用户模式与内核模式

Small_Boy

一般会通过SYSEBTER、SYSCALL、INT 0x2E 几个调用进入内核（通过指令查找表来定位一个预定义函数）


内核模式：

安全性比较低，而且运行在整个内核中的所有进程只有一个是活跃的，所以如果活跃中的进程有无效代码被执行，就将会出现蓝屏

而且运行在内核上的程序可以访问、监控在系统上的所有程序（杀毒软件、防火墙），也就是获得最高权限


内核代码：

比一般的用户模式执行的代码难开发：
1.内核代码调试时容易出现无效代码，使系统崩溃；
2.很多windows常用的函数在在内核中无法使用；
3.开发内核代码的编译和调试的工具少

freeparty

支持一下