😄

Там отрабатывает сначала юзермодная часть загрузчика в ntdll, это всё она.

ну да 400 к для одной функции многовато как то

Там совсем не одна функция, там много чего.

Можно это всё увидеть, если в любом отладчике (умеющем ставить бряк перед запуском) открыть программу

Да если конечно понимаешь что вообще происходит, теперь вот пояснее немного :)

Вообще вся ntdll.dll весит около 700 кб и kernel32 из нее тянет процентов 60 где то функций я посмотрел, чтобы свои втот эти pause и exitprocess поддержать так вот и получается где то 400 кб. т.е эта подгрузка и правда работает вплоть до ядра!

в ntdll кстати тоже функции из си есть, можно ее юзать вместо msvcrt.dll ?

Можно

прикол, не знал

Можно, но аккуратно, потому что всегда есть нюансы:

format pe gui
entry start
include 'win32ax.inc'

start:
        cinvoke ntdll_sprintf,buffer,fmt,double 1.23
        invoke  MessageBox,0,buffer,title,0
        cinvoke msvcrt_sprintf,buffer,fmt,double 1.23
        invoke  MessageBox,0,buffer,title,0
        ret

data import
library ntdll,'NTDLL.DLL',\
        msvcrt,'MSVCRT.DLL',\
        user32,'USER32.DLL'
import ntdll,ntdll_sprintf,'sprintf'
import msvcrt,msvcrt_sprintf,'sprintf'
include 'api/user32.inc'
end data

title db 'sprintf',0
fmt db '%f',0
buffer rb 1024

и правда, а целые нормально выводит и строки 😀

I'm not gey, because: next message.

Zubkov S. V. ASSEMBLER for DOS, Windows and UNIX

🤡