Detecção de retornos de chamada no modo kernel

A maior parte do código para o sistema operacional Windows é executada no modo kernel. O modo de processador alterna do modo de usuário para o modo kernel sempre que um thread de aplicativo chama uma função da API do Windows que, por sua vez, chama uma função interna do sistema que deve ser executada no modo kernel. O modo de processador retorna ao modo de usuário antes que o controle retorne à função para que os dados do sistema sejam protegidos.

Se um thread estiver aguardando a conclusão de um retorno de chamada no modo kernel, o lado do modo de usuário do thread atrasará uma chamada para a função ZwCallbackReturn .