负责进程在用户模式状态下执行初始化的相关操作,位于 ntdll.dll 中。
- 为应用程序初始化用户模式状态,例如创建初始堆、设置线程本地存储(TLS)和纤程本地存储(FLS)槽。
- 解析应用程序的导入地址表(IAT),查找所需的全部 DLL ,接着解析 DLL 的导出表,以确保函数确实存在。
- 在运行时或者需要时加载或卸载 DLL,维护包含所有已加载模块的列表(模块数据库)。
- 处理 Windows 并行(SxS)支持所需的清单文件,以及多语言用户界面(MUI)文件和资源。
- 读取应用程序兼容性数据库中的填充码,并在需要时加载填充码引擎 DLL。
- 启用对 API 集和 API 重定向的支持,这也是 One Core 功能的核心部件,可用于创建通用 Windows 平台(UWP)应用程序。
- 通过 SwitchBack 机制启用动态运行时兼容性缓解措施,并与填充码引擎和应用程序验证器机制交互。