user32.dll那么小,那么多功能,这里面的函数,应该只是访问内存系统常驻区而已,user32.dll中函数应该只是个空壳。
当然是空壳,包括kernel32.dll也是空壳,他们只是进一步调用了ntdll.dll,ntdll里的函数进一步调用KiFastSystemCall,之后通过软中断或特殊指令进入内核,并调用内核模式下的函数,