Native API

Native API (с заглавной N) — в основном недокументированный

Несмотря на то, что большая часть операционной системы Windows NT использует документированный и хорошо определённый Windows API, некоторые компоненты, такие как подсистема клиент/сервер времени выполнения (CSRSS), используют Native API, так как они запускаются на ранних стадиях процесса загрузки Windows NT, когда функции Windows API ещё не доступны.

Некоторое вредоносное программное обеспечение использует Native API, чтобы скрыть своё присутствие от антивирусного ПО^[2].

Native API включает достаточно большое число функций. В него входят функции стандартной библиотеки языка Си, такие как strlen(), sprintf() и floor(). В то же время, такие часто встречающиеся вызовы стандартной библиотеки, как malloc(), printf(), scanf() отсутствуют. Большая часть других функций Native API имеет двух- или трёхбуквенный префикс. Используются, в частности, следующие префиксы:

• Nt или Zw - системные вызовы, объявленные в ntdll.dll и ntoskrnl.exe. Когда они вызываются из ntdll.dll в режиме пользователя, эти группы функций ведут себя практически одинаковым образом: они вызывают переход в режим ядра и вызывают эквивалентную функцию из ntoskrnl.exe с использованием таблицы ветвлений. Когда функции вызываются напрямую из ntoskrnl.exe, что возможно только в режиме ядра, варианты, начинающиеся на Zw, гарантируют исполнение в режиме ядра, а варианты с префиксом Nt не гарантируют^[3]. Префикс Zw не имеет расшифровки^[4]
• Rtl - вторая по количеству группа вызовов ntdll. В неё включаются функции, составляющие расширенную библиотеку времени выполнения языка Си. Это многие служебные функции, которые могут быть использованы приложениями Native API, прямо не связанные с доступом к ядру системы.
• Csr - клиент-серверные функции, использующие для взаимодействия с процессом подсистемы Win32,
  csrss.exe (CSRSS означает подсистему клиент/сервер времени выполнения
  ).
• Dbg - вспомогательные функции отладки, такие как программная точка останова.
• Ki - функции, вызываемые из режима ядра, использующиеся, например, для диспетчеризации асинхронного вызова процедур (APC)
• Ldr - функции загрузчика для поддержки исполняемых файлов формата PE и запуска новых процессов.
• Nls - для поддержки различных естественных языков (схожи с кодовыми страницами).
• Pfx - для обработки префиксов.
• Tp - для работы с пулом потоков.

Gdi32.dll включает ещё несколько функций, которые осуществляют переход в режим ядра. Они изначально не были предусмотрены проектировщиками операционной системы Windows NT и отсутствуют в Windows NT 3.5. Однако в связи с недостаточной производительностью аппаратного обеспечения, при выпуске NT 4 было решено перенести графическую подсистему в режим ядра. В результате этого системные вызовы в диапазоне 0x1000-0x1FFF исполняются win32k.sys (в отличие от вызовов диапазона 0-0x0FFF, выполняемых ntoskrnl.exe), и объявляются в gdi32.dll. У этих функций присутствует префикс Gdi.

Есть ещё несколько групп функций, экспортируемых ntoskrnl.exe, которые могут быть использованы только в режиме ядра. Они могут рассматриваться как часть Native API или не включаться в него, в зависимости от точки зрения источника (поскольку Native API полностью не документирован официально, определённого ответа нет). К таким группам относятся Cc (контроллер кэша), Ex (

• Windows API

• Неофициальный сайт, документирующий большую часть вызовов Native API Архивная копия от 31 октября 2012 на Wayback Machine
• Inside Native Applications
• Библиотека с открытым исходным кодом для разработки приложений Native API Архивная копия от 25 октября 2012 на Wayback Machine
• Native shell - командная оболочка, которая может запускаться до подсистем Winlogon и Win32 Архивная копия от 5 декабря 2012 на Wayback Machine