"Windows Internals" 1 - System Architecture

用户模式/内核模式

指的是处理器的访问模式。内核模式可以访问所有内存和处理器指令。内核模式的操作系统和驱动程序共享一个虚拟内存空间。
对虚拟内存来讲，系统空间只能由内核模式访问，用户空间在用户模式下可以访问，只读页面（包含可执行代码的页面）在任何模式下都不可写！
32位系统，未设置3GB引导选项，用户进程空间(0x00000000~0x7FFFFFFF)2G, 系统空间(0x8000000~0xFFFFFFFF) 2G
操作系统和驱动程序运行在内核模式，用户程序运行在用户模式。
当用户模式程序调用一个系统服务时，处理器捕获到该调用，然后将调用线程切换到内核模式，当系统服务完成后，操作系统将线程环境切换到用户模式，并允许调用者继续执行。

Windows Symbols设置

srv*c:\symbolCache*http://msdl.microsoft.com/download/symbols

Windows API/系统服务/内核支持函数

windows API指的是文档化的windows API，如CreateProcess,CreateFile, GetMessage等
系统服务指的是未被文档化的，在用户模式可以调用的底层服务，如NtCreateProcess(CreateProcess会调用该底层服务)
内核支持函数指的是只能在内核模式被调用的服务，如ExAllocatePool，驱动程序调用这个可以向系统堆申请内存。