init进程如何从内核态切换到用户态

大家都知道如何产生一个新的进程。
　　通过sys_fork，之后再调用sys_execve
　　系统初启后（核心态）的第一个用户态进程是init。
　　这要涉及到内层（特权级高）向外层（特权级低）转移的问题。
　　通常情况下，内核是不会调用用户层的代码，要想实现这逆向的转移，一般做法是在用户进程的核心栈（tss-》esp0）压入用户态的SS，ESP，EFLAGS，CS，EIP，伪装成用户进程是通过陷阱门进入核心态，之后通过iret返回用户态。
　　那么linux 2.2.14中的用户态进程init是如何实现的？
　　首先在kernel_thread（init.。.）函数中，利用系统调用sys_clone fork出一个内核级进程（此时要给该进程分配核心栈《-esp0），之后call init函数，init函数还会再起几个kernel_thread，然后会加载/sbin/init（通过execve调用）
　　在sys_execve中，要完成内核态到用户态的转移。
　　大体流程是sys_execve--》do_execve--》load_elf_binary（）
　　--》do_load_elf_binary（）--》do_mmap（）
　　start_thread（reg，newip，newsp） （processor.h）
　　请大家关注do_mmap（）及start_thread（）很重要哦
　　do_mmap完成从文件虚拟空间到内存虚拟空间的映射。
　　而start_thread就是要在进程核心栈中的相应位置填入进程用户态的xss，esp and xcs，eip.
　　最后进程从ret_from_sys_call返回，iret指令从核心栈pop出xcs， eip完成特权及指令的转移， pop出 xss，esp，完成堆栈的切换。
　　以上我也是刚看代码悟出的，如有不对之处，还望高手指出。