经过分析，我了解到即使是_KPROCESS对象也可以是ActiveProcessLinks列表的成员。_EPROCESS和_KPROCESS对象有什么区别？什么时候造一个，一个不造？它们之间的概念差异是什么？ 最佳答案 这是简化的，但Windows操作系统的内核模式部分分为三部分:HAL、内核和执行子系统。执行子系统处理一般的O/S策略和操作。内核处理低级操作(例如自旋锁、线程切换)以及调度的进程架构特定细节。HAL处理在处理器架构的特定实现中出现的差异(例如，中断是如何在此x86实现上路由的)。WindowsInternals一书