Hehe
Also auf Ring0 (i.e. Kernelmode) haben die User und Prozesse aus dem Usermode keine Bedeutung mehr, soweit ich weiß. System kann man natürlich (rein semantisch auch Ring0 zuschreiben, aber dann ist der "User" System eben schizophren
) ... aber ich verstehe, was du meinst. Nur eben in den Begriffen der Windows-Security stimmt es nciht ganz
Ansonsten hat ein beliebiger (auch Pseudo-Account) keinen echten Ring0-Zugriff. Aber das SYSTEM zur TCB gehört, kann er natürlich Treiber stoppen etc ... und beliebige IOCTLs werfen
Conclusio: Ein beliebiger User mit entsprechenden Rechten/Privs kann einen Treiber benutzen um etwas für ihn machen zu lassen.