NTDLL.dll

참조 : Windows Internals 5th

NTDLL은 서브시스템을 위한 시스템 지원 라이브러리로써, 두 종류의 함수를 갖고 있다.

1.윈도우 익스큐티브 시스템 서비스에 대한 시스템 서비스 디스패치 스텁
-유저모드에서 호출할 수 있는 윈도우 익스큐티브 시스템 서비스 인터페이스로써 400개가 넘는 함수(NtCreateFile 등)들로 이루어져 있고 윈도우 API를 통해 접근 가능하다.
이들 함수 내부 코드는 시스템 서비스 디스패처를 호출하기 위해 커널모드로의 진입을 일으키는 아키텍처한정적인 인스트럭션을 가지고 있다.
시스템 서비스 디스패처는 인자를 검증한 후 Ntoskrnl.exe 내부의 실제 커널모드 시스템 서비스를 호출한다.

2.서브시스템, 서브시스템 DLL, 다른 네이티브 이미지에 의해 사용되는 내부 지원 함수

위 함수와 함께 NTDLL은 다음과 같은 함수를 갖고 있다.
-이미지 로더
-힙관리자
-윈도우 서브시스템 프로세스 통신 함수
-일반적인 런타임 라이브러리 함수
-유저모드 디버깅 지원 함수
-윈도우용 이벤트 트레이싱 함수
-유저모드 비동기 프로시저 호출 디스패처
-예외 디스패처
-C 런타임 함수의 작은 부분 집합