Windows中的系统调用和本地API？

Question 1

最近我在*NIX操作系统中使用了大量的汇编语言。我想知道Windows领域的情况。

Linux中的调用惯例。

mov $SYS_Call_NUM, %eax
mov $param1 , %ebx
mov $param2 , %ecx
int $0x80
就这样了。这就是我们在Linux中应该如何进行系统调用。
Linux中所有系统调用的参考。
Regarding which $SYS_Call_NUM & which parameters we can use this reference : http://docs.cs.up.ac.za/programming/asm/derick_tut/syscalls.html
官方参考 :http://kernel.org/doc/man-pages/online/dir_section_2.html
Windows中的调用惯例。
Windows中所有系统调用的参考。
非官方的:http://www.metasploit.com/users/opcode/syscalls.html，但我如何在汇编中使用这些，除非我知道调用惯例。
If you say, they didn't documented it. Then how is one going to write libc for windows without knowing system calls? How is one gonna do Windows Assembly programming? Atleast in the driver programming one needs to know these. right?
Now, whats up with the so called Native API? Is Native API & System calls for windows both are different terms referring to same thing? In order to confirm I compared these from two UNOFFICIAL Sources
系统调用。http://www.metasploit.com/users/opcode/syscalls.html
本地API。http://undocumented.ntinternals.net/aindex.html
我的观察。
All system calls are beginning with letters Nt where as Native API is consisting of lot of functions which are not beginning with letters Nt.
System Call of windows are subset of Native API. System calls are just part of Native API.
有谁能证实这一点并加以解释。
EDIT:
还有一个答案。那是第二个答案。我很喜欢它，但我不知道为什么回答者删除了它。我请求他重新发布他的答案。

Question 2


          
           如果你在Windows下做汇编编程，你不会做手动系统调用。你使用NTDLL和本地API为你做这些。
          
          
           Native API只是一个围绕内核模式的包装。它所做的就是为正确的API执行系统调用。
          
          
           你应该永远不需要手动调用系统，所以你的整个问题是多余的。
          
          
           Linux的系统调用代码不会改变，而Windows则会，这就是为什么你需要通过一个额外的抽象层（又称NTDLL）来工作。
          
          
           EDIT:
          
          
           另外，即使你在汇编级工作，你仍然可以完全访问Win32的API，没有理由一开始就使用NT的API!进口、出口等在汇编程序中都能正常工作。
          
          
           EDIT2:
          
          
           如果你真的想进行手动系统调用，你将需要为每个相关的Windows版本反转NTDLL，添加版本检测（通过PEB），并为每个调用执行系统调用查询。
          
          
           然而，这将是愚蠢的。NTDLL的存在是有原因的。
          
          
           人们已经完成了反向工程的部分：见
           
            https://j00ru.vexillium.org/syscalls/nt/64/
           
           为每个Windows内核的系统调用号码的表格。  (注意，即使在Windows 10的不同版本之间，后面的行也会发生变化。) 同样，除了在你自己的机器上进行个人使用的实验以了解更多关于asm和/或Windows内部的信息之外，这是一个坏主意。  不要将系统调用内联到你发布给其他人的代码中。

Question 3


          
           关于windows系统调用惯例，你需要知道的另一件事是，据我所知，系统调用表是作为构建过程的一部分生成的。这意味着它们可以简单地改变--没有人跟踪它们。如果有人在列表的顶部添加了一个新的，这并不重要。NTDLL仍然工作，所以其他调用NTDLL的人也仍然工作。
          
          
           甚至用于执行系统调用的机制（即int，或sysenter）也不是固定不变的，在过去也曾发生过变化，我认为从前同一版本的windows使用不同的DLL，根据机器中的CPU使用不同的进入机制。

Question 4


          
           我对在汇编中做一个没有导入的windows API调用很感兴趣（作为一个教育练习），所以我写了下面这个FASM汇编来做NtDll!NtCreateFile的工作。这是在我的64位版本的Windows（Win10 1803版本10.0.17134）上的粗略演示，它在调用后崩溃了，但syscall的返回值是0，所以它是成功的。一切都是按照Windows x64的调用惯例设置的，然后将系统调用号加载到RAX中，然后就是syscall汇编指令来运行调用。我的例子创建了文件c:\HelloWorldFile_FASM，所以必须以 "管理员 "身份运行。
          
          format PE64 GUI 4.0
entry start
section '.text' code readable executable
 start: 
 ;puting the first four parameters into the right registers
                            mov rcx, _Handle
                            mov rdx, [_access_mask]
                            mov r8, objectAttributes
                            mov r9, ioStatusBlock
 ;I think we need 1 stack word of padding:
                            push 0x0DF0AD8B
 ;pushing the other params in reverse order:
                            push [_eaLength]
                            push [_eaBuffer]
                            push [_createOptions]
                            push [_createDisposition]
                            push [_shareAcceses]
                            push [_fileAttributes]
                            push [_pLargeInterger]
 ;adding the shadow space (4x8)
 ;                               push 0x0
 ;                               push 0x0
 ;                               push 0x0
 ;                               push 0x0
 ;pushing the 4 register params into the shadow space for ease of debugging
                            push r9
                            push r8
                            push rdx
                            push rcx
 ;now pushing the return address to the stack:
                            push endOfProgram
                            mov r10, rcx ;copied from ntdll!NtCreateFile, not sure of the reason for this
                            mov eax, 0x55
                            syscall
 endOfProgram:
 section '.data' data readable writeable
 ;parameters------------------------------------------------------------------------------------------------
 _Handle                         dq      0x0
 _access_mask                    dq      0x00000000c0100080
 _pObjectAttributes              dq      objectAttributes        ; at 00402058
 _pIoStatusBlock                 dq           ioStatusBlock
 _pLargeInterger                 dq      0x0
 _fileAttributes                 dq      0x0000000000000080
 _shareAcceses                   dq      0x0000000000000002
 _createDisposition              dq      0x0000000000000005
 _createOptions                  dq      0x0000000000000060
 _eaBuffer                       dq      0x0000000000000000       ; "optional" param
 _eaLength                       dq      0x0000000000000000
 ;----------------------------------------------------------------------------------------------------------
                            align   16
 objectAttributes:
 _oalength                       dq      0x30
 _rootDirectory                  dq      0x0
 _objectName                     dq           unicodeString
 _attributes                     dq      0x40
 _pSecurityDescriptor            dq      0x0
 _pSecurityQualityOfService      dq      securityQualityOfService
 unicodeString:
 _unicodeStringLength            dw      0x34
 _unicodeStringMaxumiumLength    dw      0x34, 0x0, 0x0
 _pUnicodeStringBuffer           dq      _unicodeStringBuffer
 _unicodeStringBuffer            du      '\??\c:\HelloWorldFile_FASM'       ; may need to "run as adinistrator" for the file create to work.
 ioStatusBlock:
 _status_pointer                 dq      0x0
 _information                    dq      0x0
 securityQualityOfService:
 _sqlength                       dd      0xC
 _impersonationLevel             dd      0x2
 _contextTrackingMode            db      0x1
 _effectiveOnly                  db      0x1, 0x0, 0x0
我使用了Ntdll!NtCreateFile的文档，我还使用了内核调试器来查看和复制很多参数。
__kernel_entry NTSTATUS NtCreateFile(
  OUT PHANDLE                      FileHandle,
  IN ACCESS_MASK                   DesiredAccess,
  IN POBJECT_ATTRIBUTES            ObjectAttributes,
  OUT PIO_STATUS_BLOCK             IoStatusBlock,
  IN PLARGE_INTEGER AllocationSize OPTIONAL,
  IN ULONG                         FileAttributes,
  IN ULONG                         ShareAccess,
  IN ULONG                         CreateDisposition,
  IN ULONG                         CreateOptions,
  IN PVOID EaBuffer                OPTIONAL,
  IN ULONG                         EaLength

Question 5


          
           
            
             Windows系统调用是通过调用到系统DLLs，如
             
              kernel32.dll
             
             或
             
              gdi32.dll
             
             来进行的，这是用普通的子程序调用完成的。  捕获到操作系统特权层的机制是没有记录的，但这没关系，因为像
             
              kernel32.dll
             
             这样的DLL为你做这些。
            
            
             而我所说的系统调用，指的是记录在案的Windows API入口点，如
             
              CreateProcess()
             
             或
             
              GetWindowText()
             
             。  设备驱动程序一般会使用与Windows DDK不同的API。

Question 6