R0 CREW

W10 PEB64 +68h ApiSetMap

собственно вопрос - знает ли кто где можно структуры PEB TEB для в10 посмотреть?
лично у меня возникли проблемы с апи сет мапом…то ли апи сет теперь в пебе по другому адресу. то ли сам апи сет теперь другой.

А WinDbg там не работает? У нас тут не все с 8-кой работают, не говоря уже про 10-ку.

=) а про вин дбг и про то как он там не работает у меня спрошается чутка ниже в этом же треде.

Аписет другой - https://github.com/DarthTon/Blackbone/blob/master/src/BlackBone/Misc/NameResolve.cpp#L38-57, https://github.com/DarthTon/Blackbone/blob/master/src/BlackBone/Include/ApiSet.h#L13-68

очень благодарен. а не подскажите как подружить в10 и виндебаг?

Мб тебе поможет http://eretik.omegahg.com/kd/win10074_windbg10041_kdnic.html

в структуре возможно ошибка
typedef struct _API_SET_VALUE_ARRAY_10
{
ULONG Flags;
ULONG NameOffset;
ULONG Unk;
ULONG NameLength;
ULONG DataOffset;
ULONG Count;

в моем в10 так
typedef struct _API_SET_VALUE_ARRAY_10
{
ULONG Flags;
ULONG NameOffset;
ULONG NameLength;
ULONG Unk; значение на 4 меньше чем NameLength
ULONG DataOffset;
ULONG Count;

и еще
typedef struct _API_SET_NAMESPACE_ARRAY_10
{
ULONG Version; 06
ULONG Size;
ULONG Flags;
ULONG Count;
ULONG Start;
ULONG End;
ULONG Unk[2]; у меня Unk[1]

походу разобрался зачем нужно 2 длины имени
имеется форвард апи api-ms-win-core-processthreads-l1-1-0
а в аписет таблице его нет. за то есть api-ms-win-core-processthreads-l1-1-3
так вот похоже вторая длина которая на 2 символа короче просто позволяет не сравнивать последнюю часть имени.
еще интересно что в осях до в10 в форвардах есть приставка api- а в аписет таблице этой приставки нет…поубивал бы гадов.