Смотря какая ОС.
после всякой херни и подгрузки всех секций идет банальный вызов системного сервиса через sysenter. Там выполняются функции:
NtCreateProcess - Win 2k
NtCreateProcessEx - Win XP and Win 2k3
Ну и там идет попутное уведомление csrss о создавшемся процессе

Вообще ntdll находится в r3 и через sysenter управление передается в r0 (в ntoskrnl.exe или ему подобный)