[求助]windbg调试如何判断某个线程运行在用户态还是内核态-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]windbg调试如何判断某个线程运行在用户态还是内核态

发表于: 2015-1-6 10:04 5383

[求助]windbg调试如何判断某个线程运行在用户态还是内核态

soh

2015-1-6 10:04

5383

《格蠹汇编》中75页说道，“从上下文来看，这个线程正在执行用户态的代码”。

我有个疑问，每个线程存在两个堆栈，用户态栈和内核栈，在一般情况下，我们查看某个线程的上下文时，发现eip的地址都<0x8000000，个人的理解是，这个是用户态的栈，自然都在低2G内存运行。

而书中又说“大多数情况下，我们很难在调试器中看到一个线程在用户态执行，因为大多数应用程序的用户态代码都是执行一点操作后，便调用系统服务进入内核态执行。”

作者肯定不像我说的，是看eip的值，来判断线程是在用户态执行，那么怎么查看某个时刻，线程是在用户态运行还是内核态？

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (2)
sidyhe 雪币： 2161 活跃值： (750) 能力值： ( LV7，RANK：100 ) 在线值：发帖 16 回帖 339 粉丝 9 关注私信	sidyhe 1 2 楼 eflags 2015-1-6 12:51 0
soh 雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 26 粉丝 0 关注私信	soh 3 楼能不能再提示下 2015-1-6 15:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

soh

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
sidyhe 雪币： 2161 活跃值： (750) 能力值： ( LV7，RANK：100 ) 在线值：发帖 16 回帖 339 粉丝 9 关注私信	sidyhe 1 2 楼 eflags 2015-1-6 12:51 0
soh 雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 26 粉丝 0 关注私信	soh 3 楼能不能再提示下 2015-1-6 15:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复