一：背景

1. 讲故事

总会有一些朋友问一个问题，在 Windows 中线程做了上下文切换，请问被切的线程他的寄存器上下文都去了哪里？能不能给我挖出来？这个问题其实比较底层，如果对操作系统没有个体系层面的理解以及做过源码分析，其实很难说明白，这篇我们就从.NET高级调试的角度试着分析一下吧。

二：寄存器上下文去哪了

1. 用户线程的两态空间

用C#代码创建的线程在操作系统层面上来说属于 用户态线程，这种线程拥有两个线程栈，哈哈，是不是打破了一些朋友的三观。分别为 用户态栈 和 内核态栈。

为了方便讲解，写一段简单的测试代码，不断的调用 Sleep(1) 让代码在用户态和内核态不断的切换，也就能观察得到这两套栈空间，参考代码如下：

static void Main(string[] args){for (int i = 0; i < int.MaxValue; i++){Thread.Sleep(1);Console.WriteLine($"i={i}");}}

将程序跑起来后我们用 windbg 附加，观察这个程序的上下文，参考如下：

0: kd> !process 0 2 ConsoleApp7.exe
PROCESS ffffe00185e33440SessionId: 2  Cid: 0f4c    Peb: 7ff73b7a8000  ParentCid: 15f4DirBase: 1573c1000  ObjectTable: ffffc00165357840  HandleCount: <Data Not Accessible>Image: ConsoleApp7.exeTHREAD ffffe0018917a080  Cid 0f4c.0f50  Teb: 00007ff73b7ae000 Win32Thread: ffffe00185e3db20 WAIT: (DelayExecution) UserMode Alertableffffffffffffffff  NotificationEvent
...2: kd> dt nt!_KTHREAD ffffe0018917a080+0x028 InitialStack     : 0xffffd001`f8b64c90 Void+0x030 StackLimit       : 0xffffd001`f8b5f000 Void+0x038 StackBase        : 0xffffd001`f8b65000 Void...+0x058 KernelStack      : 0xffffd001`f8b63c80 Void...+0x0f0 Teb              : 0x00007ff7`3b7ae000 Void...2: kd> dt ntdll!_NT_TIB 0x00007ff7`3b7ae000+0x000 ExceptionList    : (null) +0x008 StackBase        : 0x00000035`35790000 Void+0x010 StackLimit       : 0x00000035`3577e000 Void+0x018 SubSystemTib     : (null) +0x020 FiberData        : 0x00000000`00001e00 Void+0x020 Version          : 0x1e00+0x028 ArbitraryUserPointer : (null) +0x030 Self             : 0x00007ff7`3b7ae000 _NT_TIB...

上面的信息非常清晰，两套栈空间 StackBase ~ StackLimit，分别为 0x0000003535790000 ~ 0x000000353577e000 和 0xffffd001f8b5f000~0xffffd001f8b65000。

2. 理解系统调用

理解了线程的两套栈空间之后，接下来说的就是系统调用，简单来说就是C#线程从 用户态 进入到 内核态 时，他的用户态寄存器上下文会存放到 _KTRAP_FRAME 结构体中，而这个结构体会放在内核态的线程栈上，有些朋友可能有点懵，画个图如下：

接下来的问题是如何验证呢？非常简单，第一种是通过 !thread 观察线程栈上的 TrapFrame 标记，第二种是提取内核线程的 _KTHREAD.TrapFrame 字段，为了方便测试，直接在 Sleep 的内核函数 NtDelayExecution 处下一个进程级别的断点，输出如下：

1: kd> bp /p ffffe00185e33440  nt!NtDelayExecution
breakpoint 0 redefined
1: kd> g
Breakpoint 0 hit
nt!NtDelayExecution:
fffff802`e4e8dfb0 4883ec28        sub     rsp,28h3: kd> !thread ffffe0018917a080
THREAD ffffe0018917a080  Cid 0f4c.0f50  Teb: 00007ff73b7ae000 Win32Thread: ffffe00185e3db20 RUNNING on processor 3
IRP List:ffffe00187633ca0: (0006,0358) Flags: 00060800  Mdl: 00000000
Not impersonating
DeviceMap                 ffffc0015d587160
Owning Process            ffffe00185e33440       Image:         ConsoleApp7.exe
Attached Process          N/A            Image:         N/A
Wait Start TickCount      21032          Ticks: 1 (0:00:00:00.015)
Context Switch Count      8187           IdealProcessor: 3             
UserTime                  00:00:00.015
KernelTime                00:00:00.125
Win32 Start Address ConsoleApp7_exe!wmainCRTStartup (0x00007ff73beb3c60)
Stack Init ffffd001f8b64c90 Current ffffd001f8b64550
Base ffffd001f8b65000 Limit ffffd001f8b5f000 Call 0000000000000000
Priority 10 BasePriority 8 PriorityDecrement 2 IoPriority 2 PagePriority 5
Child-SP          RetAddr               : Args to Child                                                           : Call Site
ffffd001`f8b64af8 fffff802`e4be9b63     : ffffe001`8917a080 00000000`00000014 ffffffff`ffffd8f0 ffffe001`886c3fe0 : nt!NtDelayExecution
ffffd001`f8b64b00 00007ff8`cf383b6a     : 00007ff8`cc0d3777 00000035`3578e198 00000000`00000001 00000000`00000000 : nt!KiSystemServiceCopyEnd+0x13 (TrapFrame @ ffffd001`f8b64b00)
00000035`3578e0d8 00007ff8`cc0d3777     : 00000035`3578e198 00000000`00000001 00000000`00000000 00000000`00000000 : ntdll!NtDelayExecution+0xa
00000035`3578e0e0 00007ff8`aec355f2     : 00000035`35977a40 00000000`00000001 00000035`00000000 00000000`00000000 : KERNELBASE!SleepEx+0xa7
(Inline Function) --------`--------     : --------`-------- --------`-------- --------`-------- --------`-------- : coreclr!ClrSleepEx+0xd (Inline Function @ 00007ff8`aec355f2) 
00000035`3578e180 00007ff8`aec354eb     : 06000000`00000001 00007ff8`aec35450 04000000`00000001 00000000`00000000 : coreclr!Thread::UserSleep+0xb2
00000035`3578e1d0 00007ff8`4f1ea095     : 00000035`3578e3c0 00000035`3578e4b8 00000000`00000001 00000000`00000001 : coreclr!ThreadNative::Sleep+0x9b 3: kd> dt nt!_KTRAP_FRAME ffffd001`f8b64b00...+0x030 Rax              : 0x00007ff7`3b770002+0x038 Rcx              : 0x00000035`358d33a0+0x040 Rdx              : 0x00000035`37b5c9b8+0x048 R8               : 0x00000035`37b5c9c8+0x050 R9               : 0x00000035`3578dd70+0x058 R10              : 0x00007ff7`3b780022+0x060 R11              : 0x00000035`3578e170+0x068 GsBase           : 0x00007ff7`3b7ae000+0x068 GsSwap           : 0x00007ff7`3b7ae000...+0x0d0 FaultAddress     : 0x00000035`37b7b000...+0x140 Rbx              : 1+0x148 Rdi              : 0+0x150 Rsi              : 1+0x158 Rbp              : 0x503b1+0x168 Rip              : 0x7ff8cf383b6a [Type: unsigned __int64]+0x180 Rsp              : 0x353578e0d8 [Type: unsigned __int64]...

仔细观察上面的 RIP 和 RSP 值，都能看到它是在 Ring3 上的现场，分别对应着用户态的 ret 和 ntdll!NtDelayExecution，输出如下：

3: kd> uf 0x7ff8cf383b6a
ntdll!NtDelayExecution:
00007ff8`cf383b60 4c8bd1          mov     r10,rcx
00007ff8`cf383b63 b834000000      mov     eax,34h
00007ff8`cf383b68 0f05            syscall
00007ff8`cf383b6a c3              ret3: kd> k# Child-SP          RetAddr               Call Site
00 ffffd001`f8b64af8 fffff802`e4be9b63     nt!NtDelayExecution
01 ffffd001`f8b64b00 00007ff8`cf383b6a     nt!KiSystemServiceCopyEnd+0x13
02 00000035`3578e0d8 00007ff8`cc0d3777     ntdll!NtDelayExecution+0xa
03 00000035`3578e0e0 00007ff8`aec355f2     KERNELBASE!SleepEx+0xa7
04 (Inline Function) --------`--------     coreclr!ClrSleepEx+0xd 
05 00000035`3578e180 00007ff8`aec354eb     coreclr!Thread::UserSleep+0xb2 
06 00000035`3578e1d0 00007ff8`4f1ea095     coreclr!ThreadNative::Sleep+0x9b
07 00000035`3578e320 00000035`3578e3c0     0x00007ff8`4f1ea095

3. 内核态线程上下文切换

上一节的_KTRAP_FRAME结构只是保存了 Ring3 -> Ring0 的现场，其实还有一个现场，很显然是调用线程执行 Sleep(1) 后让自己暂停并出让cpu核，为了让自己下一次得到完美的调度，此次必须要保存现场，那这个保存现场的逻辑在哪里的？其实是通过内核的 nt!KiSwapContext 函数实现的。

本来想在 nt!KiSwapContext 处下个断点，发现命中不了我的 Sleep 函数的 SwapContext，怀疑有cli之类的屏蔽外部中断导致的，这里只能反汇编源码了，参考如下：

3: kd> uf nt!KiSwapContext
nt!KiSwapContext:
fffff802`e4be3f30 4881ec38010000  sub     rsp,138h
fffff802`e4be3f37 488d842400010000 lea     rax,[rsp+100h]
fffff802`e4be3f3f 0f29742430      movaps  xmmword ptr [rsp+30h],xmm6
fffff802`e4be3f44 0f297c2440      movaps  xmmword ptr [rsp+40h],xmm7
fffff802`e4be3f49 440f29442450    movaps  xmmword ptr [rsp+50h],xmm8
fffff802`e4be3f4f 440f294c2460    movaps  xmmword ptr [rsp+60h],xmm9
fffff802`e4be3f55 440f29542470    movaps  xmmword ptr [rsp+70h],xmm10
fffff802`e4be3f5b 440f295880      movaps  xmmword ptr [rax-80h],xmm11
fffff802`e4be3f60 440f296090      movaps  xmmword ptr [rax-70h],xmm12
fffff802`e4be3f65 440f2968a0      movaps  xmmword ptr [rax-60h],xmm13
fffff802`e4be3f6a 440f2970b0      movaps  xmmword ptr [rax-50h],xmm14
fffff802`e4be3f6f 440f2978c0      movaps  xmmword ptr [rax-40h],xmm15
fffff802`e4be3f74 488918          mov     qword ptr [rax],rbx
fffff802`e4be3f77 48897808        mov     qword ptr [rax+8],rdi
fffff802`e4be3f7b 48897010        mov     qword ptr [rax+10h],rsi
fffff802`e4be3f7f 4c896018        mov     qword ptr [rax+18h],r12
fffff802`e4be3f83 4c896820        mov     qword ptr [rax+20h],r13
fffff802`e4be3f87 4c897028        mov     qword ptr [rax+28h],r14
fffff802`e4be3f8b 4c897830        mov     qword ptr [rax+30h],r15
fffff802`e4be3f8f 65488b1c2520000000 mov   rbx,qword ptr gs:[20h]
fffff802`e4be3f98 488bf9          mov     rdi,rcx
fffff802`e4be3f9b 488bf2          mov     rsi,rdx
fffff802`e4be3f9e 418bc8          mov     ecx,r8d
fffff802`e4be3fa1 e8ba020000      call    nt!SwapContext (fffff802`e4be4260)
fffff802`e4be3fa6 488d8c2400010000 lea     rcx,[rsp+100h]
fffff802`e4be3fae 0f28742430      movaps  xmm6,xmmword ptr [rsp+30h]
fffff802`e4be3fb3 0f287c2440      movaps  xmm7,xmmword ptr [rsp+40h]
fffff802`e4be3fb8 440f28442450    movaps  xmm8,xmmword ptr [rsp+50h]
fffff802`e4be3fbe 440f284c2460    movaps  xmm9,xmmword ptr [rsp+60h]
fffff802`e4be3fc4 440f28542470    movaps  xmm10,xmmword ptr [rsp+70h]
fffff802`e4be3fca 440f285980      movaps  xmm11,xmmword ptr [rcx-80h]
fffff802`e4be3fcf 440f286190      movaps  xmm12,xmmword ptr [rcx-70h]
fffff802`e4be3fd4 440f2869a0      movaps  xmm13,xmmword ptr [rcx-60h]
fffff802`e4be3fd9 440f2871b0      movaps  xmm14,xmmword ptr [rcx-50h]
fffff802`e4be3fde 440f2879c0      movaps  xmm15,xmmword ptr [rcx-40h]
fffff802`e4be3fe3 488b19          mov     rbx,qword ptr [rcx]
fffff802`e4be3fe6 488b7908        mov     rdi,qword ptr [rcx+8]
fffff802`e4be3fea 488b7110        mov     rsi,qword ptr [rcx+10h]
fffff802`e4be3fee 4c8b6118        mov     r12,qword ptr [rcx+18h]
fffff802`e4be3ff2 4c8b6920        mov     r13,qword ptr [rcx+20h]
fffff802`e4be3ff6 4c8b7128        mov     r14,qword ptr [rcx+28h]
fffff802`e4be3ffa 4c8b7930        mov     r15,qword ptr [rcx+30h]
fffff802`e4be3ffe 4881c438010000  add     rsp,138h
fffff802`e4be4005 c3              ret1: kd> uf nt!SwapContext
nt!SwapContext:
...
nt!SwapContext+0xc9:
fffff802`1a9df329 0fae5918        stmxcsr dword ptr [rcx+18h]
fffff802`1a9df32d 48896758        mov     qword ptr [rdi+58h],rsp
fffff802`1a9df331 488b6658        mov     rsp,qword ptr [rsi+58h]
fffff802`1a9df335 f6470380        test    byte ptr [rdi+3],80h
fffff802`1a9df339 741c            je      nt!SwapContext+0xf7 (fffff802`1a9df357)  Branch
...

上面有一句非常重要的汇编代码 rsp,qword ptr [rsi+58h]，翻译过来就是 esp=newThread.KernelStack，其实就是切换到新线程的内核态栈，并且在执行 nt!SwapContext 之前会进行现场保存，比如上面的 xmm 之类的寄存器，在切换完之后在新线程的同等位置上pop出这些现场。

最后一个问题是这个上下文保存在哪里呢？通过观察是还是在 InitialStack ~ KernelStack 之间，并且比 _KTRAP_FRAME 的位置要低，画个模型图如下：

感兴趣的朋友可以在那些能被 int 3 的 KiSwapContext 处下断点，比较下大小即可，截图如下：

三：总结

哈哈，是不是非常有意思，一个简单的 Sleep(1) 涉及到两块的寄存器上下文，并都保存在内核线程栈的 InitialStack ~ KernelStack 区间，这也算是加深了自己对操作系统的理解，也帮一些朋友解答了一些困惑！