Почему при сокрытии импортов по хешам не получается получить доступ к части функциям?

[Alexey18]

Столкнулся с проблемой, что допустим при работе с NtUnmapViewOfSection (ntdll.dll) либо с CreateProcessAsUserW(kernel32.dll), либо при работе с некоторыми функциями из(advapi32)
вылетает ошибка характера "нарушение прав доступа". При вызовах CreateProcessA, VirtualAlloc и других - проблем нет.

хотя если скрывать импорты просто по старинке через GetModuleHandleA->LoadLibruary->GetProcAddress, то таких проблем не будет. Работаю под x32

Подскажите, в чем проблема, почему при получении ProcessAdress по хешу, вылетает такая ошибка?

 

[Stupor]

А advapi32 при этом точно в память загружена (hModule!=NULL)?

 

[Alexey18]

А advapi32 при этом точно в память загружена (hModule!=NULL)?

Я частично дурачок, я при объявлении ntdll.dll, advapi32 пробел случайно поставил. Но суть проблемы с CreateProcessAsUserW не поменялась. Это уже другое.
upd. оказывается OpenProcessToken - в advapi32

 

[reqwest]

Я частично дурачок, я при объявлении ntdll.dll, advapi32 пробел случайно поставил. Но суть проблемы с CreateProcessAsUserW не поменялась. Это уже другое.
upd. оказывается OpenProcessToken - в advapi32

Нужно обрабатывать форварды и api-sets.

API set loader operation - Win32 apps

Describes how Windows uses API sets in loader operations.

learn.microsoft.com

 

[BackHub]

first LoadLibrary second GetProcAddressByHash. DLL must be loaded into memory first