Закрытый раздел размером 64Кб

[Базиля]

Предлагаю немного подискутировать на эту тему.
Появилась в голове небольшая догадка причины введения этого региона. В общем случае, получается, что доступ к WriteProcessMemory мы получаем через шлюз вызова. В качестве сегмента назначения указывается селектор нашего текущего сегмента (хотя это скорее всего это не совсем так, ниже по тексту я опишу свое предположение). Делать проверку внутри шлюза при КАЖДОЙ попытке записи слишком накладно. Ну какой смысл ее осуществлять если в большинстве случаев все вызовы легальны? Проще выделить этот самый маленький регион, через который нельзя будет переступить.
Но в таком случае, интересно как же в Windows обстоит отлов попыток записи в само ядро (если бы использовался полноценно механизм сегментного распределения - вопросов совершенно нет). Логические адреса свыше 0x80000000 все равно ведь входят в текущий сегмент (дескриптор №4):

Дескрипторы 1 и 2 содержат DPL 0. Полагаю, что именно селектор на этот дескриптор (№2) кладется каким то волшебным образом на стек перед вызовом шлюза вызова. Получается, что перед самим вызовов шлюза есть какая-то заглушка, которая проверяет входные логические адреса и кладет нужный селектор на стек. Это было бы логично. Но опять, возвращаемся все к той же проверке при каждом вызове (какой именно селектор класть - дескриптора № 2 или №4)
А если есть проверка, то нужен ли в таком случае этот граничный регион? Наверное все-таки нужен, потому что это ДОПОЛНИТЕЛЬНАЯ проверка, помимо той которая уже осуществляется.
Как считаете?

[waleri]

Все дескрипторы имеют базу 0 и размер 2^32.
Контроль доступа осуществляется через механизм страницирования (paging).

Скорее всего, реализация WriteProcessMemory работает в контексте ядра а там ограничения на запись нет. Отсюда следует, что надо проверять адреса, причем надо проверить и начало и конец и переполнение - три проверки. Создав запрещенный регион на границе нам надо будет только проверить начало - одна проверка. Все сказанное является спекуляцией.