-
-
[求助]windbg调试如何判断某个线程运行在用户态还是内核态
-
发表于:
2015-1-6 10:04
5286
-
[求助]windbg调试如何判断某个线程运行在用户态还是内核态
《格蠹汇编》中75页说道,“从上下文来看,这个线程正在执行用户态的代码”。
我有个疑问,每个线程存在两个堆栈,用户态栈和内核栈,在一般情况下,我们查看某个线程的上下文时,发现eip的地址都<0x8000000,个人的理解是,这个是用户态的栈,自然都在低2G内存运行。
而书中又说“大多数情况下,我们很难在调试器中看到一个线程在用户态执行,因为大多数应用程序的用户态代码都是执行一点操作后,便调用系统服务进入内核态执行。”
作者肯定不像我说的,是看eip的值,来判断线程是在用户态执行,那么怎么查看某个时刻,线程是在用户态运行还是内核态?
[课程]Linux pwn 探索篇!
