我又读了一本discussion。
我知道%gs是段寄存器，它存储段描述符。OS获取段描述符并计算物理地址。大多数情况下，段描述符对于程序员来说是不可内联的。我可以做一些技巧，比如拦截systcallset_thread_area并获取%gs的值。
但他们说的大多数东西对我来说还是太抽象了。所以我试图构建一个简单的代码来表达我的问题。我希望有人能告诉我在我的例子中我做错了什么。
首先，我编写了一个pthread代码，如下所示。

__thread int Sum = 123; // declare as __thread type. 123 = 0x7b

void *show_msg( void *ptr ) {
 for( int x = 5 ; x > 0 ; --x){
    printf("%d\n", Sum++ ); // print the value of Sum and plus 1
    sleep(1);
 }
 pthread_exit((void *)1234);
}

int main(){
   pthread_t thread1;
   pthread_t thread2;
   char *message1 = "Thread 1";
   char *message2 = "Thread 2";

   pthread_create(&thread1, NULL , show_msg , (void*) message1);
   pthread_create(&thread2, NULL , show_msg , (void*) message2);
   pthread_join( thread1, &ret);
   pthread_join( thread2, &ret);

   return 0;
}

08052510 <__libc_setup_tls>:
  ...
805262c: mov $0xf3,%eax ; syscall number 0xf3 is set_thread_area
8052631: mov %ebx,0x24(%esp)
805262c: lea 0x20(%esp),%ebx ; %ebx stores a pointer to struct user_desc
  ...
8052651: int $0x80

  ...

080496d4<_Z8show_msgPv>:
  ...
80496f0: mov %gs:0xffffffd0,%eax
80496f6: lea 0x1(%eax),%edx
80496f9: mov %edx,%gs:0xffffffd0
  ...

805262c: lea 0x20(%esp),%ebx ; %ebx stores a pointer to struct user_desc

80496f0: mov %gs:0xffffffd0,%eax

80496f6: lea 0x1(%eax),%edx ; yield %edx = 0x7c
80496f9: mov %edx,%gs:0xffffffd0 ; store 0x7c to %gs:0xffffffd0(????)

操作系统将处理线程本地存储（TLS）的内存，并保持在加载下一个线程时更新%gs[或其基址]，以及在创建新线程时分配内存[1]。
编译器和链接器负责计算TLS的大小和相应的偏移量-在这种情况下，实现似乎使用了与基址的负偏移量，因此您的特定变量是-0x30 from%gs。
[当您说“我知道%gs是0x080fd840时，您的意思是段的基址就是这个值，对吧？因为%gs是x86描述符表的16位索引]
[1]这可能意味着操作系统只是为TLS提供了一个虚拟地址，但是物理内存的实际分配是“根据需要”进行的，就像执行文件、共享库或大内存分配一样。