Кинорежиссер Якин,

1. Нет. В режим ядра вызов не переводит. Но функция сама может переключиться в ядро. Пользовательская функция тоже может это сделать теоретически.

2. Никакой защиты нет. Вы можете затереть тела системных функций в своем процессе и ничего вам за это не будет, кроме того что ничего не будет работать. Естественно другие процессы этого не заметят.

Таким образом по факту никаких различий в поведении нет.
Единственное отличие - расположение в адресном пространстве. Часто системные библиотеки загружены в отдельную область адресов и даже имеют фиксированный адрес загрузки.
Но это сделано с целью упрощения АПИ и для оптимизации по скорости, а не связано с защитой.

Надо заметить, что код выполняющийся в режиме ядра находится за пределами адресного пространства процесса, поэтому никакой необходимости его защищать нет.

Anatoly MoskovskyЧасто системные библиотеки загружены в отдельную область адресов
В отдельную область адресов внутри процесса.
Так понятнее?

Кинорежиссер ЯкинИ как кстати можно затереть код, разве там у страниц памяти не стоит PAGE_EXECUTABLE
Такого атрибута нет. Есть PAGE_EXECUTE и он не защищает от записи. Он разрешает выполнение. :)
Для защиты от записи есть другие атрибуты. Но процесс может их устанавливать и снимать когда захочет.

Dimitry SibiryakovAnatoly MoskovskyВ отдельную область адресов внутри процесса.
А типа для чистой конкретности - в верхний гигабайт, который вроде как начиная с XP
защищён от записи.
Записать туда скорее всего можно. Библиотека detours делает хуки переписывая начало системных функций. И это работало и на XP и на 7.
Не уверен правда что это было в верхнем гигабайте.

Кинорежиссер Якин,

В старых версиях винды (95, 98) системные библиотеки и некоторые их структуры данных были общими физически и без защиты, и процессы могли портить друг друга из-за этого.

Кинорежиссер ЯкинИ еще вопрос,
у Рихтера я особо не нашел про систему безопасности винды. Раньше мельком слышал про 3 кольца привелегий - это оно и есть?
Нет. Это у процессора Intel.