Détection des rappels de Kernel-Mode

la majeure partie du code pour le système d’exploitation Windows s’exécute en mode noyau. le mode de processeur passe du mode utilisateur au mode noyau chaque fois qu’un thread d’application appelle une fonction à partir de l’API Windows qui, à son tour, appelle une fonction système interne qui doit s’exécuter en mode noyau. Le mode de processeur revient en mode utilisateur avant que le contrôle ne retourne à la fonction afin que les données système soient protégées.

Si un thread attend la fin d’un rappel en mode noyau, le côté mode utilisateur du thread retarde lors d’un appel à la fonction ZwCallbackReturn .