| Min version | XP | XP SP3 | 2003/XP64 | 2003/XP64 SP1 | 2003/XP64 SP2 | 2003/XP64 SP2 | 2003/XP64 SP2 | Vista | Vista SP1 | Vista SP1 | Vista SP1 | 7 | 7 | 7 SP1 | 8 Pre RTM | 8 Pre RTM | 8.1 Update 1 | 8.1 Update 1 | 10 Pre RTM | 10 Pre RTM | 10 Pre RTM |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Max version | XP SP3 | Vista SP2 | Vista SP2 | 8 | 10 TH2 | ||||||||||||||||
| x86 offset offset:bitpos | Field Name | ||||||||||||||||||||
| 0x0000 | struct _DISPATCHER_HEADER Header | ||||||||||||||||||||
| 0x0010 | struct _LIST_ENTRY MutantListHead | volatile uint64_t CycleTime | void * SListFaultAddress | ||||||||||||||||||
| 0x0018 | void * InitialStack | volatile unsigned long HighCycleTime | uint64_t QuantumTarget | ||||||||||||||||||
| 0x001C | void * StackLimit | ||||||||||||||||||||
| 0x0020 | void * Teb | void * KernelStack | uint64_t QuantumTarget | void * InitialStack | |||||||||||||||||
| 0x0024 | void * TlsArray | unsigned long ThreadLock | void * volatile StackLimit | ||||||||||||||||||
| 0x0028 | void * KernelStack | unsigned long ContextSwitches | struct _KAPC_STATE ApcState | void * InitialStack | void * StackBase | ||||||||||||||||
| 0x0028 | uint8_t[23] ApcStateFill | ||||||||||||||||||||
| 0x002C | uint8_t DebugActive | volatile uint8_t State | void * volatile StackLimit | unsigned long ThreadLock | |||||||||||||||||
| 0x002D | uint8_t State | uint8_t NpxState | |||||||||||||||||||
| 0x002E | uint8_t[2] Alerted | uint8_t WaitIrql | |||||||||||||||||||
| 0x002F | char WaitMode | ||||||||||||||||||||
| 0x0030 | uint8_t Iopl | void * Teb | void * KernelStack | volatile uint64_t CycleTime | |||||||||||||||||
| 0x0031 | uint8_t NpxState | ||||||||||||||||||||
| 0x0032 | char Saturation | ||||||||||||||||||||
| 0x0033 | char Priority | ||||||||||||||||||||
| 0x0034 | struct _KAPC_STATE ApcState | unsigned long ThreadLock | |||||||||||||||||||
| 0x0038 | struct _KAPC_STATE ApcState | union _KWAIT_STATUS_REGISTER WaitRegister | volatile unsigned long HighCycleTime | ||||||||||||||||||
| 0x0038 | uint8_t[23] ApcStateFill | ||||||||||||||||||||
| 0x0039 | volatile uint8_t Running | ||||||||||||||||||||
| 0x003A | uint8_t[2] Alerted | ||||||||||||||||||||
| 0x003C:0x00 | unsigned long KernelStackResident | void * ServiceTable | |||||||||||||||||||
| 0x003C | long MiscFlags | ||||||||||||||||||||
| 0x003C:0x01 | unsigned long ReadyTransition | ||||||||||||||||||||
| 0x003C:0x02 | unsigned long ProcessReadyQueue | ||||||||||||||||||||
| 0x003C:0x03 | unsigned long WaitNext | ||||||||||||||||||||
| 0x003C:0x04 | unsigned long SystemAffinityActive | ||||||||||||||||||||
| 0x003C:0x05 | unsigned long Alertable | ||||||||||||||||||||
| 0x003C:0x06 | unsigned long GdiFlushActive | ||||||||||||||||||||
| 0x003C:0x07 | unsigned long UserStackWalkActive | ||||||||||||||||||||
| 0x003C:0x08 | unsigned long ApcInterruptRequest | ||||||||||||||||||||
| 0x003C:0x09 | unsigned long ForceDeferSchedule | ||||||||||||||||||||
| 0x003C:0x0A | unsigned long QuantumEndMigrate | ||||||||||||||||||||
| 0x003C:0x0B | unsigned long UmsDirectedSwitchEnable | ||||||||||||||||||||
| 0x003C:0x0C | unsigned long TimerActive | ||||||||||||||||||||
| 0x003C:0x0D | unsigned long Reserved | unsigned long SystemThread | |||||||||||||||||||
| 0x003C:0x0E | unsigned long Reserved | ||||||||||||||||||||
| 0x003F | uint8_t ApcQueueable | ||||||||||||||||||||
| 0x0040 | volatile uint8_t NextProcessor | struct _KAPC_STATE ApcState | unsigned long CurrentRunTime | ||||||||||||||||||
| 0x0040 | uint8_t[23] ApcStateFill | ||||||||||||||||||||
| 0x0041 | volatile uint8_t DeferredProcessor | ||||||||||||||||||||
| 0x0042 | uint8_t AdjustReason | ||||||||||||||||||||
| 0x0043 | char AdjustIncrement | ||||||||||||||||||||
| 0x0044 | unsigned long ApcQueueLock | unsigned long ExpectedRunTime | |||||||||||||||||||
| 0x0048 | unsigned long ContextSwitches | void * KernelStack | |||||||||||||||||||
| 0x004C | unsigned long ContextSwitches | unsigned long ApcQueueLock | volatile uint8_t State | struct _XSAVE_FORMAT * StateSaveArea | |||||||||||||||||
| 0x004D | uint8_t NpxState | ||||||||||||||||||||
| 0x004E | uint8_t WaitIrql | ||||||||||||||||||||
| 0x004F | char WaitMode | char Priority | |||||||||||||||||||
| 0x0050 | uint8_t IdleSwapBlock | long WaitStatus | volatile uint16_t NextProcessor | struct _KSCHEDULING_GROUP * volatile SchedulingGroup | |||||||||||||||||
| 0x0051 | uint8_t[3] Spare0 | uint8_t VdmSafe | |||||||||||||||||||
| 0x0052 | uint8_t[2] Spare0 | volatile uint16_t DeferredProcessor | |||||||||||||||||||
| 0x0054 | long WaitStatus | struct _KWAIT_BLOCK * WaitBlockList | struct _KWAIT_BLOCK * WaitBlockList | unsigned long ApcQueueLock | union _KWAIT_STATUS_REGISTER WaitRegister | ||||||||||||||||
| 0x0054 | struct _KGATE * GateObject | ||||||||||||||||||||
| 0x0055 | volatile uint8_t Running | ||||||||||||||||||||
| 0x0056 | uint8_t[2] Alerted | ||||||||||||||||||||
| 0x0057 | char Priority | ||||||||||||||||||||
| 0x0058 | uint8_t WaitIrql | uint8_t Alertable | unsigned long ContextSwitches | volatile unsigned long NextProcessor | unsigned long KernelStackResident | unsigned long SpareMiscFlag0 | unsigned long AutoBoostActive | ||||||||||||||
| 0x0058 | long MiscFlags | ||||||||||||||||||||
| 0x0058:0x01 | unsigned long ReadyTransition | ||||||||||||||||||||
| 0x0058:0x02 | unsigned long ProcessReadyQueue | unsigned long WaitNext | |||||||||||||||||||
| 0x0058:0x03 | unsigned long WaitNext | unsigned long SystemAffinityActive | |||||||||||||||||||
| 0x0058:0x04 | unsigned long SystemAffinityActive | unsigned long Alertable | |||||||||||||||||||
| 0x0058:0x05 | unsigned long Alertable | unsigned long UserStackWalkActive | |||||||||||||||||||
| 0x0058:0x06 | unsigned long CodePatchInProgress | unsigned long UserStackWalkActive | unsigned long ApcInterruptRequest | ||||||||||||||||||
| 0x0058:0x07 | unsigned long UserStackWalkActive | unsigned long ApcInterruptRequest | unsigned long QuantumEndMigrate | ||||||||||||||||||
| 0x0059 | char WaitMode | uint8_t WaitNext | unsigned long ApcInterruptRequest | unsigned long QuantumEndMigrate | unsigned long UmsDirectedSwitchEnable | ||||||||||||||||
| 0x0058:0x09 | unsigned long QuantumEndMigrate | unsigned long UmsDirectedSwitchEnable | unsigned long TimerActive | ||||||||||||||||||
| 0x0058:0x0A | unsigned long UmsDirectedSwitchEnable | unsigned long TimerActive | unsigned long SystemThread | ||||||||||||||||||
| 0x0058:0x0B | unsigned long TimerActive | unsigned long SystemThread | unsigned long ProcessDetachActive | ||||||||||||||||||
| 0x0058:0x0C | unsigned long SystemThread | unsigned long ProcessDetachActive | unsigned long CalloutActive | ||||||||||||||||||
| 0x0058:0x0D | unsigned long ProcessDetachActive | unsigned long CalloutActive | unsigned long ScbReadyQueue | ||||||||||||||||||
| 0x0058:0x0E | unsigned long CalloutActive | unsigned long ScbReadyQueue | unsigned long ApcQueueable | ||||||||||||||||||
| 0x0058:0x0F | unsigned long ScbReadyQueue | unsigned long ApcQueueable | unsigned long ReservedStackInUse | ||||||||||||||||||
| 0x005A | uint8_t WaitNext | uint8_t WaitReason | unsigned long ApcQueueable | unsigned long ReservedStackInUse | unsigned long UmsPerformingSyscall | ||||||||||||||||
| 0x0058:0x11 | unsigned long ReservedStackInUse | unsigned long UmsPerformingSyscall | unsigned long TimerSuspended | ||||||||||||||||||
| 0x0058:0x12 | unsigned long UmsPerformingSyscall | unsigned long ApcPendingReload | unsigned long SuspendedWaitMode | ||||||||||||||||||
| 0x0058:0x13 | unsigned long DisableStackCheck | unsigned long Reserved | unsigned long TimerSuspended | unsigned long SuspendSchedulerApcWait | |||||||||||||||||
| 0x0058:0x14 | unsigned long Reserved | unsigned long SuspendedWaitMode | unsigned long Reserved | ||||||||||||||||||
| 0x0058:0x15 | unsigned long Reserved | unsigned long SuspendSchedulerApcWait | |||||||||||||||||||
| 0x0058:0x16 | unsigned long Reserved | ||||||||||||||||||||
| 0x005B | uint8_t WaitReason | char Priority | |||||||||||||||||||
| 0x005C | struct _KWAIT_BLOCK * WaitBlockList | uint8_t EnableStackSwap | volatile uint8_t State | volatile unsigned long DeferredProcessor | volatile unsigned long AutoAlignment | unsigned long AutoAlignment | |||||||||||||||
| 0x005C | volatile long ThreadFlags | ||||||||||||||||||||
| 0x005C:0x01 | volatile unsigned long DisableBoost | unsigned long DisableBoost | |||||||||||||||||||
| 0x005C:0x02 | volatile unsigned long UserAffinitySet | unsigned long UserAffinitySet | unsigned long ThreadFlagsSpare0 | ||||||||||||||||||
| 0x005C:0x03 | volatile unsigned long AlertedByThreadId | unsigned long AlertedByThreadId | |||||||||||||||||||
| 0x005C:0x04 | volatile unsigned long QuantumDonation | unsigned long QuantumDonation | |||||||||||||||||||
| 0x005C:0x05 | volatile unsigned long EnableStackSwap | unsigned long EnableStackSwap | |||||||||||||||||||
| 0x005C:0x06 | volatile unsigned long GuiThread | unsigned long GuiThread | |||||||||||||||||||
| 0x005C:0x07 | volatile unsigned long DisableQuantum | unsigned long DisableQuantum | |||||||||||||||||||
| 0x005D | volatile uint8_t SwapBusy | uint8_t NpxState | volatile unsigned long ChargeOnlyGroup | unsigned long ChargeOnlyGroup | unsigned long ChargeOnlySchedulingGroup | ||||||||||||||||
| 0x005C:0x09 | volatile unsigned long DeferPreemption | unsigned long DeferPreemption | |||||||||||||||||||
| 0x005C:0x0A | volatile unsigned long QueueDeferPreemption | unsigned long QueueDeferPreemption | |||||||||||||||||||
| 0x005C:0x0B | volatile unsigned long ForceDeferSchedule | unsigned long ForceDeferSchedule | |||||||||||||||||||
| 0x005C:0x0C | volatile unsigned long ExplicitIdealProcessor | unsigned long ExplicitIdealProcessor | unsigned long SharedReadyQueueAffinity | ||||||||||||||||||
| 0x005C:0x0D | volatile unsigned long FreezeCount | unsigned long FreezeCount | |||||||||||||||||||
| 0x005C:0x0E | volatile unsigned long EtwStackTraceApcInserted | unsigned long EtwStackTraceApcInserted | unsigned long TerminationApcRequest | ||||||||||||||||||
| 0x005C:0x0F | unsigned long AutoBoostEntriesExhausted | ||||||||||||||||||||
| 0x005E | uint8_t[2] Alerted | uint8_t WaitIrql | unsigned long EtwStackTraceApcInserted | unsigned long KernelStackResident | |||||||||||||||||
| 0x005C:0x11 | unsigned long EtwStackTraceApcInserted | unsigned long CommitFailTerminateRequest | |||||||||||||||||||
| 0x005C:0x12 | unsigned long ThreadFlagsSpare | unsigned long ProcessStackCountDecremented | |||||||||||||||||||
| 0x005C:0x13 | unsigned long ThreadFlagsSpare | ||||||||||||||||||||
| 0x005C:0x16 | volatile unsigned long ReservedFlags | unsigned long ReservedFlags | |||||||||||||||||||
| 0x005F | char WaitMode | unsigned long ReservedFlags | unsigned long EtwStackTraceApcInserted | ||||||||||||||||||
| 0x005C:0x19 | unsigned long ReservedFlags | ||||||||||||||||||||
| 0x0060 | struct _LIST_ENTRY WaitListEntry | long WaitStatus | unsigned long ApcQueueLock | unsigned long Spare0 | volatile uint8_t Tag | ||||||||||||||||
| 0x0060 | struct _SINGLE_LIST_ENTRY SwapListEntry | ||||||||||||||||||||
| 0x0061 | uint8_t SystemHeteroCpuPolicy | ||||||||||||||||||||
| 0x0062:0x00 | uint8_t UserHeteroCpuPolicy | ||||||||||||||||||||
| 0x0062:0x07 | uint8_t ExplicitSystemHeteroCpuPolicy | ||||||||||||||||||||
| 0x0063 | uint8_t[1] Spare0 | uint8_t Spare0 | |||||||||||||||||||
| 0x0064 | struct _KWAIT_BLOCK * WaitBlockList | unsigned long ContextSwitches | unsigned long SystemCallNumber | ||||||||||||||||||
| 0x0064 | struct _KGATE * GateObject | ||||||||||||||||||||
| 0x0068 | unsigned long WaitTime | struct _KQUEUE * Queue | unsigned long KernelStackResident | volatile uint8_t State | void * FirstArgument | ||||||||||||||||
| 0x0068 | long MiscFlags | ||||||||||||||||||||
| 0x0068:0x01 | unsigned long ReadyTransition | ||||||||||||||||||||
| 0x0068:0x02 | unsigned long ProcessReadyQueue | ||||||||||||||||||||
| 0x0068:0x03 | unsigned long WaitNext | ||||||||||||||||||||
| 0x0068:0x04 | unsigned long SystemAffinityActive | ||||||||||||||||||||
| 0x0068:0x05 | unsigned long Alertable | ||||||||||||||||||||
| 0x0068:0x06 | unsigned long GdiFlushActive | ||||||||||||||||||||
| 0x0068:0x07 | unsigned long Reserved | unsigned long UserStackWalkActive | |||||||||||||||||||
| 0x0068:0x08 | unsigned long Reserved | char NpxState | |||||||||||||||||||
| 0x006A | uint8_t WaitIrql | ||||||||||||||||||||
| 0x006B | char WaitMode | ||||||||||||||||||||
| 0x006C | char BasePriority | unsigned long WaitTime | uint8_t WaitReason | volatile long WaitStatus | struct _KTRAP_FRAME * TrapFrame | ||||||||||||||||
| 0x006D | uint8_t DecrementCount | volatile uint8_t SwapBusy | |||||||||||||||||||
| 0x006E | char PriorityDecrement | uint8_t[2] Alerted | |||||||||||||||||||
| 0x006F | char Quantum | ||||||||||||||||||||
| 0x0070 | struct _KWAIT_BLOCK[4] WaitBlock | int16_t KernelApcDisable | struct _LIST_ENTRY WaitListEntry | struct _KWAIT_BLOCK * WaitBlockList | struct _KAPC_STATE ApcState | ||||||||||||||||
| 0x0070 | unsigned long CombinedApcDisable | struct _SINGLE_LIST_ENTRY SwapListEntry | uint8_t[23] ApcStateFill | ||||||||||||||||||
| 0x0072 | int16_t SpecialApcDisable | ||||||||||||||||||||
| 0x0074 | void * Teb | struct _LIST_ENTRY WaitListEntry | |||||||||||||||||||
| 0x0074 | struct _SINGLE_LIST_ENTRY SwapListEntry | ||||||||||||||||||||
| 0x0078 | struct _KTIMER Timer | struct _KTIMER Timer | struct _KQUEUE * Queue | ||||||||||||||||||
| 0x0078 | uint8_t[40] TimerFill | ||||||||||||||||||||
| 0x007C | unsigned long WaitTime | struct _KQUEUE * volatile Queue | |||||||||||||||||||
| 0x0080 | int16_t KernelApcDisable | unsigned long WaitTime | |||||||||||||||||||
| 0x0080 | unsigned long CombinedApcDisable | ||||||||||||||||||||
| 0x0082 | int16_t SpecialApcDisable | ||||||||||||||||||||
| 0x0084 | void * Teb | int16_t KernelApcDisable | |||||||||||||||||||
| 0x0084 | unsigned long CombinedApcDisable | ||||||||||||||||||||
| 0x0086 | int16_t SpecialApcDisable | ||||||||||||||||||||
| 0x0087 | char Priority | ||||||||||||||||||||
| 0x0088 | struct _KTIMER Timer | void * Teb | unsigned long UserIdealProcessor | ||||||||||||||||||
| 0x0088 | uint8_t[40] TimerFill | ||||||||||||||||||||
| 0x008C | unsigned long ContextSwitches | ||||||||||||||||||||
| 0x0090 | struct _KTIMER Timer | volatile uint8_t State | |||||||||||||||||||
| 0x0091 | char NpxState | char Spare12 | |||||||||||||||||||
| 0x0092 | uint8_t WaitIrql | ||||||||||||||||||||
| 0x0093 | char WaitMode | ||||||||||||||||||||
| 0x0094 | volatile long WaitStatus | ||||||||||||||||||||
| 0x0098 | struct _KWAIT_BLOCK * WaitBlockList | ||||||||||||||||||||
| 0x009C | struct _LIST_ENTRY WaitListEntry | ||||||||||||||||||||
| 0x009C | struct _SINGLE_LIST_ENTRY SwapListEntry | ||||||||||||||||||||
| 0x00A0 | struct _KWAIT_BLOCK[4] WaitBlock | long AutoAlignment | unsigned long AutoAlignment | ||||||||||||||||||
| 0x00A0 | long ThreadFlags | ||||||||||||||||||||
| 0x00A0:0x01 | long DisableBoost | unsigned long DisableBoost | |||||||||||||||||||
| 0x00A0:0x02 | long ReservedFlags | unsigned long GuiThread | |||||||||||||||||||
| 0x00A0:0x03 | unsigned long ReservedFlags | unsigned long VdmSafe | unsigned long EtwStackTraceApc1Inserted | ||||||||||||||||||
| 0x00A0:0x04 | unsigned long ReservedFlags | unsigned long VdmSafe | |||||||||||||||||||
| 0x00A0:0x05 | unsigned long ReservedFlags | ||||||||||||||||||||
| 0x00A4 | struct _KQUEUE * volatile Queue | struct _DISPATCHER_HEADER * volatile Queue | |||||||||||||||||||
| 0x00A8 | struct _KWAIT_BLOCK[4] WaitBlock | void * Teb | |||||||||||||||||||
| 0x00A8 | uint8_t[23] WaitBlockFill0 | ||||||||||||||||||||
| 0x00A8 | uint8_t[47] WaitBlockFill1 | ||||||||||||||||||||
| 0x00A8 | uint8_t[71] WaitBlockFill2 | ||||||||||||||||||||
| 0x00A8 | uint8_t[95] WaitBlockFill3 | ||||||||||||||||||||
| 0x00B0:0x00 | volatile unsigned long AutoAlignment | struct _KTIMER Timer | uint64_t RelativeTimerBias | ||||||||||||||||||
| 0x00B0 | volatile long ThreadFlags | ||||||||||||||||||||
| 0x00B0:0x01 | volatile unsigned long DisableBoost | ||||||||||||||||||||
| 0x00B0:0x02 | volatile unsigned long EtwStackTraceApc1Inserted | ||||||||||||||||||||
| 0x00B0:0x03 | volatile unsigned long EtwStackTraceApc2Inserted | ||||||||||||||||||||
| 0x00B0:0x04 | volatile unsigned long CycleChargePending | ||||||||||||||||||||
| 0x00B0:0x05 | volatile unsigned long CalloutActive | ||||||||||||||||||||
| 0x00B0:0x06 | volatile unsigned long ApcQueueable | ||||||||||||||||||||
| 0x00B0:0x07 | volatile unsigned long EnableStackSwap | ||||||||||||||||||||
| 0x00B0:0x08 | volatile unsigned long GuiThread | ||||||||||||||||||||
| 0x00B0:0x09 | volatile unsigned long ReservedFlags | volatile unsigned long VdmSafe | |||||||||||||||||||
| 0x00B0:0x0A | volatile unsigned long ReservedFlags | ||||||||||||||||||||
| 0x00B8 | struct _KWAIT_BLOCK[4] WaitBlock | volatile unsigned long AutoAlignment | struct _KTIMER Timer | ||||||||||||||||||
| 0x00B8 | uint8_t[23] WaitBlockFill0 | volatile long ThreadFlags | |||||||||||||||||||
| 0x00B8 | uint8_t[47] WaitBlockFill1 | ||||||||||||||||||||
| 0x00B8 | uint8_t[71] WaitBlockFill2 | ||||||||||||||||||||
| 0x00B8 | uint8_t[95] WaitBlockFill3 | ||||||||||||||||||||
| 0x00B8:0x01 | volatile unsigned long DisableBoost | ||||||||||||||||||||
| 0x00B8:0x02 | volatile unsigned long EtwStackTraceApc1Inserted | ||||||||||||||||||||
| 0x00B8:0x03 | volatile unsigned long EtwStackTraceApc2Inserted | ||||||||||||||||||||
| 0x00B8:0x04 | volatile unsigned long CalloutActive | ||||||||||||||||||||
| 0x00B8:0x05 | volatile unsigned long ApcQueueable | ||||||||||||||||||||
| 0x00B8:0x06 | volatile unsigned long EnableStackSwap | ||||||||||||||||||||
| 0x00B8:0x07 | volatile unsigned long GuiThread | ||||||||||||||||||||
| 0x00B8:0x08 | volatile unsigned long UmsPerformingSyscall | ||||||||||||||||||||
| 0x00B8:0x09 | volatile unsigned long ReservedFlags | volatile unsigned long VdmSafe | |||||||||||||||||||
| 0x00B8:0x0A | volatile unsigned long ReservedFlags | volatile unsigned long UmsDispatched | |||||||||||||||||||
| 0x00B8:0x0B | volatile unsigned long ReservedFlags | ||||||||||||||||||||
| 0x00BC | void * ServiceTable | ||||||||||||||||||||
| 0x00BF | uint8_t SystemAffinityActive | ||||||||||||||||||||
| 0x00C0 | struct _KWAIT_BLOCK[4] WaitBlock | ||||||||||||||||||||
| 0x00CF | uint8_t IdealProcessor | ||||||||||||||||||||
| 0x00D0 | void * LegoData | ||||||||||||||||||||
| 0x00D4 | unsigned long KernelApcDisable | ||||||||||||||||||||
| 0x00D7 | char PreviousMode | ||||||||||||||||||||
| 0x00D8 | unsigned long UserAffinity | struct _KWAIT_BLOCK[4] WaitBlock | |||||||||||||||||||
| 0x00D8 | uint8_t[20] WaitBlockFill8 | ||||||||||||||||||||
| 0x00D8 | uint8_t[44] WaitBlockFill9 | ||||||||||||||||||||
| 0x00D8 | uint8_t[68] WaitBlockFill10 | ||||||||||||||||||||
| 0x00D8 | uint8_t[88] WaitBlockFill11 | ||||||||||||||||||||
| 0x00DC | uint8_t SystemAffinityActive | ||||||||||||||||||||
| 0x00DD | uint8_t PowerState | ||||||||||||||||||||
| 0x00DE | uint8_t NpxIrql | ||||||||||||||||||||
| 0x00DF | uint8_t InitialNode | ||||||||||||||||||||
| 0x00E0 | void * ServiceTable | struct _KWAIT_BLOCK[4] WaitBlock | |||||||||||||||||||
| 0x00E0 | uint8_t[20] WaitBlockFill8 | ||||||||||||||||||||
| 0x00E0 | uint8_t[44] WaitBlockFill9 | ||||||||||||||||||||
| 0x00E0 | uint8_t[68] WaitBlockFill10 | ||||||||||||||||||||
| 0x00E0 | uint8_t[88] WaitBlockFill11 | ||||||||||||||||||||
| 0x00E4 | struct _KQUEUE * Queue | ||||||||||||||||||||
| 0x00E7 | char PreviousMode | ||||||||||||||||||||
| 0x00E8 | unsigned long ApcQueueLock | ||||||||||||||||||||
| 0x00EC | struct _KTHREAD_COUNTERS * ThreadCounters | ||||||||||||||||||||
| 0x00EF | uint8_t ResourceIndex | ||||||||||||||||||||
| 0x00F0 | struct _KTIMER Timer | ||||||||||||||||||||
| 0x00F4 | struct _KTHREAD_COUNTERS * ThreadCounters | ||||||||||||||||||||
| 0x00FF | uint8_t ResourceIndex | ||||||||||||||||||||
| 0x0100 | struct _LIST_ENTRY QueueListEntry | ||||||||||||||||||||
| 0x0104 | struct _XSTATE_SAVE * XStateSave | ||||||||||||||||||||
| 0x0107 | uint8_t LargeStack | ||||||||||||||||||||
| 0x0108 | uint8_t ApcStateIndex | struct _LIST_ENTRY QueueListEntry | |||||||||||||||||||
| 0x0109 | uint8_t ApcQueueable | ||||||||||||||||||||
| 0x010A | uint8_t Preempted | ||||||||||||||||||||
| 0x010B | uint8_t ProcessReadyQueue | ||||||||||||||||||||
| 0x010C | uint8_t KernelStackResident | struct _XSTATE_SAVE * XStateSave | |||||||||||||||||||
| 0x010D | char Saturation | ||||||||||||||||||||
| 0x010E | uint8_t IdealProcessor | ||||||||||||||||||||
| 0x010F | volatile uint8_t NextProcessor | ||||||||||||||||||||
| 0x0110 | char BasePriority | struct _KTRAP_FRAME * TrapFrame | |||||||||||||||||||
| 0x0111 | uint8_t Spare4 | ||||||||||||||||||||
| 0x0112 | char PriorityDecrement | ||||||||||||||||||||
| 0x0113 | char Quantum | ||||||||||||||||||||
| 0x0114 | uint8_t SystemAffinityActive | void * CallbackStack | |||||||||||||||||||
| 0x0115 | char PreviousMode | ||||||||||||||||||||
| 0x0116 | uint8_t ResourceIndex | ||||||||||||||||||||
| 0x0117 | uint8_t DisableBoost | uint8_t LargeStack | |||||||||||||||||||
| 0x0118 | struct _LIST_ENTRY QueueListEntry | unsigned long UserAffinity | void * ServiceTable | struct _LIST_ENTRY QueueListEntry | |||||||||||||||||
| 0x011C | struct _KPROCESS * Process | uint8_t ApcStateIndex | void * volatile Win32Thread | ||||||||||||||||||
| 0x011D | uint8_t IdealProcessor | ||||||||||||||||||||
| 0x011E | uint8_t Preempted | ||||||||||||||||||||
| 0x011F | uint8_t ProcessReadyQueue | ||||||||||||||||||||
| 0x0120 | unsigned long SoftAffinity | unsigned long Affinity | uint8_t KernelStackResident | struct _KTRAP_FRAME * TrapFrame | struct _LIST_ENTRY QueueListEntry | ||||||||||||||||
| 0x0121 | char BasePriority | ||||||||||||||||||||
| 0x0122 | char PriorityDecrement | ||||||||||||||||||||
| 0x0123 | char Saturation | ||||||||||||||||||||
| 0x0124 | unsigned long Affinity | void * ServiceTable | unsigned long UserAffinity | void * FirstArgument | void * volatile Win32Thread | ||||||||||||||||
| 0x0128 | uint8_t Preempted | struct _KAPC_STATE *[2] ApcStatePointer | struct _KPROCESS * Process | void * CallbackStack | struct _KTRAP_FRAME * TrapFrame | ||||||||||||||||
| 0x0128 | unsigned long CallbackDepth | ||||||||||||||||||||
| 0x0129 | uint8_t ProcessReadyQueue | ||||||||||||||||||||
| 0x012A | uint8_t KernelStackResident | ||||||||||||||||||||
| 0x012B | uint8_t NextProcessor | ||||||||||||||||||||
| 0x012C | void * CallbackStack | unsigned long Affinity | volatile unsigned long Affinity | void * ServiceTable | void * FirstArgument | ||||||||||||||||
| 0x0130 | void * Win32Thread | struct _KAPC_STATE SavedApcState | struct _KAPC_STATE *[2] ApcStatePointer | uint8_t ApcStateIndex | void * CallbackStack | unsigned long WaitTime | |||||||||||||||
| 0x0130 | unsigned long CallbackDepth | ||||||||||||||||||||
| 0x0131 | char BasePriority | ||||||||||||||||||||
| 0x0132 | char PriorityDecrement | ||||||||||||||||||||
| 0x0133 | uint8_t Preempted | ||||||||||||||||||||
| 0x0134 | struct _KTRAP_FRAME * TrapFrame | uint8_t AdjustReason | uint8_t ApcStateIndex | int16_t KernelApcDisable | |||||||||||||||||
| 0x0134 | unsigned long CombinedApcDisable | ||||||||||||||||||||
| 0x0135 | char AdjustIncrement | char BasePriority | |||||||||||||||||||
| 0x0136 | uint8_t Spare01 | char PriorityDecrement | int16_t SpecialApcDisable | ||||||||||||||||||
| 0x0136:0x00 | uint8_t ForegroundBoost | ||||||||||||||||||||
| 0x0136:0x04 | uint8_t UnusualBoost | ||||||||||||||||||||
| 0x0137 | char Saturation | uint8_t Preempted | |||||||||||||||||||
| 0x0138 | struct _KAPC_STATE *[2] ApcStatePointer | struct _KAPC_STATE SavedApcState | unsigned long SystemCallNumber | uint8_t AdjustReason | struct _LIST_ENTRY QueueListEntry | unsigned long WaitTime | |||||||||||||||
| 0x0138 | uint8_t[23] SavedApcStateFill | ||||||||||||||||||||
| 0x0139 | char AdjustIncrement | ||||||||||||||||||||
| 0x013A | char PreviousMode | ||||||||||||||||||||
| 0x013B | char Saturation | ||||||||||||||||||||
| 0x013C | unsigned long Spare02 | unsigned long FreezeCount | unsigned long SystemCallNumber | int16_t KernelApcDisable | |||||||||||||||||
| 0x013C | unsigned long CombinedApcDisable | ||||||||||||||||||||
| 0x013E | int16_t SpecialApcDisable | ||||||||||||||||||||
| 0x0140 | char PreviousMode | unsigned long UserAffinity | unsigned long FreezeCount | volatile unsigned long NextProcessor | struct _LIST_ENTRY QueueListEntry | ||||||||||||||||
| 0x0141 | uint8_t EnableStackSwap | ||||||||||||||||||||
| 0x0142 | uint8_t LargeStack | ||||||||||||||||||||
| 0x0143 | uint8_t ResourceIndex | ||||||||||||||||||||
| 0x0144 | unsigned long KernelTime | struct _KPROCESS * Process | volatile struct _GROUP_AFFINITY UserAffinity | volatile unsigned long DeferredProcessor | |||||||||||||||||
| 0x0148 | unsigned long UserTime | void * CallbackStack | volatile unsigned long Affinity | struct _KPROCESS * Process | volatile unsigned long NextProcessor | volatile unsigned long NextProcessor | |||||||||||||||
| 0x0148:0x00 | unsigned long NextProcessorNumber | ||||||||||||||||||||
| 0x0148:0x1F | unsigned long SharedReadyQueue | ||||||||||||||||||||
| 0x014C | struct _KAPC_STATE SavedApcState | void * Win32Thread | struct _KAPC_STATE *[2] ApcStatePointer | volatile struct _GROUP_AFFINITY UserAffinity | volatile unsigned long DeferredProcessor | long QueuePriority | |||||||||||||||
| 0x014C | uint8_t[6] UserAffinityFill | ||||||||||||||||||||
| 0x014F | char FreezeCount | ||||||||||||||||||||
| 0x0150 | struct _KTRAP_FRAME * TrapFrame | char SuspendCount | struct _KPROCESS * Process | struct _KPROCESS * Process | |||||||||||||||||
| 0x0151 | uint8_t UserIdealProcessor | ||||||||||||||||||||
| 0x0152 | uint8_t CalloutActive | char PreviousMode | |||||||||||||||||||
| 0x0153 | uint8_t Iopl | char BasePriority | |||||||||||||||||||
| 0x0154 | unsigned long KernelTime | void * Win32Thread | struct _KAPC_STATE SavedApcState | volatile struct _GROUP_AFFINITY Affinity | char PriorityDecrement | volatile struct _GROUP_AFFINITY UserAffinity | struct _GROUP_AFFINITY UserAffinity | ||||||||||||||
| 0x0154 | uint8_t[23] SavedApcStateFill | uint8_t ForegroundBoost | uint8_t[6] UserAffinityFill | ||||||||||||||||||
| 0x0154:0x04 | uint8_t UnusualBoost | ||||||||||||||||||||
| 0x0155 | uint8_t Preempted | ||||||||||||||||||||
| 0x0156 | uint8_t AdjustReason | ||||||||||||||||||||
| 0x0157 | char AdjustIncrement | ||||||||||||||||||||
| 0x0158 | unsigned long UserTime | void * StackBase | volatile struct _GROUP_AFFINITY Affinity | ||||||||||||||||||
| 0x0158 | uint8_t[6] AffinityFill | ||||||||||||||||||||
| 0x015A | char PreviousMode | ||||||||||||||||||||
| 0x015B | char BasePriority | ||||||||||||||||||||
| 0x015C | void * StackBase | struct _KAPC SuspendApc | char PriorityDecrement | ||||||||||||||||||
| 0x015C | uint8_t[1] SuspendApcFill0 | uint8_t ForegroundBoost | |||||||||||||||||||
| 0x015C | uint8_t[3] SuspendApcFill1 | ||||||||||||||||||||
| 0x015C | uint8_t[4] SuspendApcFill2 | ||||||||||||||||||||
| 0x015C | uint8_t[36] SuspendApcFill3 | ||||||||||||||||||||
| 0x015C | uint8_t[40] SuspendApcFill4 | ||||||||||||||||||||
| 0x015C | uint8_t[47] SuspendApcFill5 | ||||||||||||||||||||
| 0x015C:0x04 | uint8_t UnusualBoost | ||||||||||||||||||||
| 0x015D | char Quantum | uint8_t Preempted | |||||||||||||||||||
| 0x015E | uint8_t ApcStateIndex | uint8_t AdjustReason | |||||||||||||||||||
| 0x015F | uint8_t QuantumReset | uint8_t WaitBlockCount | char AdjustIncrement | ||||||||||||||||||
| 0x0160 | struct _KAPC SuspendApc | unsigned long KernelTime | unsigned long IdealProcessor | volatile struct _GROUP_AFFINITY Affinity | struct _GROUP_AFFINITY Affinity | unsigned long AffinityVersion | |||||||||||||||
| 0x0160 | uint8_t[6] AffinityFill | ||||||||||||||||||||
| 0x0164 | uint8_t Alertable | unsigned long UserIdealProcessor | struct _KAPC_STATE *[2] ApcStatePointer | struct _GROUP_AFFINITY Affinity | |||||||||||||||||
| 0x0164 | uint8_t[6] AffinityFill | ||||||||||||||||||||
| 0x0165 | uint8_t ApcStateIndex | ||||||||||||||||||||
| 0x0166 | uint8_t ApcQueueable | uint8_t ApcStateIndex | |||||||||||||||||||
| 0x0167 | uint8_t AutoAlignment | uint8_t WaitBlockCount | |||||||||||||||||||
| 0x0168 | void * StackBase | struct _KAPC_STATE *[2] ApcStatePointer | unsigned long IdealProcessor | ||||||||||||||||||
| 0x016A | uint8_t ApcStateIndex | ||||||||||||||||||||
| 0x016B | char FreezeCount | uint8_t Spare02 | uint8_t WaitBlockCount | ||||||||||||||||||
| 0x016C | struct _KAPC SuspendApc | char SuspendCount | struct _KAPC_STATE SavedApcState | struct _KAPC_STATE *[2] ApcStatePointer | unsigned long IdealProcessor | ||||||||||||||||
| 0x016C | uint8_t[23] SavedApcStateFill | ||||||||||||||||||||
| 0x016D | uint8_t UserIdealProcessor | ||||||||||||||||||||
| 0x016E | uint8_t Spare03 | ||||||||||||||||||||
| 0x016F | uint8_t Iopl | uint8_t OtherPlatformFill | |||||||||||||||||||
| 0x0170 | void * volatile Win32Thread | struct _KAPC_STATE SavedApcState | unsigned long[1] Spare15 | ||||||||||||||||||
| 0x0170 | uint8_t[23] SavedApcStateFill | ||||||||||||||||||||
| 0x0174 | void * StackBase | struct _KAPC_STATE SavedApcState | |||||||||||||||||||
| 0x0174 | uint8_t[23] SavedApcStateFill | ||||||||||||||||||||
| 0x0178 | struct _KAPC SuspendApc | ||||||||||||||||||||
| 0x0178 | uint8_t[1] SuspendApcFill0 | ||||||||||||||||||||
| 0x0178 | uint8_t[3] SuspendApcFill1 | ||||||||||||||||||||
| 0x0178 | uint8_t[4] SuspendApcFill2 | ||||||||||||||||||||
| 0x0178 | uint8_t[36] SuspendApcFill3 | ||||||||||||||||||||
| 0x0178 | uint8_t[40] SuspendApcFill4 | ||||||||||||||||||||
| 0x0178 | uint8_t[47] SuspendApcFill5 | ||||||||||||||||||||
| 0x0179 | char Spare04 | ||||||||||||||||||||
| 0x017B | uint8_t QuantumReset | ||||||||||||||||||||
| 0x017C | unsigned long KernelTime | ||||||||||||||||||||
| 0x0180 | void * TlsArray | ||||||||||||||||||||
| 0x0183 | uint8_t WaitReason | ||||||||||||||||||||
| 0x0184 | void * LegoData | char SuspendCount | |||||||||||||||||||
| 0x0185 | char Saturation | ||||||||||||||||||||
| 0x0186 | uint16_t SListFaultCount | ||||||||||||||||||||
| 0x0187 | uint8_t WaitReason | ||||||||||||||||||||
| 0x0188 | char SuspendCount | struct _KAPC SchedulerApc | |||||||||||||||||||
| 0x0188 | uint8_t[1] SchedulerApcFill0 | ||||||||||||||||||||
| 0x0188 | uint8_t[3] SchedulerApcFill1 | ||||||||||||||||||||
| 0x0188 | uint8_t[4] SchedulerApcFill2 | ||||||||||||||||||||
| 0x0188 | uint8_t[36] SchedulerApcFill3 | ||||||||||||||||||||
| 0x0188 | uint8_t[40] SchedulerApcFill4 | ||||||||||||||||||||
| 0x0188 | uint8_t[47] SchedulerApcFill5 | ||||||||||||||||||||
| 0x0189 | char Spare1 | uint8_t ResourceIndex | |||||||||||||||||||
| 0x018A | uint8_t OtherPlatformFill | ||||||||||||||||||||
| 0x018B | uint8_t PowerState | uint8_t QuantumReset | uint8_t WaitReason | ||||||||||||||||||
| 0x018C | unsigned long UserTime | void * volatile Win32Thread | unsigned long KernelTime | char SuspendCount | |||||||||||||||||
| 0x018D | char Saturation | ||||||||||||||||||||
| 0x018E | uint16_t SListFaultCount | ||||||||||||||||||||
| 0x0190 | struct _KSEMAPHORE SuspendSemaphore | struct _KSEMAPHORE SuspendSemaphore | void * StackBase | struct _KAPC SchedulerApc | |||||||||||||||||
| 0x0190 | uint8_t[20] SuspendSemaphorefill | uint8_t[1] SchedulerApcFill0 | |||||||||||||||||||
| 0x0190 | uint8_t[3] SchedulerApcFill1 | ||||||||||||||||||||
| 0x0190 | uint8_t[4] SchedulerApcFill2 | ||||||||||||||||||||
| 0x0190 | uint8_t[36] SchedulerApcFill3 | ||||||||||||||||||||
| 0x0190 | uint8_t[40] SchedulerApcFill4 | ||||||||||||||||||||
| 0x0190 | uint8_t[47] SchedulerApcFill5 | ||||||||||||||||||||
| 0x0191 | uint8_t ResourceIndex | ||||||||||||||||||||
| 0x0193 | uint8_t QuantumReset | ||||||||||||||||||||
| 0x0194 | struct _KAPC SuspendApc | unsigned long KernelTime | |||||||||||||||||||
| 0x0194 | uint8_t[1] SuspendApcFill0 | ||||||||||||||||||||
| 0x0194 | uint8_t[3] SuspendApcFill1 | ||||||||||||||||||||
| 0x0194 | uint8_t[4] SuspendApcFill2 | ||||||||||||||||||||
| 0x0194 | uint8_t[36] SuspendApcFill3 | ||||||||||||||||||||
| 0x0194 | uint8_t[40] SuspendApcFill4 | ||||||||||||||||||||
| 0x0194 | uint8_t[47] SuspendApcFill5 | ||||||||||||||||||||
| 0x0195 | uint8_t ResourceIndex | ||||||||||||||||||||
| 0x0197 | uint8_t QuantumReset | ||||||||||||||||||||
| 0x0198 | unsigned long KernelTime | ||||||||||||||||||||
| 0x019C | struct _KSEMAPHORE SuspendSemaphore | struct _KPRCB * WaitPrcb | |||||||||||||||||||
| 0x01A0 | void * LegoData | ||||||||||||||||||||
| 0x01A4 | void * TlsArray | unsigned long SListFaultCount | |||||||||||||||||||
| 0x01A7 | uint8_t PowerState | ||||||||||||||||||||
| 0x01A8 | void * LegoData | struct _LIST_ENTRY ThreadListEntry | unsigned long UserTime | ||||||||||||||||||
| 0x01AC | struct _LIST_ENTRY ThreadListEntry | struct _KSEMAPHORE SuspendSemaphore | struct _KPRCB * volatile WaitPrcb | ||||||||||||||||||
| 0x01AC | uint8_t[20] SuspendSemaphorefill | ||||||||||||||||||||
| 0x01B0 | struct _LIST_ENTRY ThreadListEntry | void * SListFaultAddress | void * LegoData | ||||||||||||||||||
| 0x01B4 | uint8_t LargeStack | struct _KPRCB * volatile WaitPrcb | |||||||||||||||||||
| 0x01B5 | uint8_t PowerState | ||||||||||||||||||||
| 0x01B6 | uint8_t NpxIrql | ||||||||||||||||||||
| 0x01B7 | uint8_t Spare5 | uint8_t CallbackNestingLevel | |||||||||||||||||||
| 0x01B8 | char FreezeCount | uint8_t AutoAlignment | struct _KPRCB * volatile WaitPrcb | unsigned long UserTime | void * LegoData | ||||||||||||||||
| 0x01B9 | char SuspendCount | uint8_t Iopl | |||||||||||||||||||
| 0x01BA | uint8_t IdealProcessor | char FreezeCount | |||||||||||||||||||
| 0x01BB | uint8_t DisableBoost | char SuspendCount | |||||||||||||||||||
| 0x01BC | uint8_t[1] Spare0 | void * LegoData | struct _KEVENT SuspendEvent | ||||||||||||||||||
| 0x01BD | uint8_t UserIdealProcessor | ||||||||||||||||||||
| 0x01BE | volatile uint8_t DeferredProcessor | ||||||||||||||||||||
| 0x01BF | uint8_t AdjustReason | uint8_t CallbackNestingLevel | |||||||||||||||||||
| 0x01C0 | char AdjustIncrement | unsigned long SListFaultCount | unsigned long UserTime | ||||||||||||||||||
| 0x01C1 | uint8_t[3] Spare2 | ||||||||||||||||||||
| 0x01C3 | uint8_t LargeStack | ||||||||||||||||||||
| 0x01C4 | struct _LIST_ENTRY ThreadListEntry | unsigned long UserTime | struct _KEVENT SuspendEvent | ||||||||||||||||||
| 0x01C8 | struct _KSEMAPHORE SuspendSemaphore | ||||||||||||||||||||
| 0x01C8 | uint8_t[20] SuspendSemaphorefill | ||||||||||||||||||||
| 0x01CC | struct _LIST_ENTRY MutantListHead | struct _LIST_ENTRY ThreadListEntry | |||||||||||||||||||
| 0x01D4 | void * SListFaultAddress | struct _LIST_ENTRY MutantListHead | struct _LIST_ENTRY ThreadListEntry | ||||||||||||||||||
| 0x01D8 | void * volatile MdlForLockedTeb | ||||||||||||||||||||
| 0x01DC | unsigned long SListFaultCount | struct _LIST_ENTRY MutantListHead | |||||||||||||||||||
| 0x01E0 | struct _LIST_ENTRY ThreadListEntry | ||||||||||||||||||||
| 0x01E4 | struct _SINGLE_LIST_ENTRY LockEntriesFreeList | uint8_t AbEntrySummary | |||||||||||||||||||
| 0x01E5 | uint8_t AbWaitEntryCount | ||||||||||||||||||||
| 0x01E6 | uint16_t Spare20 | ||||||||||||||||||||
| 0x01E8 | struct _LIST_ENTRY MutantListHead | struct _KLOCK_ENTRY[6] LockEntries | |||||||||||||||||||
| 0x01F0 | void * SListFaultAddress | ||||||||||||||||||||
| 0x01F4 | struct _KTHREAD_COUNTERS * ThreadCounters | ||||||||||||||||||||
| 0x01F8 | struct _XSTATE_SAVE * XStateSave | ||||||||||||||||||||
| 0x0308 | struct _SINGLE_LIST_ENTRY PropagateBoostsEntry | ||||||||||||||||||||
| 0x030C | struct _SINGLE_LIST_ENTRY IoSelfBoostsEntry | ||||||||||||||||||||
| 0x0310 | uint8_t[16] PriorityFloorCounts | ||||||||||||||||||||
| 0x0320 | unsigned long PriorityFloorSummary | ||||||||||||||||||||
| 0x0324 | volatile long AbCompletedIoBoostCount | ||||||||||||||||||||
| 0x0328 | volatile int16_t AbReferenceCount | volatile int16_t KeReferenceCount | |||||||||||||||||||
| 0x032A | uint8_t AbFreeEntryCount | uint8_t AbOrphanedEntrySummary | |||||||||||||||||||
| 0x032B | uint8_t AbWaitEntryCount | uint8_t AbOwnedEntryCount | |||||||||||||||||||
| 0x032C | unsigned long ForegroundLossTime | ||||||||||||||||||||
| 0x0330 | struct _LIST_ENTRY GlobalForegroundListEntry | ||||||||||||||||||||
| 0x0330 | struct _SINGLE_LIST_ENTRY ForegroundDpcStackListEntry | ||||||||||||||||||||
| 0x0334 | unsigned long InGlobalForegroundList | ||||||||||||||||||||
| 0x0338 | struct _KSCB * QueuedScb | ||||||||||||||||||||
| 0x0340 | uint64_t NpxState | ||||||||||||||||||||