das sind native anwendungen (entry point ist die NtProcessStartup() funktion des Programmes) die da gestartet werden. Die laufen wie win32 anwendungen im usermode, allerdings haben die nur zugriff auf die native api von windows (ntdll) und koennen keine win32 apis verwenden (da das win32 subsystem ja noch nicht gestartet ist zu der zeit). Text geben diese Anwendungen mit NtDisplayString() aus.