SyscallDumper:转储系统调用代码，名称和Ntdll.dll的偏移量

Syscall自卸车 这是一个简单的（少于100行）C ++程序的实现，该程序从ntdll.dll转储系统调用信息。 ntdll.dll是用户模式应用程序通过其访问Windows内核的接口。 ntdll.dll为需要访问内核域的每个基本活动导出函数。 示例包括与文件系统，虚拟内存，物理设备等进行交互。 这些函数本质上是用于将信息传递到内核以执行的瘦包装器。 对于每个syscall， ntddl.dll设置内核所需的信息，包括将系统调用的相关编号放入寄存器eax 。 之后，使用syscall指令将控制权转移到内核。 有关此指令的更完整说明，请参见。 下图显示了反汇编ntdll.dll系统调用export的示例： ntdll.dll本身可以导出2000多个函数。 在Windows 1909上，其中的464个是这些系统调用包装程序。 可以使用dumpbin.exe快速转储给定可执行文件的