Détection des rappels Kernel-Mode

La plupart du code du système d’exploitation Windows s’exécute en mode noyau. Le mode processeur passe du mode utilisateur au mode noyau chaque fois qu’un thread d’application appelle une fonction à partir de l’API Windows qui à son tour appelle une fonction système interne qui doit s’exécuter en mode noyau. Le mode processeur revient au mode utilisateur avant que le contrôle ne revienne à la fonction afin que les données système soient protégées.

Si un thread attend la fin d’un rappel en mode noyau, le côté mode utilisateur du thread est retardé lors d’un appel à la fonction ZwCallbackReturn .