#ifndef _STRACE_TABLES_H #define _STRACE_TABLES_H typedef VOID (*DISPLAY_SYSTEM_CALL_ROUTINE)( __in PVOID Descriptor, __in HANDLE ProcessHandle, __in ULONG ThreadId, __in HANDLE ThreadHandle, __in PCONTEXT ThreadContext, __in PULONG StackContext, __in ULONG NumberOfEntries); typedef VOID (*DISPLAY_SYSTEM_CALL_RETURN_ROUTINE)( __in HANDLE ProcessHandle, __in HANDLE ThreadHandle, __in PCONTEXT ThreadContext); typedef BOOL (*HOOK_SYSTEM_CALLS)( __in BOOL Enable); typedef BOOL (*HOOK_SYSTEM_CALL_RETURNS)( __in BOOL Enable); typedef DWORD (*FILTER_BP_ROUTINE)( __in ULONG_PTR ExceptionAddress, __in LPDEBUG_EVENT DebugEvent, __in PEXCEPTION_RECORD ExceptionRecord); typedef struct _SYSTEM_CALL_DESCRIPTOR { PWSTR Name; } SYSTEM_CALL_DESCRIPTOR, *PSYSTEM_CALL_DESCRIPTOR; typedef struct _SYSTEM_CALL_TABLES { // // Dispatch routine that hooks native system calls // HOOK_SYSTEM_CALLS HookNativeSystemCalls; // // Dispatch routine that hooks native system call returns // HOOK_SYSTEM_CALL_RETURNS HookNativeSystemCallReturns; // // Filters breakpoints and calls the appropriate handling routines // FILTER_BP_ROUTINE FilterBreakpoint; // // Array of native system call descriptors // PSYSTEM_CALL_DESCRIPTOR NativeDescriptorTable; // // Total number of native system calls // ULONG NumberOfNativeCalls; // // Array of GDI system call descriptors // PSYSTEM_CALL_DESCRIPTOR GdiDescriptorTable; // // Total number of GDI system calls // ULONG NumberOfGdiCalls; } SYSTEM_CALL_TABLES, *PSYSTEM_CALL_TABLES; // // The active system call tables that apply to this operating system // static PSYSTEM_CALL_TABLES ActiveSystemCallTables = NULL; // // Whether or not to dislay GDI calls // static BOOL DisableGdiCalls = FALSE; extern HANDLE ProcessHandle; //// // // Prototypes // //// DWORD HandleSystemCall( __in LPDEBUG_EVENT DebugEvent, __in PEXCEPTION_RECORD ExceptionRecord); DWORD HandleSystemCallReturn( __in LPDEBUG_EVENT DebugEvent, __in PEXCEPTION_RECORD ExceptionRecord); //// // // Default system call handlers // //// static PSYSTEM_CALL_DESCRIPTOR GetSystemCallDescriptor( __in ULONG SystemCallNumber, __out PBOOL Suppress) { PSYSTEM_CALL_DESCRIPTOR Descriptor = NULL; *Suppress = FALSE; if (ActiveSystemCallTables) { // // No bounds checking -- but hey, the target process isn't malicious, // right? :) // if (SystemCallNumber > 4000) { SystemCallNumber -= 4000; *Suppress = DisableGdiCalls; if (SystemCallNumber < ActiveSystemCallTables->NumberOfGdiCalls) Descriptor = &ActiveSystemCallTables->GdiDescriptorTable[SystemCallNumber]; } else if (SystemCallNumber < ActiveSystemCallTables->NumberOfNativeCalls) Descriptor = &ActiveSystemCallTables->NativeDescriptorTable[SystemCallNumber]; } return Descriptor; } // // Cache for fast system call and fast system call return // static ULONG_PTR AddressOfKiFastSystemCall = 0; static ULONG_PTR AddressOfKiFastSystemCallReturn = 0; // // Hook system calls using the SystemCall function pointer found in // SharedUserData // static BOOL HookNativeUsingSUDSystemCall( __in BOOL Enable) { ULONG OldProtect; BOOL Success = FALSE; BYTE TrapByte; if (!AddressOfKiFastSystemCall) { // // Calculate the address of KiFastSystemCall and KiFastSystemCallReturn // AddressOfKiFastSystemCall = *(PULONG)0x7ffe0300; AddressOfKiFastSystemCallReturn = *(PULONG)0x7ffe0304; } do { // // Alter page protections // if (!VirtualProtectEx( ProcessHandle, (PVOID)AddressOfKiFastSystemCall, 1, PAGE_EXECUTE_READWRITE, &OldProtect)) { wprintf(L"VirtualProtectEx failed, %lu.\n", GetLastError()); break; } // // Trap KiFastSystemCall // TrapByte = (Enable) ? 0xCC : 0x8B; if (!WriteProcessMemory( ProcessHandle, (PVOID)AddressOfKiFastSystemCall, &TrapByte, 1, NULL)) { wprintf(L"WriteProcessMemory(KiFastSystemCall) failed, %lu.\n", GetLastError()); break; } Success = TRUE; } while (0); return Success; } // // Hook system call returns using the SystemCallReturn function pointer found in // SharedUserData // static BOOL HookNativeUsingSUDSystemCallReturn( __in BOOL Enable) { ULONG OldProtect; BOOL Success = FALSE; BYTE TrapByte[2]; do { // // Alter page protections // if (!VirtualProtectEx( ProcessHandle, (PVOID)AddressOfKiFastSystemCallReturn, 2, PAGE_EXECUTE_READWRITE, &OldProtect)) { wprintf(L"VirtualProtectEx failed, %lu.\n", GetLastError()); break; } // // Trap KiFastSystemCallReturn // TrapByte[0] = (Enable) ? 0xCC : 0xC3; TrapByte[1] = (Enable) ? 0xC3 : 0x00; if (!WriteProcessMemory( ProcessHandle, (PVOID)AddressOfKiFastSystemCallReturn, &TrapByte, 2, NULL)) { wprintf(L"WriteProcessMemory(KiFastSystemCallReturn) failed, %lu.\n", GetLastError()); break; } Success = TRUE; } while (0); return Success; } // // Handles breakpoint exceptions, checking to see how they should be dispatched // static DWORD FilterBreakpointSUD( __in ULONG_PTR ExceptionAddress, __in LPDEBUG_EVENT DebugEvent, __in PEXCEPTION_RECORD ExceptionRecord) { if (ExceptionAddress == AddressOfKiFastSystemCall) return HandleSystemCall( DebugEvent, ExceptionRecord); else if (ExceptionAddress == AddressOfKiFastSystemCallReturn) return HandleSystemCallReturn( DebugEvent, ExceptionRecord); else return DBG_CONTINUE; } // // Unimplemented // static BOOL HookSystemCallUnimplemented( __in BOOL Enable) { wprintf(L"strace is not currently supported on this version of Windows.\n"); ExitProcess(0); return FALSE; } // // Unimplemented // static BOOL HookSystemCallReturnUnimplemented( __in BOOL Enable) { wprintf(L"strace is not currently supported on this version of Windows.\n"); ExitProcess(0); return FALSE; } //// // // Shared system call handlers // //// SYSTEM_CALL_DESCRIPTOR WindowsVista_SP0_Native[] = { { L"NtAcceptConnectPort" }, // 0x0000 { L"NtAccessCheck" }, // 0x0001 { L"NtAccessCheckAndAuditAlarm" }, // 0x0002 { L"NtAccessCheckByType" }, // 0x0003 { L"NtAccessCheckByTypeAndAuditAlarm" }, // 0x0004 { L"NtAccessCheckByTypeResultList" }, // 0x0005 { L"NtAccessCheckByTypeResultListAndAuditAlarm" }, // 0x0006 { L"NtAccessCheckByTypeResultListAndAuditAlarmByHandle" }, // 0x0007 { L"NtAddAtom" }, // 0x0008 { L"NtAddBootEntry" }, // 0x0009 { L"NtAddDriverEntry" }, // 0x000a { L"NtAdjustGroupsToken" }, // 0x000b { L"NtAdjustPrivilegesToken" }, // 0x000c { L"NtAlertResumeThread" }, // 0x000d { L"NtAlertThread" }, // 0x000e { L"NtAllocateLocallyUniqueId" }, // 0x000f { L"NtAllocateUserPhysicalPages" }, // 0x0010 { L"NtAllocateUuids" }, // 0x0011 { L"NtAllocateVirtualMemory" }, // 0x0012 { L"NtAlpcAcceptConnectPort" }, // 0x0013 { L"NtAlpcCancelMessage" }, // 0x0014 { L"NtAlpcConnectPort" }, // 0x0015 { L"NtAlpcCreatePort" }, // 0x0016 { L"NtAlpcCreatePortSection" }, // 0x0017 { L"NtAlpcCreateResourceReserve" }, // 0x0018 { L"NtAlpcCreateSectionView" }, // 0x0019 { L"NtAlpcCreateSecurityContext" }, // 0x001a { L"NtAlpcDeletePortSection" }, // 0x001b { L"NtAlpcDeleteResourceReserve" }, // 0x001c { L"NtAlpcDeleteSectionView" }, // 0x001d { L"NtAlpcDeleteSecurityContext" }, // 0x001e { L"NtAlpcDisconnectPort" }, // 0x001f { L"NtAlpcImpersonateClientOfPort" }, // 0x0020 { L"NtAlpcOpenSenderProcess" }, // 0x0021 { L"NtAlpcOpenSenderThread" }, // 0x0022 { L"NtAlpcQueryInformation" }, // 0x0023 { L"NtAlpcQueryInformationMessage" }, // 0x0024 { L"NtAlpcSendWaitReceivePort" }, // 0x0025 { L"NtAlpcSetInformation" }, // 0x0026 { L"NtApphelpCacheControl" }, // 0x0027 { L"NtAreMappedFilesTheSame" }, // 0x0028 { L"NtAssignProcessToJobObject" }, // 0x0029 { L"NtCallbackReturn" }, // 0x002a { L"NtCancelDeviceWakeupRequest" }, // 0x002b { L"NtCancelIoFile" }, // 0x002c { L"NtCancelTimer" }, // 0x002d { L"NtClearEvent" }, // 0x002e { L"NtClose" }, // 0x002f { L"NtCloseObjectAuditAlarm" }, // 0x0030 { L"NtCompactKeys" }, // 0x0031 { L"NtCompareTokens" }, // 0x0032 { L"NtCompleteConnectPort" }, // 0x0033 { L"NtCompressKey" }, // 0x0034 { L"NtConnectPort" }, // 0x0035 { L"NtContinue" }, // 0x0036 { L"NtCreateDebugObject" }, // 0x0037 { L"NtCreateDirectoryObject" }, // 0x0038 { L"NtCreateEvent" }, // 0x0039 { L"NtCreateEventPair" }, // 0x003a { L"NtCreateFile" }, // 0x003b { L"NtCreateIoCompletion" }, // 0x003c { L"NtCreateJobObject" }, // 0x003d { L"NtCreateJobSet" }, // 0x003e { L"NtCreateKey" }, // 0x003f { L"NtCreateMailslotFile" }, // 0x0040 { L"NtCreateMutant" }, // 0x0041 { L"NtCreateNamedPipeFile" }, // 0x0042 { L"NtCreatePrivateNamespace" }, // 0x0043 { L"NtCreatePagingFile" }, // 0x0044 { L"NtCreatePort" }, // 0x0045 { L"NtCreateProcess" }, // 0x0046 { L"NtCreateProcessEx" }, // 0x0047 { L"NtCreateProfile" }, // 0x0048 { L"NtCreateSection" }, // 0x0049 { L"NtCreateSemaphore" }, // 0x004a { L"NtCreateSymbolicLinkObject" }, // 0x004b { L"NtCreateThread" }, // 0x004c { L"NtCreateTimer" }, // 0x004d { L"NtCreateToken" }, // 0x004e { L"NtCreateTransaction" }, // 0x004f { L"NtOpenTransaction" }, // 0x0050 { L"NtQueryInformationTransaction" }, // 0x0051 { L"NtQueryInformationTransactionManager" }, // 0x0052 { L"NtPrePrepareEnlistment" }, // 0x0053 { L"NtPrepareEnlistment" }, // 0x0054 { L"NtCommitEnlistment" }, // 0x0055 { L"NtReadOnlyEnlistment" }, // 0x0056 { L"NtRollbackComplete" }, // 0x0057 { L"NtRollbackEnlistment" }, // 0x0058 { L"NtCommitTransaction" }, // 0x0059 { L"NtRollbackTransaction" }, // 0x005a { L"NtPrePrepareComplete" }, // 0x005b { L"NtPrepareComplete" }, // 0x005c { L"NtCommitComplete" }, // 0x005d { L"NtSinglePhaseReject" }, // 0x005e { L"NtSetInformationTransaction" }, // 0x005f { L"NtSetInformationTransactionManager" }, // 0x0060 { L"NtSetInformationResourceManager" }, // 0x0061 { L"NtCreateTransactionManager" }, // 0x0062 { L"NtOpenTransactionManager" }, // 0x0063 { L"NtRenameTransactionManager" }, // 0x0064 { L"NtRollforwardTransactionManager" }, // 0x0065 { L"NtRecoverEnlistment" }, // 0x0066 { L"NtRecoverResourceManager" }, // 0x0067 { L"NtRecoverTransactionManager" }, // 0x0068 { L"NtCreateResourceManager" }, // 0x0069 { L"NtOpenResourceManager" }, // 0x006a { L"NtGetNotificationResourceManager" }, // 0x006b { L"NtQueryInformationResourceManager" }, // 0x006c { L"NtCreateEnlistment" }, // 0x006d { L"NtOpenEnlistment" }, // 0x006e { L"NtSetInformationEnlistment" }, // 0x006f { L"NtQueryInformationEnlistment" }, // 0x0070 { L"NtStartTm" }, // 0x0071 { L"NtCreateWaitablePort" }, // 0x0072 { L"NtDebugActiveProcess" }, // 0x0073 { L"NtDebugContinue" }, // 0x0074 { L"NtDelayExecution" }, // 0x0075 { L"NtDeleteAtom" }, // 0x0076 { L"NtDeleteBootEntry" }, // 0x0077 { L"NtDeleteDriverEntry" }, // 0x0078 { L"NtDeleteFile" }, // 0x0079 { L"NtDeleteKey" }, // 0x007a { L"NtDeletePrivateNamespace" }, // 0x007b { L"NtDeleteObjectAuditAlarm" }, // 0x007c { L"NtDeleteValueKey" }, // 0x007d { L"NtDeviceIoControlFile" }, // 0x007e { L"NtDisplayString" }, // 0x007f { L"NtDuplicateObject" }, // 0x0080 { L"NtDuplicateToken" }, // 0x0081 { L"NtEnumerateBootEntries" }, // 0x0082 { L"NtEnumerateDriverEntries" }, // 0x0083 { L"NtEnumerateKey" }, // 0x0084 { L"NtEnumerateSystemEnvironmentValuesEx" }, // 0x0085 { L"NtEnumerateValueKey" }, // 0x0086 { L"NtExtendSection" }, // 0x0087 { L"NtFilterToken" }, // 0x0088 { L"NtFindAtom" }, // 0x0089 { L"NtFlushBuffersFile" }, // 0x008a { L"NtFlushInstructionCache" }, // 0x008b { L"NtFlushKey" }, // 0x008c { L"NtFlushProcessWriteBuffers" }, // 0x008d { L"NtFlushVirtualMemory" }, // 0x008e { L"NtFlushWriteBuffer" }, // 0x008f { L"NtFreeUserPhysicalPages" }, // 0x0090 { L"NtFreeVirtualMemory" }, // 0x0091 { L"NtFreezeRegistry" }, // 0x0092 { L"NtFreezeTransactions" }, // 0x0093 { L"NtFsControlFile" }, // 0x0094 { L"NtGetContextThread" }, // 0x0095 { L"NtGetDevicePowerState" }, // 0x0096 { L"NtGetNlsSectionPtr" }, // 0x0097 { L"NtGetPlugPlayEvent" }, // 0x0098 { L"NtGetWriteWatch" }, // 0x0099 { L"NtImpersonateAnonymousToken" }, // 0x009a { L"NtImpersonateClientOfPort" }, // 0x009b { L"NtImpersonateThread" }, // 0x009c { L"NtInitializeNlsFiles" }, // 0x009d { L"NtInitializeRegistry" }, // 0x009e { L"NtInitiatePowerAction" }, // 0x009f { L"NtIsProcessInJob" }, // 0x00a0 { L"NtIsSystemResumeAutomatic" }, // 0x00a1 { L"NtListenPort" }, // 0x00a2 { L"NtLoadDriver" }, // 0x00a3 { L"NtLoadKey" }, // 0x00a4 { L"NtLoadKey2" }, // 0x00a5 { L"NtLoadKeyEx" }, // 0x00a6 { L"NtLockFile" }, // 0x00a7 { L"NtLockProductActivationKeys" }, // 0x00a8 { L"NtLockRegistryKey" }, // 0x00a9 { L"NtLockVirtualMemory" }, // 0x00aa { L"NtMakePermanentObject" }, // 0x00ab { L"NtMakeTemporaryObject" }, // 0x00ac { L"NtMapUserPhysicalPages" }, // 0x00ad { L"NtMapUserPhysicalPagesScatter" }, // 0x00ae { L"NtMapViewOfSection" }, // 0x00af { L"NtModifyBootEntry" }, // 0x00b0 { L"NtModifyDriverEntry" }, // 0x00b1 { L"NtNotifyChangeDirectoryFile" }, // 0x00b2 { L"NtNotifyChangeKey" }, // 0x00b3 { L"NtNotifyChangeMultipleKeys" }, // 0x00b4 { L"NtOpenDirectoryObject" }, // 0x00b5 { L"NtOpenEvent" }, // 0x00b6 { L"NtOpenEventPair" }, // 0x00b7 { L"NtOpenFile" }, // 0x00b8 { L"NtOpenIoCompletion" }, // 0x00b9 { L"NtOpenJobObject" }, // 0x00ba { L"NtOpenKey" }, // 0x00bb { L"NtOpenMutant" }, // 0x00bc { L"NtOpenPrivateNamespace" }, // 0x00bd { L"NtOpenObjectAuditAlarm" }, // 0x00be { L"NtOpenProcess" }, // 0x00bf { L"NtOpenProcessToken" }, // 0x00c0 { L"NtOpenProcessTokenEx" }, // 0x00c1 { L"NtOpenSection" }, // 0x00c2 { L"NtOpenSemaphore" }, // 0x00c3 { L"NtOpenSession" }, // 0x00c4 { L"NtOpenSymbolicLinkObject" }, // 0x00c5 { L"NtOpenThread" }, // 0x00c6 { L"NtOpenThreadToken" }, // 0x00c7 { L"NtOpenThreadTokenEx" }, // 0x00c8 { L"NtOpenTimer" }, // 0x00c9 { L"NtPlugPlayControl" }, // 0x00ca { L"NtPowerInformation" }, // 0x00cb { L"NtPrivilegeCheck" }, // 0x00cc { L"NtPrivilegeObjectAuditAlarm" }, // 0x00cd { L"NtPrivilegedServiceAuditAlarm" }, // 0x00ce { L"NtProtectVirtualMemory" }, // 0x00cf { L"NtPulseEvent" }, // 0x00d0 { L"NtQueryAttributesFile" }, // 0x00d1 { L"NtQueryBootEntryOrder" }, // 0x00d2 { L"NtQueryBootOptions" }, // 0x00d3 { L"NtQueryDebugFilterState" }, // 0x00d4 { L"NtQueryDefaultLocale" }, // 0x00d5 { L"NtQueryDefaultUILanguage" }, // 0x00d6 { L"NtQueryDirectoryFile" }, // 0x00d7 { L"NtQueryDirectoryObject" }, // 0x00d8 { L"NtQueryDriverEntryOrder" }, // 0x00d9 { L"NtQueryEaFile" }, // 0x00da { L"NtQueryEvent" }, // 0x00db { L"NtQueryFullAttributesFile" }, // 0x00dc { L"NtQueryInformationAtom" }, // 0x00dd { L"NtQueryInformationFile" }, // 0x00de { L"NtQueryInformationJobObject" }, // 0x00df { L"NtQueryInformationPort" }, // 0x00e0 { L"NtQueryInformationProcess" }, // 0x00e1 { L"NtQueryInformationThread" }, // 0x00e2 { L"NtQueryInformationToken" }, // 0x00e3 { L"NtQueryInstallUILanguage" }, // 0x00e4 { L"NtQueryIntervalProfile" }, // 0x00e5 { L"NtQueryIoCompletion" }, // 0x00e6 { L"NtQueryKey" }, // 0x00e7 { L"NtQueryMultipleValueKey" }, // 0x00e8 { L"NtQueryMutant" }, // 0x00e9 { L"NtQueryObject" }, // 0x00ea { L"NtQueryOpenSubKeys" }, // 0x00eb { L"NtQueryOpenSubKeysEx" }, // 0x00ec { L"NtQueryPerformanceCounter" }, // 0x00ed { L"NtQueryQuotaInformationFile" }, // 0x00ee { L"NtQuerySection" }, // 0x00ef { L"NtQuerySecurityObject" }, // 0x00f0 { L"NtQuerySemaphore" }, // 0x00f1 { L"NtQuerySymbolicLinkObject" }, // 0x00f2 { L"NtQuerySystemEnvironmentValue" }, // 0x00f3 { L"NtQuerySystemEnvironmentValueEx" }, // 0x00f4 { L"NtQuerySystemInformation" }, // 0x00f5 { L"NtQuerySystemTime" }, // 0x00f6 { L"NtQueryTimer" }, // 0x00f7 { L"NtQueryTimerResolution" }, // 0x00f8 { L"NtQueryValueKey" }, // 0x00f9 { L"NtQueryVirtualMemory" }, // 0x00fa { L"NtQueryVolumeInformationFile" }, // 0x00fb { L"NtQueueApcThread" }, // 0x00fc { L"NtRaiseException" }, // 0x00fd { L"NtRaiseHardError" }, // 0x00fe { L"NtReadFile" }, // 0x00ff { L"NtReadFileScatter" }, // 0x0100 { L"NtReadRequestData" }, // 0x0101 { L"NtReadVirtualMemory" }, // 0x0102 { L"NtRegisterThreadTerminatePort" }, // 0x0103 { L"NtReleaseMutant" }, // 0x0104 { L"NtReleaseSemaphore" }, // 0x0105 { L"NtRemoveIoCompletion" }, // 0x0106 { L"NtRemoveProcessDebug" }, // 0x0107 { L"NtRenameKey" }, // 0x0108 { L"NtReplaceKey" }, // 0x0109 { L"NtReplyPort" }, // 0x010a { L"NtReplyWaitReceivePort" }, // 0x010b { L"NtReplyWaitReceivePortEx" }, // 0x010c { L"NtReplyWaitReplyPort" }, // 0x010d { L"NtRequestDeviceWakeup" }, // 0x010e { L"NtRequestPort" }, // 0x010f { L"NtRequestWaitReplyPort" }, // 0x0110 { L"NtRequestWakeupLatency" }, // 0x0111 { L"NtResetEvent" }, // 0x0112 { L"NtResetWriteWatch" }, // 0x0113 { L"NtRestoreKey" }, // 0x0114 { L"NtResumeProcess" }, // 0x0115 { L"NtResumeThread" }, // 0x0116 { L"NtSaveKey" }, // 0x0117 { L"NtSaveKeyEx" }, // 0x0118 { L"NtSaveMergedKeys" }, // 0x0119 { L"NtClearSavepointTransaction" }, // 0x011a { L"NtClearAllSavepointsTransaction" }, // 0x011b { L"NtRollbackSavepointTransaction" }, // 0x011c { L"NtSavepointTransaction" }, // 0x011d { L"NtSavepointComplete" }, // 0x011e { L"NtSecureConnectPort" }, // 0x011f { L"NtSetBootEntryOrder" }, // 0x0120 { L"NtSetBootOptions" }, // 0x0121 { L"NtSetContextThread" }, // 0x0122 { L"NtSetDebugFilterState" }, // 0x0123 { L"NtSetDefaultHardErrorPort" }, // 0x0124 { L"NtSetDefaultLocale" }, // 0x0125 { L"NtSetDefaultUILanguage" }, // 0x0126 { L"NtSetDriverEntryOrder" }, // 0x0127 { L"NtSetEaFile" }, // 0x0128 { L"NtSetEvent" }, // 0x0129 { L"NtSetEventBoostPriority" }, // 0x012a { L"NtSetHighEventPair" }, // 0x012b { L"NtSetHighWaitLowEventPair" }, // 0x012c { L"NtSetInformationDebugObject" }, // 0x012d { L"NtSetInformationFile" }, // 0x012e { L"NtSetInformationJobObject" }, // 0x012f { L"NtSetInformationKey" }, // 0x0130 { L"NtSetInformationObject" }, // 0x0131 { L"NtSetInformationProcess" }, // 0x0132 { L"NtSetInformationThread" }, // 0x0133 { L"NtSetInformationToken" }, // 0x0134 { L"NtSetIntervalProfile" }, // 0x0135 { L"NtSetIoCompletion" }, // 0x0136 { L"NtSetLdtEntries" }, // 0x0137 { L"NtSetLowEventPair" }, // 0x0138 { L"NtSetLowWaitHighEventPair" }, // 0x0139 { L"NtSetQuotaInformationFile" }, // 0x013a { L"NtSetSecurityObject" }, // 0x013b { L"NtSetSystemEnvironmentValue" }, // 0x013c { L"NtSetSystemEnvironmentValueEx" }, // 0x013d { L"NtSetSystemInformation" }, // 0x013e { L"NtSetSystemPowerState" }, // 0x013f { L"NtSetSystemTime" }, // 0x0140 { L"NtSetThreadExecutionState" }, // 0x0141 { L"NtSetTimer" }, // 0x0142 { L"NtSetTimerResolution" }, // 0x0143 { L"NtSetUuidSeed" }, // 0x0144 { L"NtSetValueKey" }, // 0x0145 { L"NtSetVolumeInformationFile" }, // 0x0146 { L"NtShutdownSystem" }, // 0x0147 { L"NtSignalAndWaitForSingleObject" }, // 0x0148 { L"NtStartProfile" }, // 0x0149 { L"NtStopProfile" }, // 0x014a { L"NtSuspendProcess" }, // 0x014b { L"NtSuspendThread" }, // 0x014c { L"NtSystemDebugControl" }, // 0x014d { L"NtTerminateJobObject" }, // 0x014e { L"NtTerminateProcess" }, // 0x014f { L"NtTerminateThread" }, // 0x0150 { L"NtTestAlert" }, // 0x0151 { L"NtThawRegistry" }, // 0x0152 { L"NtThawTransactions" }, // 0x0153 { L"NtTraceEvent" }, // 0x0154 { L"NtTraceControl" }, // 0x0155 { L"NtTranslateFilePath" }, // 0x0156 { L"NtUnloadDriver" }, // 0x0157 { L"NtUnloadKey" }, // 0x0158 { L"NtUnloadKey2" }, // 0x0159 { L"NtUnloadKeyEx" }, // 0x015a { L"NtUnlockFile" }, // 0x015b { L"NtUnlockVirtualMemory" }, // 0x015c { L"NtUnmapViewOfSection" }, // 0x015d { L"NtVdmControl" }, // 0x015e { L"NtWaitForDebugEvent" }, // 0x015f { L"NtWaitForMultipleObjects" }, // 0x0160 { L"NtWaitForSingleObject" }, // 0x0161 { L"NtWaitHighEventPair" }, // 0x0162 { L"NtWaitLowEventPair" }, // 0x0163 { L"NtWriteFile" }, // 0x0164 { L"NtWriteFileGather" }, // 0x0165 { L"NtWriteRequestData" }, // 0x0166 { L"NtWriteVirtualMemory" }, // 0x0167 { L"NtYieldExecution" }, // 0x0168 { L"NtCreateKeyedEvent" }, // 0x0169 { L"NtOpenKeyedEvent" }, // 0x016a { L"NtReleaseKeyedEvent" }, // 0x016b { L"NtWaitForKeyedEvent" }, // 0x016c { L"NtQueryPortInformationProcess" }, // 0x016d { L"NtGetCurrentProcessorNumber" }, // 0x016e { L"NtWaitForMultipleObjects32" }, // 0x016f { L"NtGetNextProcess" }, // 0x0170 { L"NtGetNextThread" }, // 0x0171 { L"NtCancelIoFileEx" }, // 0x0172 { L"NtCancelSynchronousIoFile" }, // 0x0173 { L"NtRemoveIoCompletionEx" }, // 0x0174 { L"NtRegisterProtocolAddressInformation" }, // 0x0175 { L"NtPullTransaction" }, // 0x0176 { L"NtMarshallTransaction" }, // 0x0177 { L"NtPropagationComplete" }, // 0x0178 { L"NtPropagationFailed" }, // 0x0179 { L"NtCreateWorkerFactory" }, // 0x017a { L"NtReleaseWorkerFactoryWorker" }, // 0x017b { L"NtWaitForWorkViaWorkerFactory" }, // 0x017c { L"NtSetInformationWorkerFactory" }, // 0x017d { L"NtQueryInformationWorkerFactory" }, // 0x017e { L"NtWorkerFactoryWorkerReady" }, // 0x017f { L"NtShutdownWorkerFactory" }, // 0x0180 { L"NtCreateThreadEx" }, // 0x0181 { L"NtQueryLicenseValue" }, // 0x0183 { L"NtMapCMFModule" }, // 0x0184 { L"NtListTransactions" }, // 0x0185 { L"NtGetMUILicenseInfo" }, // 0x0186 { L"NtClearMUILicenseInfo" }, // 0x0187 { L"NtIsUILanguageComitted" }, // 0x0188 { L"NtFlushInstallUILanguage" }, // 0x0189 { L"NtGetMUIRegistryInfo" }, // 0x018a }; SYSTEM_CALL_DESCRIPTOR Windows2003_SP0_Native[] = { { L"NtAcceptConnectPort" }, // 0x0000 { L"NtAccessCheck" }, // 0x0001 { L"NtAccessCheckAndAuditAlarm" }, // 0x0002 { L"NtAccessCheckByType" }, // 0x0003 { L"NtAccessCheckByTypeAndAuditAlarm" }, // 0x0004 { L"NtAccessCheckByTypeResultList" }, // 0x0005 { L"NtAccessCheckByTypeResultListAndAuditAlarm" }, // 0x0006 { L"NtAccessCheckByTypeResultListAndAuditAlarmByHandle" }, // 0x0007 { L"NtAddAtom" }, // 0x0008 { L"NtAddBootEntry" }, // 0x0009 { L"NtAddDriverEntry" }, // 0x000a { L"NtAdjustGroupsToken" }, // 0x000b { L"NtAdjustPrivilegesToken" }, // 0x000c { L"NtAlertResumeThread" }, // 0x000d { L"NtAlertThread" }, // 0x000e { L"NtAllocateLocallyUniqueId" }, // 0x000f { L"NtAllocateUserPhysicalPages" }, // 0x0010 { L"NtAllocateUuids" }, // 0x0011 { L"NtAllocateVirtualMemory" }, // 0x0012 { L"NtApphelpCacheControl" }, // 0x0013 { L"NtAreMappedFilesTheSame" }, // 0x0014 { L"NtAssignProcessToJobObject" }, // 0x0015 { L"NtCallbackReturn" }, // 0x0016 { L"NtCancelDeviceWakeupRequest" }, // 0x0017 { L"NtCancelIoFile" }, // 0x0018 { L"NtCancelTimer" }, // 0x0019 { L"NtClearEvent" }, // 0x001a { L"NtClose" }, // 0x001b { L"NtCloseObjectAuditAlarm" }, // 0x001c { L"NtCompactKeys" }, // 0x001d { L"NtCompareTokens" }, // 0x001e { L"NtCompleteConnectPort" }, // 0x001f { L"NtCompressKey" }, // 0x0020 { L"NtConnectPort" }, // 0x0021 { L"NtContinue" }, // 0x0022 { L"NtCreateDebugObject" }, // 0x0023 { L"NtCreateDirectoryObject" }, // 0x0024 { L"NtCreateEvent" }, // 0x0025 { L"NtCreateEventPair" }, // 0x0026 { L"NtCreateFile" }, // 0x0027 { L"NtCreateIoCompletion" }, // 0x0028 { L"NtCreateJobObject" }, // 0x0029 { L"NtCreateJobSet" }, // 0x002a { L"NtCreateKey" }, // 0x002b { L"NtCreateMailslotFile" }, // 0x002c { L"NtCreateMutant" }, // 0x002d { L"NtCreateNamedPipeFile" }, // 0x002e { L"NtCreatePagingFile" }, // 0x002f { L"NtCreatePort" }, // 0x0030 { L"NtCreateProcess" }, // 0x0031 { L"NtCreateProcessEx" }, // 0x0032 { L"NtCreateProfile" }, // 0x0033 { L"NtCreateSection" }, // 0x0034 { L"NtCreateSemaphore" }, // 0x0035 { L"NtCreateSymbolicLinkObject" }, // 0x0036 { L"NtCreateThread" }, // 0x0037 { L"NtCreateTimer" }, // 0x0038 { L"NtCreateToken" }, // 0x0039 { L"NtCreateWaitablePort" }, // 0x003a { L"NtDebugActiveProcess" }, // 0x003b { L"NtDebugContinue" }, // 0x003c { L"NtDelayExecution" }, // 0x003d { L"NtDeleteAtom" }, // 0x003e { L"NtDeleteBootEntry" }, // 0x003f { L"NtDeleteDriverEntry" }, // 0x0040 { L"NtDeleteFile" }, // 0x0041 { L"NtDeleteKey" }, // 0x0042 { L"NtDeleteObjectAuditAlarm" }, // 0x0043 { L"NtDeleteValueKey" }, // 0x0044 { L"NtDeviceIoControlFile" }, // 0x0045 { L"NtDisplayString" }, // 0x0046 { L"NtDuplicateObject" }, // 0x0047 { L"NtDuplicateToken" }, // 0x0048 { L"NtEnumerateBootEntries" }, // 0x0049 { L"NtEnumerateDriverEntries" }, // 0x004a { L"NtEnumerateKey" }, // 0x004b { L"NtEnumerateSystemEnvironmentValuesEx" }, // 0x004c { L"NtEnumerateValueKey" }, // 0x004d { L"NtExtendSection" }, // 0x004e { L"NtFilterToken" }, // 0x004f { L"NtFindAtom" }, // 0x0050 { L"NtFlushBuffersFile" }, // 0x0051 { L"NtFlushInstructionCache" }, // 0x0052 { L"NtFlushKey" }, // 0x0053 { L"NtFlushVirtualMemory" }, // 0x0054 { L"NtFlushWriteBuffer" }, // 0x0055 { L"NtFreeUserPhysicalPages" }, // 0x0056 { L"NtFreeVirtualMemory" }, // 0x0057 { L"NtFsControlFile" }, // 0x0058 { L"NtGetContextThread" }, // 0x0059 { L"NtGetDevicePowerState" }, // 0x005a { L"NtGetPlugPlayEvent" }, // 0x005b { L"NtGetWriteWatch" }, // 0x005c { L"NtImpersonateAnonymousToken" }, // 0x005d { L"NtImpersonateClientOfPort" }, // 0x005e { L"NtImpersonateThread" }, // 0x005f { L"NtInitializeRegistry" }, // 0x0060 { L"NtInitiatePowerAction" }, // 0x0061 { L"NtIsProcessInJob" }, // 0x0062 { L"NtIsSystemResumeAutomatic" }, // 0x0063 { L"NtListenPort" }, // 0x0064 { L"NtLoadDriver" }, // 0x0065 { L"NtLoadKey" }, // 0x0066 { L"NtLoadKey2" }, // 0x0067 { L"NtLoadKeyEx" }, // 0x0068 { L"NtLockFile" }, // 0x0069 { L"NtLockProductActivationKeys" }, // 0x006a { L"NtLockRegistryKey" }, // 0x006b { L"NtLockVirtualMemory" }, // 0x006c { L"NtMakePermanentObject" }, // 0x006d { L"NtMakeTemporaryObject" }, // 0x006e { L"NtMapUserPhysicalPages" }, // 0x006f { L"NtMapUserPhysicalPagesScatter" }, // 0x0070 { L"NtMapViewOfSection" }, // 0x0071 { L"NtModifyBootEntry" }, // 0x0072 { L"NtModifyDriverEntry" }, // 0x0073 { L"NtNotifyChangeDirectoryFile" }, // 0x0074 { L"NtNotifyChangeKey" }, // 0x0075 { L"NtNotifyChangeMultipleKeys" }, // 0x0076 { L"NtOpenDirectoryObject" }, // 0x0077 { L"NtOpenEvent" }, // 0x0078 { L"NtOpenEventPair" }, // 0x0079 { L"NtOpenFile" }, // 0x007a { L"NtOpenIoCompletion" }, // 0x007b { L"NtOpenJobObject" }, // 0x007c { L"NtOpenKey" }, // 0x007d { L"NtOpenMutant" }, // 0x007e { L"NtOpenObjectAuditAlarm" }, // 0x007f { L"NtOpenProcess" }, // 0x0080 { L"NtOpenProcessToken" }, // 0x0081 { L"NtOpenProcessTokenEx" }, // 0x0082 { L"NtOpenSection" }, // 0x0083 { L"NtOpenSemaphore" }, // 0x0084 { L"NtOpenSymbolicLinkObject" }, // 0x0085 { L"NtOpenThread" }, // 0x0086 { L"NtOpenThreadToken" }, // 0x0087 { L"NtOpenThreadTokenEx" }, // 0x0088 { L"NtOpenTimer" }, // 0x0089 { L"NtPlugPlayControl" }, // 0x008a { L"NtPowerInformation" }, // 0x008b { L"NtPrivilegeCheck" }, // 0x008c { L"NtPrivilegeObjectAuditAlarm" }, // 0x008d { L"NtPrivilegedServiceAuditAlarm" }, // 0x008e { L"NtProtectVirtualMemory" }, // 0x008f { L"NtPulseEvent" }, // 0x0090 { L"NtQueryAttributesFile" }, // 0x0091 { L"NtQueryBootEntryOrder" }, // 0x0092 { L"NtQueryBootOptions" }, // 0x0093 { L"NtQueryDebugFilterState" }, // 0x0094 { L"NtQueryDefaultLocale" }, // 0x0095 { L"NtQueryDefaultUILanguage" }, // 0x0096 { L"NtQueryDirectoryFile" }, // 0x0097 { L"NtQueryDirectoryObject" }, // 0x0098 { L"NtQueryDriverEntryOrder" }, // 0x0099 { L"NtQueryEaFile" }, // 0x009a { L"NtQueryEvent" }, // 0x009b { L"NtQueryFullAttributesFile" }, // 0x009c { L"NtQueryInformationAtom" }, // 0x009d { L"NtQueryInformationFile" }, // 0x009e { L"NtQueryInformationJobObject" }, // 0x009f { L"NtQueryInformationPort" }, // 0x00a0 { L"NtQueryInformationProcess" }, // 0x00a1 { L"NtQueryInformationThread" }, // 0x00a2 { L"NtQueryInformationToken" }, // 0x00a3 { L"NtQueryInstallUILanguage" }, // 0x00a4 { L"NtQueryIntervalProfile" }, // 0x00a5 { L"NtQueryIoCompletion" }, // 0x00a6 { L"NtQueryKey" }, // 0x00a7 { L"NtQueryMultipleValueKey" }, // 0x00a8 { L"NtQueryMutant" }, // 0x00a9 { L"NtQueryObject" }, // 0x00aa { L"NtQueryOpenSubKeys" }, // 0x00ab { L"NtQueryOpenSubKeysEx" }, // 0x00ac { L"NtQueryPerformanceCounter" }, // 0x00ad { L"NtQueryQuotaInformationFile" }, // 0x00ae { L"NtQuerySection" }, // 0x00af { L"NtQuerySecurityObject" }, // 0x00b0 { L"NtQuerySemaphore" }, // 0x00b1 { L"NtQuerySymbolicLinkObject" }, // 0x00b2 { L"NtQuerySystemEnvironmentValue" }, // 0x00b3 { L"NtQuerySystemEnvironmentValueEx" }, // 0x00b4 { L"NtQuerySystemInformation" }, // 0x00b5 { L"NtQuerySystemTime" }, // 0x00b6 { L"NtQueryTimer" }, // 0x00b7 { L"NtQueryTimerResolution" }, // 0x00b8 { L"NtQueryValueKey" }, // 0x00b9 { L"NtQueryVirtualMemory" }, // 0x00ba { L"NtQueryVolumeInformationFile" }, // 0x00bb { L"NtQueueApcThread" }, // 0x00bc { L"NtRaiseException" }, // 0x00bd { L"NtRaiseHardError" }, // 0x00be { L"NtReadFile" }, // 0x00bf { L"NtReadFileScatter" }, // 0x00c0 { L"NtReadRequestData" }, // 0x00c1 { L"NtReadVirtualMemory" }, // 0x00c2 { L"NtRegisterThreadTerminatePort" }, // 0x00c3 { L"NtReleaseMutant" }, // 0x00c4 { L"NtReleaseSemaphore" }, // 0x00c5 { L"NtRemoveIoCompletion" }, // 0x00c6 { L"NtRemoveProcessDebug" }, // 0x00c7 { L"NtRenameKey" }, // 0x00c8 { L"NtReplaceKey" }, // 0x00c9 { L"NtReplyPort" }, // 0x00ca { L"NtReplyWaitReceivePort" }, // 0x00cb { L"NtReplyWaitReceivePortEx" }, // 0x00cc { L"NtReplyWaitReplyPort" }, // 0x00cd { L"NtRequestDeviceWakeup" }, // 0x00ce { L"NtRequestPort" }, // 0x00cf { L"NtRequestWaitReplyPort" }, // 0x00d0 { L"NtRequestWakeupLatency" }, // 0x00d1 { L"NtResetEvent" }, // 0x00d2 { L"NtResetWriteWatch" }, // 0x00d3 { L"NtRestoreKey" }, // 0x00d4 { L"NtResumeProcess" }, // 0x00d5 { L"NtResumeThread" }, // 0x00d6 { L"NtSaveKey" }, // 0x00d7 { L"NtSaveKeyEx" }, // 0x00d8 { L"NtSaveMergedKeys" }, // 0x00d9 { L"NtSecureConnectPort" }, // 0x00da { L"NtSetBootEntryOrder" }, // 0x00db { L"NtSetBootOptions" }, // 0x00dc { L"NtSetContextThread" }, // 0x00dd { L"NtSetDebugFilterState" }, // 0x00de { L"NtSetDefaultHardErrorPort" }, // 0x00df { L"NtSetDefaultLocale" }, // 0x00e0 { L"NtSetDefaultUILanguage" }, // 0x00e1 { L"NtSetDriverEntryOrder" }, // 0x00e2 { L"NtSetEaFile" }, // 0x00e3 { L"NtSetEvent" }, // 0x00e4 { L"NtSetEventBoostPriority" }, // 0x00e5 { L"NtSetHighEventPair" }, // 0x00e6 { L"NtSetHighWaitLowEventPair" }, // 0x00e7 { L"NtSetInformationDebugObject" }, // 0x00e8 { L"NtSetInformationFile" }, // 0x00e9 { L"NtSetInformationJobObject" }, // 0x00ea { L"NtSetInformationKey" }, // 0x00eb { L"NtSetInformationObject" }, // 0x00ec { L"NtSetInformationProcess" }, // 0x00ed { L"NtSetInformationThread" }, // 0x00ee { L"NtSetInformationToken" }, // 0x00ef { L"NtSetIntervalProfile" }, // 0x00f0 { L"NtSetIoCompletion" }, // 0x00f1 { L"NtSetLdtEntries" }, // 0x00f2 { L"NtSetLowEventPair" }, // 0x00f3 { L"NtSetLowWaitHighEventPair" }, // 0x00f4 { L"NtSetQuotaInformationFile" }, // 0x00f5 { L"NtSetSecurityObject" }, // 0x00f6 { L"NtSetSystemEnvironmentValue" }, // 0x00f7 { L"NtSetSystemEnvironmentValueEx" }, // 0x00f8 { L"NtSetSystemInformation" }, // 0x00f9 { L"NtSetSystemPowerState" }, // 0x00fa { L"NtSetSystemTime" }, // 0x00fb { L"NtSetThreadExecutionState" }, // 0x00fc { L"NtSetTimer" }, // 0x00fd { L"NtSetTimerResolution" }, // 0x00fe { L"NtSetUuidSeed" }, // 0x00ff { L"NtSetValueKey" }, // 0x0100 { L"NtSetVolumeInformationFile" }, // 0x0101 { L"NtShutdownSystem" }, // 0x0102 { L"NtSignalAndWaitForSingleObject" }, // 0x0103 { L"NtStartProfile" }, // 0x0104 { L"NtStopProfile" }, // 0x0105 { L"NtSuspendProcess" }, // 0x0106 { L"NtSuspendThread" }, // 0x0107 { L"NtSystemDebugControl" }, // 0x0108 { L"NtTerminateJobObject" }, // 0x0109 { L"NtTerminateProcess" }, // 0x010a { L"NtTerminateThread" }, // 0x010b { L"NtTestAlert" }, // 0x010c { L"NtTraceEvent" }, // 0x010d { L"NtTranslateFilePath" }, // 0x010e { L"NtUnloadDriver" }, // 0x010f { L"NtUnloadKey" }, // 0x0110 { L"NtUnloadKey2" }, // 0x0111 { L"NtUnloadKeyEx" }, // 0x0112 { L"NtUnlockFile" }, // 0x0113 { L"NtUnlockVirtualMemory" }, // 0x0114 { L"NtUnmapViewOfSection" }, // 0x0115 { L"NtVdmControl" }, // 0x0116 { L"NtWaitForDebugEvent" }, // 0x0117 { L"NtWaitForMultipleObjects" }, // 0x0118 { L"NtWaitForSingleObject" }, // 0x0119 { L"NtWaitHighEventPair" }, // 0x011a { L"NtWaitLowEventPair" }, // 0x011b { L"NtWriteFile" }, // 0x011c { L"NtWriteFileGather" }, // 0x011d { L"NtWriteRequestData" }, // 0x011e { L"NtWriteVirtualMemory" }, // 0x011f { L"NtYieldExecution" }, // 0x0120 { L"NtCreateKeyedEvent" }, // 0x0121 { L"NtOpenKeyedEvent" }, // 0x0122 { L"NtReleaseKeyedEvent" }, // 0x0123 { L"NtWaitForKeyedEvent" }, // 0x0124 { L"NtQueryPortInformationProcess" }, // 0x0125 { L"NtGetCurrentProcessorNumber" }, // 0x0126 }; SYSTEM_CALL_DESCRIPTOR Windows2003_SP1_Native[] = { { L"NtAcceptConnectPort" }, // 0x0000 { L"NtAccessCheck" }, // 0x0001 { L"NtAccessCheckAndAuditAlarm" }, // 0x0002 { L"NtAccessCheckByType" }, // 0x0003 { L"NtAccessCheckByTypeAndAuditAlarm" }, // 0x0004 { L"NtAccessCheckByTypeResultList" }, // 0x0005 { L"NtAccessCheckByTypeResultListAndAuditAlarm" }, // 0x0006 { L"NtAccessCheckByTypeResultListAndAuditAlarmByHandle" }, // 0x0007 { L"NtAddAtom" }, // 0x0008 { L"NtAddBootEntry" }, // 0x0009 { L"NtAddDriverEntry" }, // 0x000a { L"NtAdjustGroupsToken" }, // 0x000b { L"NtAdjustPrivilegesToken" }, // 0x000c { L"NtAlertResumeThread" }, // 0x000d { L"NtAlertThread" }, // 0x000e { L"NtAllocateLocallyUniqueId" }, // 0x000f { L"NtAllocateUserPhysicalPages" }, // 0x0010 { L"NtAllocateUuids" }, // 0x0011 { L"NtAllocateVirtualMemory" }, // 0x0012 { L"NtApphelpCacheControl" }, // 0x0013 { L"NtAreMappedFilesTheSame" }, // 0x0014 { L"NtAssignProcessToJobObject" }, // 0x0015 { L"NtCallbackReturn" }, // 0x0016 { L"NtCancelDeviceWakeupRequest" }, // 0x0017 { L"NtCancelIoFile" }, // 0x0018 { L"NtCancelTimer" }, // 0x0019 { L"NtClearEvent" }, // 0x001a { L"NtClose" }, // 0x001b { L"NtCloseObjectAuditAlarm" }, // 0x001c { L"NtCompactKeys" }, // 0x001d { L"NtCompareTokens" }, // 0x001e { L"NtCompleteConnectPort" }, // 0x001f { L"NtCompressKey" }, // 0x0020 { L"NtConnectPort" }, // 0x0021 { L"NtContinue" }, // 0x0022 { L"NtCreateDebugObject" }, // 0x0023 { L"NtCreateDirectoryObject" }, // 0x0024 { L"NtCreateEvent" }, // 0x0025 { L"NtCreateEventPair" }, // 0x0026 { L"NtCreateFile" }, // 0x0027 { L"NtCreateIoCompletion" }, // 0x0028 { L"NtCreateJobObject" }, // 0x0029 { L"NtCreateJobSet" }, // 0x002a { L"NtCreateKey" }, // 0x002b { L"NtCreateMailslotFile" }, // 0x002c { L"NtCreateMutant" }, // 0x002d { L"NtCreateNamedPipeFile" }, // 0x002e { L"NtCreatePagingFile" }, // 0x002f { L"NtCreatePort" }, // 0x0030 { L"NtCreateProcess" }, // 0x0031 { L"NtCreateProcessEx" }, // 0x0032 { L"NtCreateProfile" }, // 0x0033 { L"NtCreateSection" }, // 0x0034 { L"NtCreateSemaphore" }, // 0x0035 { L"NtCreateSymbolicLinkObject" }, // 0x0036 { L"NtCreateThread" }, // 0x0037 { L"NtCreateTimer" }, // 0x0038 { L"NtCreateToken" }, // 0x0039 { L"NtCreateWaitablePort" }, // 0x003a { L"NtDebugActiveProcess" }, // 0x003b { L"NtDebugContinue" }, // 0x003c { L"NtDelayExecution" }, // 0x003d { L"NtDeleteAtom" }, // 0x003e { L"NtDeleteBootEntry" }, // 0x003f { L"NtDeleteDriverEntry" }, // 0x0040 { L"NtDeleteFile" }, // 0x0041 { L"NtDeleteKey" }, // 0x0042 { L"NtDeleteObjectAuditAlarm" }, // 0x0043 { L"NtDeleteValueKey" }, // 0x0044 { L"NtDeviceIoControlFile" }, // 0x0045 { L"NtDisplayString" }, // 0x0046 { L"NtDuplicateObject" }, // 0x0047 { L"NtDuplicateToken" }, // 0x0048 { L"NtEnumerateBootEntries" }, // 0x0049 { L"NtEnumerateDriverEntries" }, // 0x004a { L"NtEnumerateKey" }, // 0x004b { L"NtEnumerateSystemEnvironmentValuesEx" }, // 0x004c { L"NtEnumerateValueKey" }, // 0x004d { L"NtExtendSection" }, // 0x004e { L"NtFilterToken" }, // 0x004f { L"NtFindAtom" }, // 0x0050 { L"NtFlushBuffersFile" }, // 0x0051 { L"NtFlushInstructionCache" }, // 0x0052 { L"NtFlushKey" }, // 0x0053 { L"NtFlushVirtualMemory" }, // 0x0054 { L"NtFlushWriteBuffer" }, // 0x0055 { L"NtFreeUserPhysicalPages" }, // 0x0056 { L"NtFreeVirtualMemory" }, // 0x0057 { L"NtFsControlFile" }, // 0x0058 { L"NtGetContextThread" }, // 0x0059 { L"NtGetDevicePowerState" }, // 0x005a { L"NtGetPlugPlayEvent" }, // 0x005b { L"NtGetWriteWatch" }, // 0x005c { L"NtImpersonateAnonymousToken" }, // 0x005d { L"NtImpersonateClientOfPort" }, // 0x005e { L"NtImpersonateThread" }, // 0x005f { L"NtInitializeRegistry" }, // 0x0060 { L"NtInitiatePowerAction" }, // 0x0061 { L"NtIsProcessInJob" }, // 0x0062 { L"NtIsSystemResumeAutomatic" }, // 0x0063 { L"NtListenPort" }, // 0x0064 { L"NtLoadDriver" }, // 0x0065 { L"NtLoadKey" }, // 0x0066 { L"NtLoadKey2" }, // 0x0067 { L"NtLoadKeyEx" }, // 0x0068 { L"NtLockFile" }, // 0x0069 { L"NtLockProductActivationKeys" }, // 0x006a { L"NtLockRegistryKey" }, // 0x006b { L"NtLockVirtualMemory" }, // 0x006c { L"NtMakePermanentObject" }, // 0x006d { L"NtMakeTemporaryObject" }, // 0x006e { L"NtMapUserPhysicalPages" }, // 0x006f { L"NtMapUserPhysicalPagesScatter" }, // 0x0070 { L"NtMapViewOfSection" }, // 0x0071 { L"NtModifyBootEntry" }, // 0x0072 { L"NtModifyDriverEntry" }, // 0x0073 { L"NtNotifyChangeDirectoryFile" }, // 0x0074 { L"NtNotifyChangeKey" }, // 0x0075 { L"NtNotifyChangeMultipleKeys" }, // 0x0076 { L"NtOpenDirectoryObject" }, // 0x0077 { L"NtOpenEvent" }, // 0x0078 { L"NtOpenEventPair" }, // 0x0079 { L"NtOpenFile" }, // 0x007a { L"NtOpenIoCompletion" }, // 0x007b { L"NtOpenJobObject" }, // 0x007c { L"NtOpenKey" }, // 0x007d { L"NtOpenMutant" }, // 0x007e { L"NtOpenObjectAuditAlarm" }, // 0x007f { L"NtOpenProcess" }, // 0x0080 { L"NtOpenProcessToken" }, // 0x0081 { L"NtOpenProcessTokenEx" }, // 0x0082 { L"NtOpenSection" }, // 0x0083 { L"NtOpenSemaphore" }, // 0x0084 { L"NtOpenSymbolicLinkObject" }, // 0x0085 { L"NtOpenThread" }, // 0x0086 { L"NtOpenThreadToken" }, // 0x0087 { L"NtOpenThreadTokenEx" }, // 0x0088 { L"NtOpenTimer" }, // 0x0089 { L"NtPlugPlayControl" }, // 0x008a { L"NtPowerInformation" }, // 0x008b { L"NtPrivilegeCheck" }, // 0x008c { L"NtPrivilegeObjectAuditAlarm" }, // 0x008d { L"NtPrivilegedServiceAuditAlarm" }, // 0x008e { L"NtProtectVirtualMemory" }, // 0x008f { L"NtPulseEvent" }, // 0x0090 { L"NtQueryAttributesFile" }, // 0x0091 { L"NtQueryBootEntryOrder" }, // 0x0092 { L"NtQueryBootOptions" }, // 0x0093 { L"NtQueryDebugFilterState" }, // 0x0094 { L"NtQueryDefaultLocale" }, // 0x0095 { L"NtQueryDefaultUILanguage" }, // 0x0096 { L"NtQueryDirectoryFile" }, // 0x0097 { L"NtQueryDirectoryObject" }, // 0x0098 { L"NtQueryDriverEntryOrder" }, // 0x0099 { L"NtQueryEaFile" }, // 0x009a { L"NtQueryEvent" }, // 0x009b { L"NtQueryFullAttributesFile" }, // 0x009c { L"NtQueryInformationAtom" }, // 0x009d { L"NtQueryInformationFile" }, // 0x009e { L"NtQueryInformationJobObject" }, // 0x009f { L"NtQueryInformationPort" }, // 0x00a0 { L"NtQueryInformationProcess" }, // 0x00a1 { L"NtQueryInformationThread" }, // 0x00a2 { L"NtQueryInformationToken" }, // 0x00a3 { L"NtQueryInstallUILanguage" }, // 0x00a4 { L"NtQueryIntervalProfile" }, // 0x00a5 { L"NtQueryIoCompletion" }, // 0x00a6 { L"NtQueryKey" }, // 0x00a7 { L"NtQueryMultipleValueKey" }, // 0x00a8 { L"NtQueryMutant" }, // 0x00a9 { L"NtQueryObject" }, // 0x00aa { L"NtQueryOpenSubKeys" }, // 0x00ab { L"NtQueryOpenSubKeysEx" }, // 0x00ac { L"NtQueryPerformanceCounter" }, // 0x00ad { L"NtQueryQuotaInformationFile" }, // 0x00ae { L"NtQuerySection" }, // 0x00af { L"NtQuerySecurityObject" }, // 0x00b0 { L"NtQuerySemaphore" }, // 0x00b1 { L"NtQuerySymbolicLinkObject" }, // 0x00b2 { L"NtQuerySystemEnvironmentValue" }, // 0x00b3 { L"NtQuerySystemEnvironmentValueEx" }, // 0x00b4 { L"NtQuerySystemInformation" }, // 0x00b5 { L"NtQuerySystemTime" }, // 0x00b6 { L"NtQueryTimer" }, // 0x00b7 { L"NtQueryTimerResolution" }, // 0x00b8 { L"NtQueryValueKey" }, // 0x00b9 { L"NtQueryVirtualMemory" }, // 0x00ba { L"NtQueryVolumeInformationFile" }, // 0x00bb { L"NtQueueApcThread" }, // 0x00bc { L"NtRaiseException" }, // 0x00bd { L"NtRaiseHardError" }, // 0x00be { L"NtReadFile" }, // 0x00bf { L"NtReadFileScatter" }, // 0x00c0 { L"NtReadRequestData" }, // 0x00c1 { L"NtReadVirtualMemory" }, // 0x00c2 { L"NtRegisterThreadTerminatePort" }, // 0x00c3 { L"NtReleaseMutant" }, // 0x00c4 { L"NtReleaseSemaphore" }, // 0x00c5 { L"NtRemoveIoCompletion" }, // 0x00c6 { L"NtRemoveProcessDebug" }, // 0x00c7 { L"NtRenameKey" }, // 0x00c8 { L"NtReplaceKey" }, // 0x00c9 { L"NtReplyPort" }, // 0x00ca { L"NtReplyWaitReceivePort" }, // 0x00cb { L"NtReplyWaitReceivePortEx" }, // 0x00cc { L"NtReplyWaitReplyPort" }, // 0x00cd { L"NtRequestDeviceWakeup" }, // 0x00ce { L"NtRequestPort" }, // 0x00cf { L"NtRequestWaitReplyPort" }, // 0x00d0 { L"NtRequestWakeupLatency" }, // 0x00d1 { L"NtResetEvent" }, // 0x00d2 { L"NtResetWriteWatch" }, // 0x00d3 { L"NtRestoreKey" }, // 0x00d4 { L"NtResumeProcess" }, // 0x00d5 { L"NtResumeThread" }, // 0x00d6 { L"NtSaveKey" }, // 0x00d7 { L"NtSaveKeyEx" }, // 0x00d8 { L"NtSaveMergedKeys" }, // 0x00d9 { L"NtSecureConnectPort" }, // 0x00da { L"NtSetBootEntryOrder" }, // 0x00db { L"NtSetBootOptions" }, // 0x00dc { L"NtSetContextThread" }, // 0x00dd { L"NtSetDebugFilterState" }, // 0x00de { L"NtSetDefaultHardErrorPort" }, // 0x00df { L"NtSetDefaultLocale" }, // 0x00e0 { L"NtSetDefaultUILanguage" }, // 0x00e1 { L"NtSetDriverEntryOrder" }, // 0x00e2 { L"NtSetEaFile" }, // 0x00e3 { L"NtSetEvent" }, // 0x00e4 { L"NtSetEventBoostPriority" }, // 0x00e5 { L"NtSetHighEventPair" }, // 0x00e6 { L"NtSetHighWaitLowEventPair" }, // 0x00e7 { L"NtSetInformationDebugObject" }, // 0x00e8 { L"NtSetInformationFile" }, // 0x00e9 { L"NtSetInformationJobObject" }, // 0x00ea { L"NtSetInformationKey" }, // 0x00eb { L"NtSetInformationObject" }, // 0x00ec { L"NtSetInformationProcess" }, // 0x00ed { L"NtSetInformationThread" }, // 0x00ee { L"NtSetInformationToken" }, // 0x00ef { L"NtSetIntervalProfile" }, // 0x00f0 { L"NtSetIoCompletion" }, // 0x00f1 { L"NtSetLdtEntries" }, // 0x00f2 { L"NtSetLowEventPair" }, // 0x00f3 { L"NtSetLowWaitHighEventPair" }, // 0x00f4 { L"NtSetQuotaInformationFile" }, // 0x00f5 { L"NtSetSecurityObject" }, // 0x00f6 { L"NtSetSystemEnvironmentValue" }, // 0x00f7 { L"NtSetSystemEnvironmentValueEx" }, // 0x00f8 { L"NtSetSystemInformation" }, // 0x00f9 { L"NtSetSystemPowerState" }, // 0x00fa { L"NtSetSystemTime" }, // 0x00fb { L"NtSetThreadExecutionState" }, // 0x00fc { L"NtSetTimer" }, // 0x00fd { L"NtSetTimerResolution" }, // 0x00fe { L"NtSetUuidSeed" }, // 0x00ff { L"NtSetValueKey" }, // 0x0100 { L"NtSetVolumeInformationFile" }, // 0x0101 { L"NtShutdownSystem" }, // 0x0102 { L"NtSignalAndWaitForSingleObject" }, // 0x0103 { L"NtStartProfile" }, // 0x0104 { L"NtStopProfile" }, // 0x0105 { L"NtSuspendProcess" }, // 0x0106 { L"NtSuspendThread" }, // 0x0107 { L"NtSystemDebugControl" }, // 0x0108 { L"NtTerminateJobObject" }, // 0x0109 { L"NtTerminateProcess" }, // 0x010a { L"NtTerminateThread" }, // 0x010b { L"NtTestAlert" }, // 0x010c { L"NtTraceEvent" }, // 0x010d { L"NtTranslateFilePath" }, // 0x010e { L"NtUnloadDriver" }, // 0x010f { L"NtUnloadKey" }, // 0x0110 { L"NtUnloadKey2" }, // 0x0111 { L"NtUnloadKeyEx" }, // 0x0112 { L"NtUnlockFile" }, // 0x0113 { L"NtUnlockVirtualMemory" }, // 0x0114 { L"NtUnmapViewOfSection" }, // 0x0115 { L"NtVdmControl" }, // 0x0116 { L"NtWaitForDebugEvent" }, // 0x0117 { L"NtWaitForMultipleObjects" }, // 0x0118 { L"NtWaitForSingleObject" }, // 0x0119 { L"NtWaitHighEventPair" }, // 0x011a { L"NtWaitLowEventPair" }, // 0x011b { L"NtWriteFile" }, // 0x011c { L"NtWriteFileGather" }, // 0x011d { L"NtWriteRequestData" }, // 0x011e { L"NtWriteVirtualMemory" }, // 0x011f { L"NtYieldExecution" }, // 0x0120 { L"NtCreateKeyedEvent" }, // 0x0121 { L"NtOpenKeyedEvent" }, // 0x0122 { L"NtReleaseKeyedEvent" }, // 0x0123 { L"NtWaitForKeyedEvent" }, // 0x0124 { L"NtQueryPortInformationProcess" }, // 0x0125 { L"NtGetCurrentProcessorNumber" }, // 0x0126 { L"NtWaitForMultipleObjects32" }, // 0x0127 }; SYSTEM_CALL_DESCRIPTOR WindowsXP_SP0SP1_Native[] = { { L"NtAcceptConnectPort" }, // 0x0000 { L"NtAccessCheck" }, // 0x0001 { L"NtAccessCheckAndAuditAlarm" }, // 0x0002 { L"NtAccessCheckByType" }, // 0x0003 { L"NtAccessCheckByTypeAndAuditAlarm" }, // 0x0004 { L"NtAccessCheckByTypeResultList" }, // 0x0005 { L"NtAccessCheckByTypeResultListAndAuditAlarm" }, // 0x0006 { L"NtAccessCheckByTypeResultListAndAuditAlarmByHandle" }, // 0x0007 { L"NtAddAtom" }, // 0x0008 { L"NtAddBootEntry" }, // 0x0009 { L"NtAdjustGroupsToken" }, // 0x000a { L"NtAdjustPrivilegesToken" }, // 0x000b { L"NtAlertResumeThread" }, // 0x000c { L"NtAlertThread" }, // 0x000d { L"NtAllocateLocallyUniqueId" }, // 0x000e { L"NtAllocateUserPhysicalPages" }, // 0x000f { L"NtAllocateUuids" }, // 0x0010 { L"NtAllocateVirtualMemory" }, // 0x0011 { L"NtAreMappedFilesTheSame" }, // 0x0012 { L"NtAssignProcessToJobObject" }, // 0x0013 { L"NtCallbackReturn" }, // 0x0014 { L"NtCancelDeviceWakeupRequest" }, // 0x0015 { L"NtCancelIoFile" }, // 0x0016 { L"NtCancelTimer" }, // 0x0017 { L"NtClearEvent" }, // 0x0018 { L"NtClose" }, // 0x0019 { L"NtCloseObjectAuditAlarm" }, // 0x001a { L"NtCompactKeys" }, // 0x001b { L"NtCompareTokens" }, // 0x001c { L"NtCompleteConnectPort" }, // 0x001d { L"NtCompressKey" }, // 0x001e { L"NtConnectPort" }, // 0x001f { L"NtContinue" }, // 0x0020 { L"NtCreateDebugObject" }, // 0x0021 { L"NtCreateDirectoryObject" }, // 0x0022 { L"NtCreateEvent" }, // 0x0023 { L"NtCreateEventPair" }, // 0x0024 { L"NtCreateFile" }, // 0x0025 { L"NtCreateIoCompletion" }, // 0x0026 { L"NtCreateJobObject" }, // 0x0027 { L"NtCreateJobSet" }, // 0x0028 { L"NtCreateKey" }, // 0x0029 { L"NtCreateMailslotFile" }, // 0x002a { L"NtCreateMutant" }, // 0x002b { L"NtCreateNamedPipeFile" }, // 0x002c { L"NtCreatePagingFile" }, // 0x002d { L"NtCreatePort" }, // 0x002e { L"NtCreateProcess" }, // 0x002f { L"NtCreateProcessEx" }, // 0x0030 { L"NtCreateProfile" }, // 0x0031 { L"NtCreateSection" }, // 0x0032 { L"NtCreateSemaphore" }, // 0x0033 { L"NtCreateSymbolicLinkObject" }, // 0x0034 { L"NtCreateThread" }, // 0x0035 { L"NtCreateTimer" }, // 0x0036 { L"NtCreateToken" }, // 0x0037 { L"NtCreateWaitablePort" }, // 0x0038 { L"NtDebugActiveProcess" }, // 0x0039 { L"NtDebugContinue" }, // 0x003a { L"NtDelayExecution" }, // 0x003b { L"NtDeleteAtom" }, // 0x003c { L"NtDeleteBootEntry" }, // 0x003d { L"NtDeleteFile" }, // 0x003e { L"NtDeleteKey" }, // 0x003f { L"NtDeleteObjectAuditAlarm" }, // 0x0040 { L"NtDeleteValueKey" }, // 0x0041 { L"NtDeviceIoControlFile" }, // 0x0042 { L"NtDisplayString" }, // 0x0043 { L"NtDuplicateObject" }, // 0x0044 { L"NtDuplicateToken" }, // 0x0045 { L"NtEnumerateBootEntries" }, // 0x0046 { L"NtEnumerateKey" }, // 0x0047 { L"NtEnumerateSystemEnvironmentValuesEx" }, // 0x0048 { L"NtEnumerateValueKey" }, // 0x0049 { L"NtExtendSection" }, // 0x004a { L"NtFilterToken" }, // 0x004b { L"NtFindAtom" }, // 0x004c { L"NtFlushBuffersFile" }, // 0x004d { L"NtFlushInstructionCache" }, // 0x004e { L"NtFlushKey" }, // 0x004f { L"NtFlushVirtualMemory" }, // 0x0050 { L"NtFlushWriteBuffer" }, // 0x0051 { L"NtFreeUserPhysicalPages" }, // 0x0052 { L"NtFreeVirtualMemory" }, // 0x0053 { L"NtFsControlFile" }, // 0x0054 { L"NtGetContextThread" }, // 0x0055 { L"NtGetDevicePowerState" }, // 0x0056 { L"NtGetPlugPlayEvent" }, // 0x0057 { L"NtGetWriteWatch" }, // 0x0058 { L"NtImpersonateAnonymousToken" }, // 0x0059 { L"NtImpersonateClientOfPort" }, // 0x005a { L"NtImpersonateThread" }, // 0x005b { L"NtInitializeRegistry" }, // 0x005c { L"NtInitiatePowerAction" }, // 0x005d { L"NtIsProcessInJob" }, // 0x005e { L"NtIsSystemResumeAutomatic" }, // 0x005f { L"NtListenPort" }, // 0x0060 { L"NtLoadDriver" }, // 0x0061 { L"NtLoadKey" }, // 0x0062 { L"NtLoadKey2" }, // 0x0063 { L"NtLockFile" }, // 0x0064 { L"NtLockProductActivationKeys" }, // 0x0065 { L"NtLockRegistryKey" }, // 0x0066 { L"NtLockVirtualMemory" }, // 0x0067 { L"NtMakePermanentObject" }, // 0x0068 { L"NtMakeTemporaryObject" }, // 0x0069 { L"NtMapUserPhysicalPages" }, // 0x006a { L"NtMapUserPhysicalPagesScatter" }, // 0x006b { L"NtMapViewOfSection" }, // 0x006c { L"NtModifyBootEntry" }, // 0x006d { L"NtNotifyChangeDirectoryFile" }, // 0x006e { L"NtNotifyChangeKey" }, // 0x006f { L"NtNotifyChangeMultipleKeys" }, // 0x0070 { L"NtOpenDirectoryObject" }, // 0x0071 { L"NtOpenEvent" }, // 0x0072 { L"NtOpenEventPair" }, // 0x0073 { L"NtOpenFile" }, // 0x0074 { L"NtOpenIoCompletion" }, // 0x0075 { L"NtOpenJobObject" }, // 0x0076 { L"NtOpenKey" }, // 0x0077 { L"NtOpenMutant" }, // 0x0078 { L"NtOpenObjectAuditAlarm" }, // 0x0079 { L"NtOpenProcess" }, // 0x007a { L"NtOpenProcessToken" }, // 0x007b { L"NtOpenProcessTokenEx" }, // 0x007c { L"NtOpenSection" }, // 0x007d { L"NtOpenSemaphore" }, // 0x007e { L"NtOpenSymbolicLinkObject" }, // 0x007f { L"NtOpenThread" }, // 0x0080 { L"NtOpenThreadToken" }, // 0x0081 { L"NtOpenThreadTokenEx" }, // 0x0082 { L"NtOpenTimer" }, // 0x0083 { L"NtPlugPlayControl" }, // 0x0084 { L"NtPowerInformation" }, // 0x0085 { L"NtPrivilegeCheck" }, // 0x0086 { L"NtPrivilegeObjectAuditAlarm" }, // 0x0087 { L"NtPrivilegedServiceAuditAlarm" }, // 0x0088 { L"NtProtectVirtualMemory" }, // 0x0089 { L"NtPulseEvent" }, // 0x008a { L"NtQueryAttributesFile" }, // 0x008b { L"NtQueryBootEntryOrder" }, // 0x008c { L"NtQueryBootOptions" }, // 0x008d { L"NtQueryDebugFilterState" }, // 0x008e { L"NtQueryDefaultLocale" }, // 0x008f { L"NtQueryDefaultUILanguage" }, // 0x0090 { L"NtQueryDirectoryFile" }, // 0x0091 { L"NtQueryDirectoryObject" }, // 0x0092 { L"NtQueryEaFile" }, // 0x0093 { L"NtQueryEvent" }, // 0x0094 { L"NtQueryFullAttributesFile" }, // 0x0095 { L"NtQueryInformationAtom" }, // 0x0096 { L"NtQueryInformationFile" }, // 0x0097 { L"NtQueryInformationJobObject" }, // 0x0098 { L"NtQueryInformationPort" }, // 0x0099 { L"NtQueryInformationProcess" }, // 0x009a { L"NtQueryInformationThread" }, // 0x009b { L"NtQueryInformationToken" }, // 0x009c { L"NtQueryInstallUILanguage" }, // 0x009d { L"NtQueryIntervalProfile" }, // 0x009e { L"NtQueryIoCompletion" }, // 0x009f { L"NtQueryKey" }, // 0x00a0 { L"NtQueryMultipleValueKey" }, // 0x00a1 { L"NtQueryMutant" }, // 0x00a2 { L"NtQueryObject" }, // 0x00a3 { L"NtQueryOpenSubKeys" }, // 0x00a4 { L"NtQueryPerformanceCounter" }, // 0x00a5 { L"NtQueryQuotaInformationFile" }, // 0x00a6 { L"NtQuerySection" }, // 0x00a7 { L"NtQuerySecurityObject" }, // 0x00a8 { L"NtQuerySemaphore" }, // 0x00a9 { L"NtQuerySymbolicLinkObject" }, // 0x00aa { L"NtQuerySystemEnvironmentValue" }, // 0x00ab { L"NtQuerySystemEnvironmentValueEx" }, // 0x00ac { L"NtQuerySystemInformation" }, // 0x00ad { L"NtQuerySystemTime" }, // 0x00ae { L"NtQueryTimer" }, // 0x00af { L"NtQueryTimerResolution" }, // 0x00b0 { L"NtQueryValueKey" }, // 0x00b1 { L"NtQueryVirtualMemory" }, // 0x00b2 { L"NtQueryVolumeInformationFile" }, // 0x00b3 { L"NtQueueApcThread" }, // 0x00b4 { L"NtRaiseException" }, // 0x00b5 { L"NtRaiseHardError" }, // 0x00b6 { L"NtReadFile" }, // 0x00b7 { L"NtReadFileScatter" }, // 0x00b8 { L"NtReadRequestData" }, // 0x00b9 { L"NtReadVirtualMemory" }, // 0x00ba { L"NtRegisterThreadTerminatePort" }, // 0x00bb { L"NtReleaseMutant" }, // 0x00bc { L"NtReleaseSemaphore" }, // 0x00bd { L"NtRemoveIoCompletion" }, // 0x00be { L"NtRemoveProcessDebug" }, // 0x00bf { L"NtRenameKey" }, // 0x00c0 { L"NtReplaceKey" }, // 0x00c1 { L"NtReplyPort" }, // 0x00c2 { L"NtReplyWaitReceivePort" }, // 0x00c3 { L"NtReplyWaitReceivePortEx" }, // 0x00c4 { L"NtReplyWaitReplyPort" }, // 0x00c5 { L"NtRequestDeviceWakeup" }, // 0x00c6 { L"NtRequestPort" }, // 0x00c7 { L"NtRequestWaitReplyPort" }, // 0x00c8 { L"NtRequestWakeupLatency" }, // 0x00c9 { L"NtResetEvent" }, // 0x00ca { L"NtResetWriteWatch" }, // 0x00cb { L"NtRestoreKey" }, // 0x00cc { L"NtResumeProcess" }, // 0x00cd { L"NtResumeThread" }, // 0x00ce { L"NtSaveKey" }, // 0x00cf { L"NtSaveKeyEx" }, // 0x00d0 { L"NtSaveMergedKeys" }, // 0x00d1 { L"NtSecureConnectPort" }, // 0x00d2 { L"NtSetBootEntryOrder" }, // 0x00d3 { L"NtSetBootOptions" }, // 0x00d4 { L"NtSetContextThread" }, // 0x00d5 { L"NtSetDebugFilterState" }, // 0x00d6 { L"NtSetDefaultHardErrorPort" }, // 0x00d7 { L"NtSetDefaultLocale" }, // 0x00d8 { L"NtSetDefaultUILanguage" }, // 0x00d9 { L"NtSetEaFile" }, // 0x00da { L"NtSetEvent" }, // 0x00db { L"NtSetEventBoostPriority" }, // 0x00dc { L"NtSetHighEventPair" }, // 0x00dd { L"NtSetHighWaitLowEventPair" }, // 0x00de { L"NtSetInformationDebugObject" }, // 0x00df { L"NtSetInformationFile" }, // 0x00e0 { L"NtSetInformationJobObject" }, // 0x00e1 { L"NtSetInformationKey" }, // 0x00e2 { L"NtSetInformationObject" }, // 0x00e3 { L"NtSetInformationProcess" }, // 0x00e4 { L"NtSetInformationThread" }, // 0x00e5 { L"NtSetInformationToken" }, // 0x00e6 { L"NtSetIntervalProfile" }, // 0x00e7 { L"NtSetIoCompletion" }, // 0x00e8 { L"NtSetLdtEntries" }, // 0x00e9 { L"NtSetLowEventPair" }, // 0x00ea { L"NtSetLowWaitHighEventPair" }, // 0x00eb { L"NtSetQuotaInformationFile" }, // 0x00ec { L"NtSetSecurityObject" }, // 0x00ed { L"NtSetSystemEnvironmentValue" }, // 0x00ee { L"NtSetSystemEnvironmentValueEx" }, // 0x00ef { L"NtSetSystemInformation" }, // 0x00f0 { L"NtSetSystemPowerState" }, // 0x00f1 { L"NtSetSystemTime" }, // 0x00f2 { L"NtSetThreadExecutionState" }, // 0x00f3 { L"NtSetTimer" }, // 0x00f4 { L"NtSetTimerResolution" }, // 0x00f5 { L"NtSetUuidSeed" }, // 0x00f6 { L"NtSetValueKey" }, // 0x00f7 { L"NtSetVolumeInformationFile" }, // 0x00f8 { L"NtShutdownSystem" }, // 0x00f9 { L"NtSignalAndWaitForSingleObject" }, // 0x00fa { L"NtStartProfile" }, // 0x00fb { L"NtStopProfile" }, // 0x00fc { L"NtSuspendProcess" }, // 0x00fd { L"NtSuspendThread" }, // 0x00fe { L"NtSystemDebugControl" }, // 0x00ff { L"NtTerminateJobObject" }, // 0x0100 { L"NtTerminateProcess" }, // 0x0101 { L"NtTerminateThread" }, // 0x0102 { L"NtTestAlert" }, // 0x0103 { L"NtTraceEvent" }, // 0x0104 { L"NtTranslateFilePath" }, // 0x0105 { L"NtUnloadDriver" }, // 0x0106 { L"NtUnloadKey" }, // 0x0107 { L"NtUnloadKeyEx" }, // 0x0108 { L"NtUnlockFile" }, // 0x0109 { L"NtUnlockVirtualMemory" }, // 0x010a { L"NtUnmapViewOfSection" }, // 0x010b { L"NtVdmControl" }, // 0x010c { L"NtWaitForDebugEvent" }, // 0x010d { L"NtWaitForMultipleObjects" }, // 0x010e { L"NtWaitForSingleObject" }, // 0x010f { L"NtWaitHighEventPair" }, // 0x0110 { L"NtWaitLowEventPair" }, // 0x0111 { L"NtWriteFile" }, // 0x0112 { L"NtWriteFileGather" }, // 0x0113 { L"NtWriteRequestData" }, // 0x0114 { L"NtWriteVirtualMemory" }, // 0x0115 { L"NtYieldExecution" }, // 0x0116 { L"NtCreateKeyedEvent" }, // 0x0117 { L"NtOpenKeyedEvent" }, // 0x0118 { L"NtReleaseKeyedEvent" }, // 0x0119 { L"NtWaitForKeyedEvent" }, // 0x011a { L"NtQueryPortInformationProcess" }, // 0x011b }; SYSTEM_CALL_DESCRIPTOR WindowsXP_SP2_Native[] = { { L"NtAcceptConnectPort" }, // 0x0000 { L"NtAccessCheck" }, // 0x0001 { L"NtAccessCheckAndAuditAlarm" }, // 0x0002 { L"NtAccessCheckByType" }, // 0x0003 { L"NtAccessCheckByTypeAndAuditAlarm" }, // 0x0004 { L"NtAccessCheckByTypeResultList" }, // 0x0005 { L"NtAccessCheckByTypeResultListAndAuditAlarm" }, // 0x0006 { L"NtAccessCheckByTypeResultListAndAuditAlarmByHandle" }, // 0x0007 { L"NtAddAtom" }, // 0x0008 { L"NtAddBootEntry" }, // 0x0009 { L"NtAdjustGroupsToken" }, // 0x000a { L"NtAdjustPrivilegesToken" }, // 0x000b { L"NtAlertResumeThread" }, // 0x000c { L"NtAlertThread" }, // 0x000d { L"NtAllocateLocallyUniqueId" }, // 0x000e { L"NtAllocateUserPhysicalPages" }, // 0x000f { L"NtAllocateUuids" }, // 0x0010 { L"NtAllocateVirtualMemory" }, // 0x0011 { L"NtAreMappedFilesTheSame" }, // 0x0012 { L"NtAssignProcessToJobObject" }, // 0x0013 { L"NtCallbackReturn" }, // 0x0014 { L"NtCancelDeviceWakeupRequest" }, // 0x0015 { L"NtCancelIoFile" }, // 0x0016 { L"NtCancelTimer" }, // 0x0017 { L"NtClearEvent" }, // 0x0018 { L"NtClose" }, // 0x0019 { L"NtCloseObjectAuditAlarm" }, // 0x001a { L"NtCompactKeys" }, // 0x001b { L"NtCompareTokens" }, // 0x001c { L"NtCompleteConnectPort" }, // 0x001d { L"NtCompressKey" }, // 0x001e { L"NtConnectPort" }, // 0x001f { L"NtContinue" }, // 0x0020 { L"NtCreateDebugObject" }, // 0x0021 { L"NtCreateDirectoryObject" }, // 0x0022 { L"NtCreateEvent" }, // 0x0023 { L"NtCreateEventPair" }, // 0x0024 { L"NtCreateFile" }, // 0x0025 { L"NtCreateIoCompletion" }, // 0x0026 { L"NtCreateJobObject" }, // 0x0027 { L"NtCreateJobSet" }, // 0x0028 { L"NtCreateKey" }, // 0x0029 { L"NtCreateMailslotFile" }, // 0x002a { L"NtCreateMutant" }, // 0x002b { L"NtCreateNamedPipeFile" }, // 0x002c { L"NtCreatePagingFile" }, // 0x002d { L"NtCreatePort" }, // 0x002e { L"NtCreateProcess" }, // 0x002f { L"NtCreateProcessEx" }, // 0x0030 { L"NtCreateProfile" }, // 0x0031 { L"NtCreateSection" }, // 0x0032 { L"NtCreateSemaphore" }, // 0x0033 { L"NtCreateSymbolicLinkObject" }, // 0x0034 { L"NtCreateThread" }, // 0x0035 { L"NtCreateTimer" }, // 0x0036 { L"NtCreateToken" }, // 0x0037 { L"NtCreateWaitablePort" }, // 0x0038 { L"NtDebugActiveProcess" }, // 0x0039 { L"NtDebugContinue" }, // 0x003a { L"NtDelayExecution" }, // 0x003b { L"NtDeleteAtom" }, // 0x003c { L"NtDeleteBootEntry" }, // 0x003d { L"NtDeleteFile" }, // 0x003e { L"NtDeleteKey" }, // 0x003f { L"NtDeleteObjectAuditAlarm" }, // 0x0040 { L"NtDeleteValueKey" }, // 0x0041 { L"NtDeviceIoControlFile" }, // 0x0042 { L"NtDisplayString" }, // 0x0043 { L"NtDuplicateObject" }, // 0x0044 { L"NtDuplicateToken" }, // 0x0045 { L"NtEnumerateBootEntries" }, // 0x0046 { L"NtEnumerateKey" }, // 0x0047 { L"NtEnumerateSystemEnvironmentValuesEx" }, // 0x0048 { L"NtEnumerateValueKey" }, // 0x0049 { L"NtExtendSection" }, // 0x004a { L"NtFilterToken" }, // 0x004b { L"NtFindAtom" }, // 0x004c { L"NtFlushBuffersFile" }, // 0x004d { L"NtFlushInstructionCache" }, // 0x004e { L"NtFlushKey" }, // 0x004f { L"NtFlushVirtualMemory" }, // 0x0050 { L"NtFlushWriteBuffer" }, // 0x0051 { L"NtFreeUserPhysicalPages" }, // 0x0052 { L"NtFreeVirtualMemory" }, // 0x0053 { L"NtFsControlFile" }, // 0x0054 { L"NtGetContextThread" }, // 0x0055 { L"NtGetDevicePowerState" }, // 0x0056 { L"NtGetPlugPlayEvent" }, // 0x0057 { L"NtGetWriteWatch" }, // 0x0058 { L"NtImpersonateAnonymousToken" }, // 0x0059 { L"NtImpersonateClientOfPort" }, // 0x005a { L"NtImpersonateThread" }, // 0x005b { L"NtInitializeRegistry" }, // 0x005c { L"NtInitiatePowerAction" }, // 0x005d { L"NtIsProcessInJob" }, // 0x005e { L"NtIsSystemResumeAutomatic" }, // 0x005f { L"NtListenPort" }, // 0x0060 { L"NtLoadDriver" }, // 0x0061 { L"NtLoadKey" }, // 0x0062 { L"NtLoadKey2" }, // 0x0063 { L"NtLockFile" }, // 0x0064 { L"NtLockProductActivationKeys" }, // 0x0065 { L"NtLockRegistryKey" }, // 0x0066 { L"NtLockVirtualMemory" }, // 0x0067 { L"NtMakePermanentObject" }, // 0x0068 { L"NtMakeTemporaryObject" }, // 0x0069 { L"NtMapUserPhysicalPages" }, // 0x006a { L"NtMapUserPhysicalPagesScatter" }, // 0x006b { L"NtMapViewOfSection" }, // 0x006c { L"NtModifyBootEntry" }, // 0x006d { L"NtNotifyChangeDirectoryFile" }, // 0x006e { L"NtNotifyChangeKey" }, // 0x006f { L"NtNotifyChangeMultipleKeys" }, // 0x0070 { L"NtOpenDirectoryObject" }, // 0x0071 { L"NtOpenEvent" }, // 0x0072 { L"NtOpenEventPair" }, // 0x0073 { L"NtOpenFile" }, // 0x0074 { L"NtOpenIoCompletion" }, // 0x0075 { L"NtOpenJobObject" }, // 0x0076 { L"NtOpenKey" }, // 0x0077 { L"NtOpenMutant" }, // 0x0078 { L"NtOpenObjectAuditAlarm" }, // 0x0079 { L"NtOpenProcess" }, // 0x007a { L"NtOpenProcessToken" }, // 0x007b { L"NtOpenProcessTokenEx" }, // 0x007c { L"NtOpenSection" }, // 0x007d { L"NtOpenSemaphore" }, // 0x007e { L"NtOpenSymbolicLinkObject" }, // 0x007f { L"NtOpenThread" }, // 0x0080 { L"NtOpenThreadToken" }, // 0x0081 { L"NtOpenThreadTokenEx" }, // 0x0082 { L"NtOpenTimer" }, // 0x0083 { L"NtPlugPlayControl" }, // 0x0084 { L"NtPowerInformation" }, // 0x0085 { L"NtPrivilegeCheck" }, // 0x0086 { L"NtPrivilegeObjectAuditAlarm" }, // 0x0087 { L"NtPrivilegedServiceAuditAlarm" }, // 0x0088 { L"NtProtectVirtualMemory" }, // 0x0089 { L"NtPulseEvent" }, // 0x008a { L"NtQueryAttributesFile" }, // 0x008b { L"NtQueryBootEntryOrder" }, // 0x008c { L"NtQueryBootOptions" }, // 0x008d { L"NtQueryDebugFilterState" }, // 0x008e { L"NtQueryDefaultLocale" }, // 0x008f { L"NtQueryDefaultUILanguage" }, // 0x0090 { L"NtQueryDirectoryFile" }, // 0x0091 { L"NtQueryDirectoryObject" }, // 0x0092 { L"NtQueryEaFile" }, // 0x0093 { L"NtQueryEvent" }, // 0x0094 { L"NtQueryFullAttributesFile" }, // 0x0095 { L"NtQueryInformationAtom" }, // 0x0096 { L"NtQueryInformationFile" }, // 0x0097 { L"NtQueryInformationJobObject" }, // 0x0098 { L"NtQueryInformationPort" }, // 0x0099 { L"NtQueryInformationProcess" }, // 0x009a { L"NtQueryInformationThread" }, // 0x009b { L"NtQueryInformationToken" }, // 0x009c { L"NtQueryInstallUILanguage" }, // 0x009d { L"NtQueryIntervalProfile" }, // 0x009e { L"NtQueryIoCompletion" }, // 0x009f { L"NtQueryKey" }, // 0x00a0 { L"NtQueryMultipleValueKey" }, // 0x00a1 { L"NtQueryMutant" }, // 0x00a2 { L"NtQueryObject" }, // 0x00a3 { L"NtQueryOpenSubKeys" }, // 0x00a4 { L"NtQueryPerformanceCounter" }, // 0x00a5 { L"NtQueryQuotaInformationFile" }, // 0x00a6 { L"NtQuerySection" }, // 0x00a7 { L"NtQuerySecurityObject" }, // 0x00a8 { L"NtQuerySemaphore" }, // 0x00a9 { L"NtQuerySymbolicLinkObject" }, // 0x00aa { L"NtQuerySystemEnvironmentValue" }, // 0x00ab { L"NtQuerySystemEnvironmentValueEx" }, // 0x00ac { L"NtQuerySystemInformation" }, // 0x00ad { L"NtQuerySystemTime" }, // 0x00ae { L"NtQueryTimer" }, // 0x00af { L"NtQueryTimerResolution" }, // 0x00b0 { L"NtQueryValueKey" }, // 0x00b1 { L"NtQueryVirtualMemory" }, // 0x00b2 { L"NtQueryVolumeInformationFile" }, // 0x00b3 { L"NtQueueApcThread" }, // 0x00b4 { L"NtRaiseException" }, // 0x00b5 { L"NtRaiseHardError" }, // 0x00b6 { L"NtReadFile" }, // 0x00b7 { L"NtReadFileScatter" }, // 0x00b8 { L"NtReadRequestData" }, // 0x00b9 { L"NtReadVirtualMemory" }, // 0x00ba { L"NtRegisterThreadTerminatePort" }, // 0x00bb { L"NtReleaseMutant" }, // 0x00bc { L"NtReleaseSemaphore" }, // 0x00bd { L"NtRemoveIoCompletion" }, // 0x00be { L"NtRemoveProcessDebug" }, // 0x00bf { L"NtRenameKey" }, // 0x00c0 { L"NtReplaceKey" }, // 0x00c1 { L"NtReplyPort" }, // 0x00c2 { L"NtReplyWaitReceivePort" }, // 0x00c3 { L"NtReplyWaitReceivePortEx" }, // 0x00c4 { L"NtReplyWaitReplyPort" }, // 0x00c5 { L"NtRequestDeviceWakeup" }, // 0x00c6 { L"NtRequestPort" }, // 0x00c7 { L"NtRequestWaitReplyPort" }, // 0x00c8 { L"NtRequestWakeupLatency" }, // 0x00c9 { L"NtResetEvent" }, // 0x00ca { L"NtResetWriteWatch" }, // 0x00cb { L"NtRestoreKey" }, // 0x00cc { L"NtResumeProcess" }, // 0x00cd { L"NtResumeThread" }, // 0x00ce { L"NtSaveKey" }, // 0x00cf { L"NtSaveKeyEx" }, // 0x00d0 { L"NtSaveMergedKeys" }, // 0x00d1 { L"NtSecureConnectPort" }, // 0x00d2 { L"NtSetBootEntryOrder" }, // 0x00d3 { L"NtSetBootOptions" }, // 0x00d4 { L"NtSetContextThread" }, // 0x00d5 { L"NtSetDebugFilterState" }, // 0x00d6 { L"NtSetDefaultHardErrorPort" }, // 0x00d7 { L"NtSetDefaultLocale" }, // 0x00d8 { L"NtSetDefaultUILanguage" }, // 0x00d9 { L"NtSetEaFile" }, // 0x00da { L"NtSetEvent" }, // 0x00db { L"NtSetEventBoostPriority" }, // 0x00dc { L"NtSetHighEventPair" }, // 0x00dd { L"NtSetHighWaitLowEventPair" }, // 0x00de { L"NtSetInformationDebugObject" }, // 0x00df { L"NtSetInformationFile" }, // 0x00e0 { L"NtSetInformationJobObject" }, // 0x00e1 { L"NtSetInformationKey" }, // 0x00e2 { L"NtSetInformationObject" }, // 0x00e3 { L"NtSetInformationProcess" }, // 0x00e4 { L"NtSetInformationThread" }, // 0x00e5 { L"NtSetInformationToken" }, // 0x00e6 { L"NtSetIntervalProfile" }, // 0x00e7 { L"NtSetIoCompletion" }, // 0x00e8 { L"NtSetLdtEntries" }, // 0x00e9 { L"NtSetLowEventPair" }, // 0x00ea { L"NtSetLowWaitHighEventPair" }, // 0x00eb { L"NtSetQuotaInformationFile" }, // 0x00ec { L"NtSetSecurityObject" }, // 0x00ed { L"NtSetSystemEnvironmentValue" }, // 0x00ee { L"NtSetSystemEnvironmentValueEx" }, // 0x00ef { L"NtSetSystemInformation" }, // 0x00f0 { L"NtSetSystemPowerState" }, // 0x00f1 { L"NtSetSystemTime" }, // 0x00f2 { L"NtSetThreadExecutionState" }, // 0x00f3 { L"NtSetTimer" }, // 0x00f4 { L"NtSetTimerResolution" }, // 0x00f5 { L"NtSetUuidSeed" }, // 0x00f6 { L"NtSetValueKey" }, // 0x00f7 { L"NtSetVolumeInformationFile" }, // 0x00f8 { L"NtShutdownSystem" }, // 0x00f9 { L"NtSignalAndWaitForSingleObject" }, // 0x00fa { L"NtStartProfile" }, // 0x00fb { L"NtStopProfile" }, // 0x00fc { L"NtSuspendProcess" }, // 0x00fd { L"NtSuspendThread" }, // 0x00fe { L"NtSystemDebugControl" }, // 0x00ff { L"NtTerminateJobObject" }, // 0x0100 { L"NtTerminateProcess" }, // 0x0101 { L"NtTerminateThread" }, // 0x0102 { L"NtTestAlert" }, // 0x0103 { L"NtTraceEvent" }, // 0x0104 { L"NtTranslateFilePath" }, // 0x0105 { L"NtUnloadDriver" }, // 0x0106 { L"NtUnloadKey" }, // 0x0107 { L"NtUnloadKeyEx" }, // 0x0108 { L"NtUnlockFile" }, // 0x0109 { L"NtUnlockVirtualMemory" }, // 0x010a { L"NtUnmapViewOfSection" }, // 0x010b { L"NtVdmControl" }, // 0x010c { L"NtWaitForDebugEvent" }, // 0x010d { L"NtWaitForMultipleObjects" }, // 0x010e { L"NtWaitForSingleObject" }, // 0x010f { L"NtWaitHighEventPair" }, // 0x0110 { L"NtWaitLowEventPair" }, // 0x0111 { L"NtWriteFile" }, // 0x0112 { L"NtWriteFileGather" }, // 0x0113 { L"NtWriteRequestData" }, // 0x0114 { L"NtWriteVirtualMemory" }, // 0x0115 { L"NtYieldExecution" }, // 0x0116 { L"NtCreateKeyedEvent" }, // 0x0117 { L"NtOpenKeyedEvent" }, // 0x0118 { L"NtReleaseKeyedEvent" }, // 0x0119 { L"NtWaitForKeyedEvent" }, // 0x011a { L"NtQueryPortInformationProcess" }, // 0x011b }; SYSTEM_CALL_DESCRIPTOR Windows2000_Native[] = { { L"NtAcceptConnectPort" }, // 0x0000 { L"NtAccessCheck" }, // 0x0001 { L"NtAccessCheckAndAuditAlarm" }, // 0x0002 { L"NtAccessCheckByType" }, // 0x0003 { L"NtAccessCheckByTypeAndAuditAlarm" }, // 0x0004 { L"NtAccessCheckByTypeResultList" }, // 0x0005 { L"NtAccessCheckByTypeResultListAndAuditAlarm" }, // 0x0006 { L"NtAccessCheckByTypeResultListAndAuditAlarmByHandle" }, // 0x0007 { L"NtAddAtom" }, // 0x0008 { L"NtAdjustGroupsToken" }, // 0x0009 { L"NtAdjustPrivilegesToken" }, // 0x000a { L"NtAlertResumeThread" }, // 0x000b { L"NtAlertThread" }, // 0x000c { L"NtAllocateLocallyUniqueId" }, // 0x000d { L"NtAllocateUserPhysicalPages" }, // 0x000e { L"NtAllocateUuids" }, // 0x000f { L"NtAllocateVirtualMemory" }, // 0x0010 { L"NtAreMappedFilesTheSame" }, // 0x0011 { L"NtAssignProcessToJobObject" }, // 0x0012 { L"NtCallbackReturn" }, // 0x0013 { L"NtCancelIoFile" }, // 0x0014 { L"NtCancelTimer" }, // 0x0015 { L"NtCancelDeviceWakeupRequest" }, // 0x0016 { L"NtClearEvent" }, // 0x0017 { L"NtClose" }, // 0x0018 { L"NtCloseObjectAuditAlarm" }, // 0x0019 { L"NtCompleteConnectPort" }, // 0x001a { L"NtConnectPort" }, // 0x001b { L"NtContinue" }, // 0x001c { L"NtCreateDirectoryObject" }, // 0x001d { L"NtCreateEvent" }, // 0x001e { L"NtCreateEventPair" }, // 0x001f { L"NtCreateFile" }, // 0x0020 { L"NtCreateIoCompletion" }, // 0x0021 { L"NtCreateJobObject" }, // 0x0022 { L"NtCreateKey" }, // 0x0023 { L"NtCreateMailslotFile" }, // 0x0024 { L"NtCreateMutant" }, // 0x0025 { L"NtCreateNamedPipeFile" }, // 0x0026 { L"NtCreatePagingFile" }, // 0x0027 { L"NtCreatePort" }, // 0x0028 { L"NtCreateProcess" }, // 0x0029 { L"NtCreateProfile" }, // 0x002a { L"NtCreateSection" }, // 0x002b { L"NtCreateSemaphore" }, // 0x002c { L"NtCreateSymbolicLinkObject" }, // 0x002d { L"NtCreateThread" }, // 0x002e { L"NtCreateTimer" }, // 0x002f { L"NtCreateToken" }, // 0x0030 { L"NtCreateWaitablePort" }, // 0x0031 { L"NtDelayExecution" }, // 0x0032 { L"NtDeleteAtom" }, // 0x0033 { L"NtDeleteFile" }, // 0x0034 { L"NtDeleteKey" }, // 0x0035 { L"NtDeleteObjectAuditAlarm" }, // 0x0036 { L"NtDeleteValueKey" }, // 0x0037 { L"NtDeviceIoControlFile" }, // 0x0038 { L"NtDisplayString" }, // 0x0039 { L"NtDuplicateObject" }, // 0x003a { L"NtDuplicateToken" }, // 0x003b { L"NtEnumerateKey" }, // 0x003c { L"NtEnumerateValueKey" }, // 0x003d { L"NtExtendSection" }, // 0x003e { L"NtFilterToken" }, // 0x003f { L"NtFindAtom" }, // 0x0040 { L"NtFlushBuffersFile" }, // 0x0041 { L"NtFlushInstructionCache" }, // 0x0042 { L"NtFlushKey" }, // 0x0043 { L"NtFlushVirtualMemory" }, // 0x0044 { L"NtFlushWriteBuffer" }, // 0x0045 { L"NtFreeUserPhysicalPages" }, // 0x0046 { L"NtFreeVirtualMemory" }, // 0x0047 { L"NtFsControlFile" }, // 0x0048 { L"NtGetContextThread" }, // 0x0049 { L"NtGetDevicePowerState" }, // 0x004a { L"NtGetPlugPlayEvent" }, // 0x004b { L"NtGetTickCount" }, // 0x004c { L"NtGetWriteWatch" }, // 0x004d { L"NtImpersonateAnonymousToken" }, // 0x004e { L"NtImpersonateClientOfPort" }, // 0x004f { L"NtImpersonateThread" }, // 0x0050 { L"NtInitializeRegistry" }, // 0x0051 { L"NtInitiatePowerAction" }, // 0x0052 { L"NtIsSystemResumeAutomatic" }, // 0x0053 { L"NtListenPort" }, // 0x0054 { L"NtLoadDriver" }, // 0x0055 { L"NtLoadKey" }, // 0x0056 { L"NtLoadKey2" }, // 0x0057 { L"NtLockFile" }, // 0x0058 { L"NtLockVirtualMemory" }, // 0x0059 { L"NtMakeTemporaryObject" }, // 0x005a { L"NtMapUserPhysicalPages" }, // 0x005b { L"NtMapUserPhysicalPagesScatter" }, // 0x005c { L"NtMapViewOfSection" }, // 0x005d { L"NtNotifyChangeDirectoryFile" }, // 0x005e { L"NtNotifyChangeKey" }, // 0x005f { L"NtNotifyChangeMultipleKeys" }, // 0x0060 { L"NtOpenDirectoryObject" }, // 0x0061 { L"NtOpenEvent" }, // 0x0062 { L"NtOpenEventPair" }, // 0x0063 { L"NtOpenFile" }, // 0x0064 { L"NtOpenIoCompletion" }, // 0x0065 { L"NtOpenJobObject" }, // 0x0066 { L"NtOpenKey" }, // 0x0067 { L"NtOpenMutant" }, // 0x0068 { L"NtOpenObjectAuditAlarm" }, // 0x0069 { L"NtOpenProcess" }, // 0x006a { L"NtOpenProcessToken" }, // 0x006b { L"NtOpenSection" }, // 0x006c { L"NtOpenSemaphore" }, // 0x006d { L"NtOpenSymbolicLinkObject" }, // 0x006e { L"NtOpenThread" }, // 0x006f { L"NtOpenThreadToken" }, // 0x0070 { L"NtOpenTimer" }, // 0x0071 { L"NtPlugPlayControl" }, // 0x0072 { L"NtPowerInformation" }, // 0x0073 { L"NtPrivilegeCheck" }, // 0x0074 { L"NtPrivilegedServiceAuditAlarm" }, // 0x0075 { L"NtPrivilegeObjectAuditAlarm" }, // 0x0076 { L"NtProtectVirtualMemory" }, // 0x0077 { L"NtPulseEvent" }, // 0x0078 { L"NtQueryInformationAtom" }, // 0x0079 { L"NtQueryAttributesFile" }, // 0x007a { L"NtQueryDefaultLocale" }, // 0x007b { L"NtQueryDefaultUILanguage" }, // 0x007c { L"NtQueryDirectoryFile" }, // 0x007d { L"NtQueryDirectoryObject" }, // 0x007e { L"NtQueryEaFile" }, // 0x007f { L"NtQueryEvent" }, // 0x0080 { L"NtQueryFullAttributesFile" }, // 0x0081 { L"NtQueryInformationFile" }, // 0x0082 { L"NtQueryInformationJobObject" }, // 0x0083 { L"NtQueryIoCompletion" }, // 0x0084 { L"NtQueryInformationPort" }, // 0x0085 { L"NtQueryInformationProcess" }, // 0x0086 { L"NtQueryInformationThread" }, // 0x0087 { L"NtQueryInformationToken" }, // 0x0088 { L"NtQueryInstallUILanguage" }, // 0x0089 { L"NtQueryIntervalProfile" }, // 0x008a { L"NtQueryKey" }, // 0x008b { L"NtQueryMultipleValueKey" }, // 0x008c { L"NtQueryMutant" }, // 0x008d { L"NtQueryObject" }, // 0x008e { L"NtQueryOpenSubKeys" }, // 0x008f { L"NtQueryPerformanceCounter" }, // 0x0090 { L"NtQueryQuotaInformationFile" }, // 0x0091 { L"NtQuerySection" }, // 0x0092 { L"NtQuerySecurityObject" }, // 0x0093 { L"NtQuerySemaphore" }, // 0x0094 { L"NtQuerySymbolicLinkObject" }, // 0x0095 { L"NtQuerySystemEnvironmentValue" }, // 0x0096 { L"NtQuerySystemInformation" }, // 0x0097 { L"NtQuerySystemTime" }, // 0x0098 { L"NtQueryTimer" }, // 0x0099 { L"NtQueryTimerResolution" }, // 0x009a { L"NtQueryValueKey" }, // 0x009b { L"NtQueryVirtualMemory" }, // 0x009c { L"NtQueryVolumeInformationFile" }, // 0x009d { L"NtQueueApcThread" }, // 0x009e { L"NtRaiseException" }, // 0x009f { L"NtRaiseHardError" }, // 0x00a0 { L"NtReadFile" }, // 0x00a1 { L"NtReadFileScatter" }, // 0x00a2 { L"NtReadRequestData" }, // 0x00a3 { L"NtReadVirtualMemory" }, // 0x00a4 { L"NtRegisterThreadTerminatePort" }, // 0x00a5 { L"NtReleaseMutant" }, // 0x00a6 { L"NtReleaseSemaphore" }, // 0x00a7 { L"NtRemoveIoCompletion" }, // 0x00a8 { L"NtReplaceKey" }, // 0x00a9 { L"NtReplyPort" }, // 0x00aa { L"NtReplyWaitReceivePort" }, // 0x00ab { L"NtReplyWaitReceivePortEx" }, // 0x00ac { L"NtReplyWaitReplyPort" }, // 0x00ad { L"NtRequestDeviceWakeup" }, // 0x00ae { L"NtRequestPort" }, // 0x00af { L"NtRequestWaitReplyPort" }, // 0x00b0 { L"NtRequestWakeupLatency" }, // 0x00b1 { L"NtResetEvent" }, // 0x00b2 { L"NtResetWriteWatch" }, // 0x00b3 { L"NtRestoreKey" }, // 0x00b4 { L"NtResumeThread" }, // 0x00b5 { L"NtSaveKey" }, // 0x00b6 { L"NtSaveMergedKeys" }, // 0x00b7 { L"NtSecureConnectPort" }, // 0x00b8 { L"NtSetIoCompletion" }, // 0x00b9 { L"NtSetContextThread" }, // 0x00ba { L"NtSetDefaultHardErrorPort" }, // 0x00bb { L"NtSetDefaultLocale" }, // 0x00bc { L"NtSetDefaultUILanguage" }, // 0x00bd { L"NtSetEaFile" }, // 0x00be { L"NtSetEvent" }, // 0x00bf { L"NtSetHighEventPair" }, // 0x00c0 { L"NtSetHighWaitLowEventPair" }, // 0x00c1 { L"NtSetInformationFile" }, // 0x00c2 { L"NtSetInformationJobObject" }, // 0x00c3 { L"NtSetInformationKey" }, // 0x00c4 { L"NtSetInformationObject" }, // 0x00c5 { L"NtSetInformationProcess" }, // 0x00c6 { L"NtSetInformationThread" }, // 0x00c7 { L"NtSetInformationToken" }, // 0x00c8 { L"NtSetIntervalProfile" }, // 0x00c9 { L"NtSetLdtEntries" }, // 0x00ca { L"NtSetLowEventPair" }, // 0x00cb { L"NtSetLowWaitHighEventPair" }, // 0x00cc { L"NtSetQuotaInformationFile" }, // 0x00cd { L"NtSetSecurityObject" }, // 0x00ce { L"NtSetSystemEnvironmentValue" }, // 0x00cf { L"NtSetSystemInformation" }, // 0x00d0 { L"NtSetSystemPowerState" }, // 0x00d1 { L"NtSetSystemTime" }, // 0x00d2 { L"NtSetThreadExecutionState" }, // 0x00d3 { L"NtSetTimer" }, // 0x00d4 { L"NtSetTimerResolution" }, // 0x00d5 { L"NtSetUuidSeed" }, // 0x00d6 { L"NtSetValueKey" }, // 0x00d7 { L"NtSetVolumeInformationFile" }, // 0x00d8 { L"NtShutdownSystem" }, // 0x00d9 { L"NtSignalAndWaitForSingleObject" }, // 0x00da { L"NtStartProfile" }, // 0x00db { L"NtStopProfile" }, // 0x00dc { L"NtSuspendThread" }, // 0x00dd { L"NtSystemDebugControl" }, // 0x00de { L"NtTerminateJobObject" }, // 0x00df { L"NtTerminateProcess" }, // 0x00e0 { L"NtTerminateThread" }, // 0x00e1 { L"NtTestAlert" }, // 0x00e2 { L"NtUnloadDriver" }, // 0x00e3 { L"NtUnloadKey" }, // 0x00e4 { L"NtUnlockFile" }, // 0x00e5 { L"NtUnlockVirtualMemory" }, // 0x00e6 { L"NtUnmapViewOfSection" }, // 0x00e7 { L"NtVdmControl" }, // 0x00e8 { L"NtWaitForMultipleObjects" }, // 0x00e9 { L"NtWaitForSingleObject" }, // 0x00ea { L"NtWaitHighEventPair" }, // 0x00eb { L"NtWaitLowEventPair" }, // 0x00ec { L"NtWriteFile" }, // 0x00ed { L"NtWriteFileGather" }, // 0x00ee { L"NtWriteRequestData" }, // 0x00ef { L"NtWriteVirtualMemory" }, // 0x00f0 { L"NtCreateChannel" }, // 0x00f1 { L"NtListenChannel" }, // 0x00f2 { L"NtOpenChannel" }, // 0x00f3 { L"NtReplyWaitSendChannel" }, // 0x00f4 { L"NtSendWaitReplyChannel" }, // 0x00f5 { L"NtSetContextChannel" }, // 0x00f6 { L"NtYieldExecution" }, // 0x00f7 }; SYSTEM_CALL_DESCRIPTOR WindowsNT_SP6_Native[] = { { L"NtAcceptConnectPort" }, // 0x0000 { L"NtAccessCheck" }, // 0x0001 { L"NtAccessCheckAndAuditAlarm" }, // 0x0002 { L"NtAddAtom" }, // 0x0003 { L"NtAdjustGroupsToken" }, // 0x0004 { L"NtAdjustPrivilegesToken" }, // 0x0005 { L"NtAlertResumeThread" }, // 0x0006 { L"NtAlertThread" }, // 0x0007 { L"NtAllocateLocallyUniqueId" }, // 0x0008 { L"NtAllocateUuids" }, // 0x0009 { L"NtAllocateVirtualMemory" }, // 0x000a { L"NtCallbackReturn" }, // 0x000b { L"NtCancelIoFile" }, // 0x000c { L"NtCancelTimer" }, // 0x000d { L"NtClearEvent" }, // 0x000e { L"NtClose" }, // 0x000f { L"NtCloseObjectAuditAlarm" }, // 0x0010 { L"NtCompleteConnectPort" }, // 0x0011 { L"NtConnectPort" }, // 0x0012 { L"NtContinue" }, // 0x0013 { L"NtCreateDirectoryObject" }, // 0x0014 { L"NtCreateEvent" }, // 0x0015 { L"NtCreateEventPair" }, // 0x0016 { L"NtCreateFile" }, // 0x0017 { L"NtCreateIoCompletion" }, // 0x0018 { L"NtCreateKey" }, // 0x0019 { L"NtCreateMailslotFile" }, // 0x001a { L"NtCreateMutant" }, // 0x001b { L"NtCreateNamedPipeFile" }, // 0x001c { L"NtCreatePagingFile" }, // 0x001d { L"NtCreatePort" }, // 0x001e { L"NtCreateProcess" }, // 0x001f { L"NtCreateProfile" }, // 0x0020 { L"NtCreateSection" }, // 0x0021 { L"NtCreateSemaphore" }, // 0x0022 { L"NtCreateSymbolicLinkObject" }, // 0x0023 { L"NtCreateThread" }, // 0x0024 { L"NtCreateTimer" }, // 0x0025 { L"NtCreateToken" }, // 0x0026 { L"NtDelayExecution" }, // 0x0027 { L"NtDeleteAtom" }, // 0x0028 { L"NtDeleteFile" }, // 0x0029 { L"NtDeleteKey" }, // 0x002a { L"NtDeleteObjectAuditAlarm" }, // 0x002b { L"NtDeleteValueKey" }, // 0x002c { L"NtDeviceIoControlFile" }, // 0x002d { L"NtDisplayString" }, // 0x002e { L"NtDuplicateObject" }, // 0x002f { L"NtDuplicateToken" }, // 0x0030 { L"NtEnumerateKey" }, // 0x0031 { L"NtEnumerateValueKey" }, // 0x0032 { L"NtExtendSection" }, // 0x0033 { L"NtFindAtom" }, // 0x0034 { L"NtFlushBuffersFile" }, // 0x0035 { L"NtFlushInstructionCache" }, // 0x0036 { L"NtFlushKey"