONG Unk[2]; у меня Unk[1]

походу разобрался зачем нужно 2 длины имени
имеется форвард апи api-ms-win-core-processthreads-l1-1-0
а в аписет таблице его нет. за то есть api-ms-win-core-processthreads-l1-1-3
так вот похоже вторая длина которая на 2 символа короче просто позволяет не сравнивать последнюю часть имени.
еще интересно что в осях до в10 в форвардах есть приставка api- а в аписет таблице этой приставки нет...поубивал бы гадов.