Un ejemplo de como utilizar Syscall (o mejor dicho en este caso int 2e) para ejecurar APIs directamente, sin llamar al stub de ntdll.
Post Original:
http://cobein.com/wp/?p=618
Source:
http://cobein.com/wp/wp-content/uploads/2010/09/SysCall.zip
Añado que no todas las funciones de NTDLL se pueden llamar con un SystemCall y que los codigos de cada funcion varian en cada version de W$.
Testeado en W$ XP SP3 y funciona a la perfeccion ;)
Como dice Karcrack, los indices de las funciones son diferentes en cada OS, en este caso hay una funcion en el modulo para averiguar el indice automaticamente pero no seria la manera correcta de utilizarlo en realidad.