В этом ответе не слишком много подробностей, но он может помочь вам смотреть в правильном направлении.Режим ядра является кольцом 0, и большинство вещей, которые там работают, это драйверы или критические части ОС.
Я заметил, что документация, выпущенная Microsoft в эти дни, не упоминает, что звонит APIзапускается код. Вы можете найти некоторые функции, проверив документацию, поставляемую с DDK (комплектом разработки драйверов), или зайдя на веб-сайты таких компаний, как osr.com, где публикуются статьи по разработке драйверов.может получить правильную версию Ntdll.dll и проверить все функции, экспортированные из нее.Во IIRC было довольно много функций API с префиксами букв Zw или Nt , которые выполняются в режиме ядра.