我来帮你梳理下这个问题的解决思路——毕竟在CR3切换时刻抓用户栈返回地址确实有点棘手，此时CPU完全处于内核上下文，手里的寄存器全是内核栈的指针，根本碰不到用户态的栈数据。

CR3切换时你拿到的页表基址，对应的就是当前被调度进程的task_struct（内核用来管理进程的核心结构体）。这个结构体里保存了进程切换时的完整用户态寄存器快照，这才是你要找的关键。

第一步：先解决task_struct成员偏移的问题 #

x86_64 Linux的task_struct成员偏移和内核版本强绑定，不同版本差异很大，你必须先拿到目标内核的准确偏移：

• 如果你有内核源码，直接用gdb调试内核镜像（比如vmlinux）：

  gdb vmlinux
  # 查pt_regs的偏移（保存用户寄存器的结构体）
  p &((struct task_struct *)0)->thread.pt_regs
  # 也可以单独查用户态rsp/rbp的偏移
  p &((struct task_struct *)0)->thread.sp
  p &((struct task_struct *)0)->thread.bp
  

• 或者用pahole工具直接解析内核结构体：

  pahole -C task_struct /path/to/your/vmlinux
  

  从输出里找到thread或pt_regs成员的偏移量就行。

第二步：通过VMI定位并读取用户态返回地址 #

在CR3事件触发时，你已经有了目标进程的页表基址，接下来按这个流程走：

1. 找到task_struct的虚拟地址：x86_64 Linux里，进程的内核栈底附近会存着task_struct的指针。比如内核栈大小是8KB，你可以用当前内核rsp做位运算得到栈底（rsp & ~0x1fff），再加上固定偏移（比如有些版本是0x10，需要查对应内核的current宏实现），就能拿到task_struct的地址。
2. 定位pt_regs结构体：用第一步拿到的pt_regs偏移，加上task_struct的地址，算出pt_regs的虚拟地址。
3. 读取返回地址：pt_regs里的rip字段，就是进程从用户态陷入内核前的指令地址——也就是你要的用户栈返回地址！另外pt_regs->rsp和pt_regs->rbp是用户态的栈指针/基指针，如果你需要遍历栈上的更多返回地址，也可以用这两个值去访问用户栈内存。

为什么你之前的栈指针偏移方法没用？ #

因为CR3切换时刻，CPU的rsp/rbp指向的是内核栈，和用户栈完全是两个独立的内存区域。你必须从task_struct保存的用户态上下文快照里拿数据，而不是当前CPU的寄存器。

几个要注意的坑 #

• 内核版本兼容性：5.x和6.x内核的task_struct偏移差异很大，一定要针对目标版本做适配，别直接抄旧代码。
• VMI内存访问：确保你的VMI工具（比如libvmi）能正确通过CR3切换到目标进程的地址空间，访问内核虚拟地址时要处理好页表转换。
• 进程状态：不管进程是从用户态陷入内核，还是在内核态被调度出去，pt_regs里的快照都是有效的，直接读就行。

内容的提问来源于stack exchange，提问作者auermich