Poking Windows With a Stick: Chuỗi Gọi Hàm Thật Sự Đằng Sau GUI APIs

EnumWindows thực chất gọi thẳng vào Win32u!NtUserBuildHwndList - một syscall hookable qua Shadow SSDT, không phải API thông thường. DwmGetWindowAttribute được tài liệu hóa là hỗ trợ Vista, nhưng bên trong nó forward sang GetWindowCompositionAttribute trong user32.dll - hàm chỉ hỗ trợ từ Windows 7. Mọi call chain cuối cùng đều kết thúc ở win32u.dll - tầng syscall stub của kernel Win32.