当然还有通过md5，sha1等hash函数来识别恶意软件 ... 切换Ring0的代码，也就是直接系统调用所在的地方。 我们通过监控Notepad.exe进程保存一个.txt文件，来演示一个应用层程序如何切换到内核模式执行的： 我们可以看到 notepad调用了kernel32模块中的WriteFile 函数 ...