Erkennen von Kernel-Mode Rückrufen

Der größte Teil des Codes für das Windows-Betriebssystem wird im Kernelmodus ausgeführt. Der Prozessormodus wechselt vom Benutzermodus zum Kernelmodus, wenn ein Anwendungsthread eine Funktion aus der Windows-API aufruft, die wiederum eine interne Systemfunktion aufruft, die im Kernelmodus ausgeführt werden muss. Der Prozessormodus kehrt in den Benutzermodus zurück, bevor die Steuerung zur Funktion zurückkehrt, sodass die Systemdaten geschützt werden.

Wenn ein Thread auf den Abschluss eines Kernelmodusrückrufs wartet, verzögert die Benutzermodusseite des Threads einen Aufruf der ZwCallbackReturn-Funktion .