参考：

    用户态和内核态是不同的CPU特权级别，X86用户态为RING3，内核态在RING0。

    win32系统可以使用的最大内存空间为4GB，用户态代码可以使用的是0x00000000——0x7FFFFFFF。

    从用户态进入核心态最常用方法是将功能码写入EAX中，然后INT 2E，类似DOS中断调用BIOS的功能；这种机制在NT架构中叫做system service。

    核心态主要有ntoskrnl.dll 、win32k.sys 两个模块提供system service。ntoskrnl.exe是windows的大脑，其上层是executive，下层是kernel；win32k.sys提供与显示有关的system service。

    用户态中一个很重要的模块：ntdll.dll，大多数 system service 都是它调用的，它封装了这写system service ，然后提供了结接口，其主要作用就是将调用传到内核态。ntdll.dll提供了平台无关的API接口，被看做NT系统的原生接口，所以也被称作native API。

    win32子系统的管理员是csrss.exe进程（Client/Server Runtime SubSystem），所有的win32程序的进程和线程都要向它登记。

    我们编程窗口的函数都是微软以DLL的形式提供的，主要的包括：kernel.dll、User32.dll、Gdi32.dll、Advapi32.dll，他们包装了ntdll.dll中的native API。MSDN中详细说明的也是这些函数用法。