Не уверен, что вопрос в ту тему.
Спрашивал у гугла, на что получил ответ, что XP(неизвестно, про какой SP шла речь) переходит из пользовательского режима в режим ядра через шлюз INT 2Eh.
Ручное дизасемблирование же показало совершенно другой, совершенно непонятный результат. Функции NativeAPI вообще не вызывают прерывание 2Eh, а после загрузки смещения обработчика вызова выполняют переход на 7FFE0300h, а этот адрес находится в секции, у которой нет разрешения на исполнение(!) и непонятно каким макаром этот переход проскакивает. Более того, по адресу 7FFE0300h находится нечто странное

in al,90h
jmp FFFFFFF9h   ;(хм...)
in al,90h

Кто-нибудь владеет информацией, что это за непонятки, может я дизасемблил что не так?