NET的EXE启动流程跟踪(流水账)

最新推荐文章于 2022-08-30 15:30:49 发布
最新推荐文章于 2022-08-30 15:30:49 发布
阅读量1k 收藏
点赞数
分类专栏: c/c++ vc directui c#

无聊写的东西罢了,流水账一样的玩意,使用的是.NET Framework 4.0。

在OD选项中设置中断于系统断点,因为.NET程序一启动,加载mscoree后,mscoree立马执行CorExeMain,是不返回的,所以.NET的EXE文件的EP是永远不会被执行的,关键的东西全在CorExeMain中,所以我们需要在mscoree的任何代码都没执行的时候断下来。
在模块中找到mscoree,在CorExeMain上F2,然后F9运行。
断了,CorExeMain的第一个call一开始我以为是登记SEH,可转身想想,这完全没必要,应该是一个有用的call,所以跟进去了。
跟进去后发现果然不是等级SEH的,继续看,显然这里面的第一个call也不可能是登记SEH的,跟进去,有一个运行时是否加载了的全局变量,现在是NULL,准备加载运行时。
下面有各种登记SEH的call,略过,一路F7,走到从注册表查询运行时,
在进行各种跑飞后,第一个访问的注册表是:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\Policy\,打开后调用RegQueryInfoKeyW,然后是RegEnumKeyExW,然后调用一个call,传入当前exe的版本,如“v4.0”,不断Enum是否当前已经有安装这个版本(就是注册表已经登记),找到这个Key的话,调用RegOpenKeyExW,取得里面的子版本路径,如“30319-30319”,也就是“v4.0.30319”,获取这个完全版本后,调用一个call,传入“mscoreei.dll”和“v4.0.30319”,call内会打开“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework”,取得字符串值“InstallRoot”,这个一般指向“C:\Windows\Microsoft.NET\Framework\”,然后“C:\Windows\Microsoft.NET\Framework\”+“v4.0.30319”,生成这个目录下面有一个mscoreei,会被载入,这个就是当前.NET运行时的核心库,mscoree到现在任务完成了,保存mscoreei的hModule,调用mscoree的函数的时候,GetProcAddress然后jmp到mscoreei就行了。

上面扯飞了,载入mscoreei后,首先GetProcAddress“RegisterShimImplCallback”和“RegisterShimImplCleanupCallback”这2个东西,然后是“SetShellShimInstance”,如果3个有一个取得失败,FreeLibrary,gameover。
再取得“OnShimDllMainCalled”,然后调用RegisterShimImplCallback,2个参数,2个都是callback,然后会GetProcAddress“_CorExeMain_RetAddr”、“_CorExeMain”、最终调用mscoreei的“_CorExeMain”,无返回。

mscoreei的ExeMain会进行这样一个调用:
/*6A82F576*/  PUSH EAX
/*6A82F577*/  INC EDX
/*6A82F578*/  MOV ECX,mscoreei.6A8264D0
/*6A82F57D*/  MOV DWORD PTR SS:[ESP+14],EDI
/*6A82F581*/  CALL mscoreei.6A82F412
/*6A82F586*/  MOV ESI,EAX
/*6A82F588*/  TEST ESI,ESI
/*6A82F58A*/  JS SHORT mscoreei.6A82F5A5
/*6A82F58C*/  CMP DWORD PTR SS:[ESP+10],EDI
/*6A82F590*/  JE SHORT mscoreei.6A82F5A5
/*6A82F592*/  CALL mscoreei.6A8257E8
/*6A82F597*/  TEST AL,AL
/*6A82F599*/  JNZ mscoreei.6A830642
/*6A82F59F*/  CALL DWORD PTR SS:[ESP+10] -> clr._CorExeMain
/*6A82F5A3*/  MOV ESI,EAX
/*6A82F5A5*/  PUSH ESI
/*6A82F5A6*/  CALL DWORD PTR DS:[<&KERNEL32.ExitProcess>]
/*6A82F5AC*/  INT3

6A82F412这个call会调用mscoreei.CreateInterface,传入2个GUID,返回一个ppv,调用ppv中的2个interface加载clr.dll等等东西后,就Release了。
然后就到CALL DWORD PTR SS:[ESP+10]这个clr的ExeMain了。

clr那货的ExeMain是:
/*651A414E*/  PUSH 14
/*651A4150*/  PUSH clr.651A4180
/*651A4155*/  CALL clr.65051050
/*651A415A*/  XOR EAX,EAX
/*651A415C*/  MOV DWORD PTR SS:[EBP-20],EAX
/*651A415F*/  MOV DWORD PTR SS:[EBP-1C],EAX
/*651A4162*/  MOV DWORD PTR SS:[EBP-4],EAX
/*651A4165*/  CALL clr.651A1ED8
/*651A416A*/  MOV DWORD PTR SS:[EBP-4],-2
/*651A4171*/  XOR EAX,EAX
/*651A4173*/  CALL clr.65051095
/*651A4178*/  RETN
显然忽略2个SEH东东,就是clr.651A1ED8这个玩意了。

跟进去,上截图吧,相信大家不陌生:

下面有一段这样的代码:
/*651A1F67*/  MOV BYTE PTR SS:[EBP-4],4
/*651A1F6B*/  PUSH 0
/*651A1F6D*/  CALL DWORD PTR DS:[<&KERNEL32.GetModuleHandleW>]
/*651A1F73*/  MOV ECX,EAX
/*651A1F75*/  CALL clr.651A1E1E
那个call就是我们.NET程序的真正EP了,程序结束之前这个call都不会返回。返回了就进行一些扫尾工作,进程end~

进去后,是这样的:
/*651A1E1E*/  PUSH 34
/*651A1E20*/  PUSH clr.651A1EB0
/*651A1E25*/  CALL clr.65051050
/*651A1E2A*/  MOV EDI,ECX
/*651A1E2C*/  TEST EDI,EDI
/*651A1E2E*/  JE clr.6522C364
/*651A1E34*/  PUSH ECX
/*651A1E35*/  PUSH ECX
/*651A1E36*/  MOV ECX,clr.651A1EA0
/*651A1E3B*/  CALL clr.65060F11
/*651A1E40*/  MOV DWORD PTR SS:[EBP-28],EDI
/*651A1E43*/  AND DWORD PTR SS:[EBP-20],0
/*651A1E47*/  AND DWORD PTR SS:[EBP-4],0
/*651A1E4B*/  CALL clr.65051CB8
/*651A1E50*/  PUSH EAX
/*651A1E51*/  LEA ECX,DWORD PTR SS:[EBP-44]
/*651A1E54*/  CALL clr.6505116A
/*651A1E59*/  MOV DWORD PTR SS:[EBP-4],1
/*651A1E60*/  MOV ECX,EDI
/*651A1E62*/  CALL clr.651A183B
/*651A1E67*/  AND DWORD PTR SS:[EBP-4],0
/*651A1E6B*/  CALL clr.651C4EE1
/*651A1E70*/  MOV DWORD PTR SS:[EBP-4],-2
/*651A1E77*/  PUSH ECX
/*651A1E78*/  PUSH ECX
/*651A1E79*/  MOV ECX,clr.651A1E90
/*651A1E7E*/  CALL clr.65060F11
/*651A1E83*/  XOR EAX,EAX
/*651A1E85*/  INC EAX
/*651A1E86*/  CALL clr.65051095
/*651A1E8B*/  RETN
关键的call是CALL 651A183B,其他的都是SEH和扫屁股的,跟进去。
F7,好长的call...算了,闭着眼睛Ctrl+F8。。。
停在这里:
  PUSH 0
  CALL clr.65117550
进去
  PUSH EBX
  LEA EAX,DWORD PTR SS:[ESP+18]
  PUSH EAX
  MOV ECX,EDI
  CALL clr.65117DDE
跑了那么多,累死了。。。
其实跑到65117DDE的时候,整个进程还是“干净”的,也就是.NET的模块都没载入,仅仅载入了当前的mscoreei和资源ui的dll而已。。。
继续Ctrl+F8。。。
  PUSH EAX
  LEA ECX,DWORD PTR SS:[EBP-110]
  CALL clr.65062DA1
跑到65062DA1的时候我在stack的参数里面发现了老子编译的工程Release文件夹路径。。。狗血。。。
65062DA1这个call上上下下执行了N次,加载了程序使用的.NET的dll文件,然后进入JIT执行,没管了,想的跟可以下断clr.CreateApplicationContext。就这样了,下午还得上课撸撸睡了。

[Android Framework] 系统 ANR 问题排查实践小结
小羊子的技术专栏
08-20 765
本文记录了工作中遇到的Andorid 系统层级 ANR 的问题排查及解决思路。 具体问题:在 VR一体机设备中遇到了第三方应用在视频播放时 当高标清切换时 出现了*死机冻屏* 的问题。
云计算与容器技术发展趋势:探讨云计算与容器技术未来发展方向
最新发布
AI天才研究院
08-04 1763
云计算(Cloud Computing)和容器技术(Container Technology)是近几年兴起的两个热门技术。云计算意味着一切服务都可以获得廉价、可靠、按需使用的云资源;而容器技术则让开发者可以将自己的应用及其运行环境打包成一个标准化的、可移植的单元,并通过云计算平台进行部署、运行和管理。基于容器技术的云计算则可以有效降低开发和运维成本,提升效率和效益。然而,云计算与容器技术的发展仍处于快速变化之中。
exe跟踪工具,查看exe调用dll
12-11
depends很好的EXE跟踪工具,可以看到EXE调用了哪些资源。
4.9 使用debug跟踪exe程序执行过程
Kevin的博客
07-13 5635
Dos在运行一个程序的时候,是由command将程序从可执行文件中加载入内存,并使其得以执行。这个过程我们无法追条指令地看到程序的执行过程,因为command的程序加载,设置CS:IP指向程序的入口的操作是连续完成的,而当CS:IP一指向程序的入口,command就放弃了CPU的控制权,CPU立即开始运行程序,直至程序结束 如果解决这样的矛盾,debug! Debug可以将程序加载...
asp.net应用程序级别跟踪
weixin_34309543的博客
02-16 71
可以在应用程序根目录的 Web.config 文件中启用整个应用程序的跟踪。默认情况下,只能在本地 Web 服务器计算机上查看应用程序级跟踪。必须 在 Web.config 文件中将 localOnly 设置为 false,以便可从远程计算机上看见应用程序级跟踪信息. 若要禁用远程跟踪,请在 Web.config 文件中将 localOnly 属性设置为 true。下面的示例显示了一个应用程序...
服务跟踪(ServiceTracker)
程序员的天堂
11-10 991
当多个Bundle使用同一接口名注册服务时,服务的获取策略如下:OSGi容器会返回排行最高的服务,即,返回注册时SERVICE_RANKING属性值最大的服务。如果有多个服务的排行值相等,那么OSGi容器将返回PID值最小的那个服务。   如果服务消费者需要对服务进行跟踪,比如服务何时被注册,何时取消注册等,可以使用ServiceTracker类。以下是该类的使用范例源码:   1、接口及...
一文带你掌握监控进程技术实现
深耕安全技术研究
03-01 4159
文章目录1.技术应用背景2.效果展示3.功能代码实现4.知识背景清单5.WMI相关概念6.WMI架构解析 1.技术应用背景 目前已知在杀毒厂商以及游戏厂商的安全对抗过程中,常常需要准确的监控收集并进行检测用户创建打开的EXE应用程序是否是安全的。同时也可以将此技术应用于其他应用的安全对抗方案中。那么如何去准确的监控和收集用户每次点击打开的EXE应用程序信息呢?接下来我就进行还原实现下如何准确的监控并收集用户每次点击打开EXE应用程序技术。 2.效果展示 下图展示的是开启监控程序,这是进行监控电脑上包括系统自
Unity流水账14:GL、Graphics及CommandBuffer
SHIYUEDYX的专栏
02-18 4826
GL以及Graphics翻译
Hyperledger Fabric java 区块链开发详解
mongo_node的专栏
03-28 2914
我们为希望尽快学习Hyperroger fabric 的java工程师上线了一门教程Fabric java 区块链开发详解,课程面向初学者,内容即包含Hyperledger Fabric的身份证书与MSP服务、权限策略、频道配置与启动、链码通信接口等核心概念,也包含Fabric网络设计、java链码与应用开发的操作实践,是java工程师学习Fabric区块链开发的最佳选择。 Hyperledger...
移动云产品工作记录
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
02-02 3309
背景 记录移动云相关理解和记录 初认识 1、移动云全家桶 2、云主机 云主机是一种按需获取的云端服务器,为您提供高可靠、弹性扩展的计算资源服务,您可以根据需求选择不同规格的CPU、内存、操作系统、硬盘和网络来创建您的云主机。云主机从订购到开通使用仅需数分钟时间。云主机服务可用性达到99.95%,云主机备份数据以多副本形式保存,数据可靠性可达99.9999999%。 规格: vCPU / 内存比为1:1、1:2、1:4、1:8,从“1核2G”到“80核1280G”;采用2.3GHz主频的Intel
.NET实现:将EXE设置开机自动启动
09-05
.NET实现:将EXE设置开机自动启动的方法,需要的朋友可以参考一下
.net中启动其他exe文件
abc221414的专栏
04-08 1782
一、VB.net 采用Shell命令如下: Dim ProcId As Integer ProcId = Shell(fileFullName, AppWinStyle.NormalFocus) 二、C# 采用Process.Start : ProcessStartInfo startInfo = new ProcessStartInfo(fileFullName); start
.NET6 命令行启动及发布单个Exe文件
热门推荐
csdn_aspnet的专栏
08-30 4万+
我们试着去运行该命令。朋友是多少位的操作系统,你就标记要发布成什么样子的, --self-contained这个标签的解释自包含,就是说你的相关依赖项与你的应用程序不挂钩,将会产生依赖,缺少一个dll就会缺胳膊少腿。详细的.NET Core CLI可参考官网:https://docs.microsoft.com/zh-cn/dotnet/core/tools/dotnet-run。上面我们开了2个cmd界面,分别启动了一个实例,端口号分别为8080和8081,下面我们就可以使用这2个端口号访问了。.....
[转]从源代码看.net下exe的加载过程
weixin_34318272的博客
06-24 305
在看雪学院看到一篇好文章,发上来大家共享共享。http://bbs.pediy.com/showthread.php?threadid=31799这里的源代码自然不是指.netFramework的源码,不过微软公开了一个代号为rotor的opensourcecli的源码,你可以把它看为轻量级的.netframework。最关键的是,它俩的运行机理大致相同。今天,我们就从rotor的源码中看...
.net实现调用本地exe等应用程序的办法总结
weixin_34168700的博客
03-26 533
根据客户需求用户要实现在一个BS系统上打开本地的一应用程序,在网上查了好多资料再加上自己的各种测试,到最后功能是实现了,只不过还存在一些问题,接下来会先把各种方法一一列举出来 1、先写最终测试通过的这个方法 <script type="text/javascript"> function Run(strPath) { try {...
2016年终总结
科技D人生
01-10 5746
分享一个大神的人工智能教程。零基础!通俗易懂!风趣幽默!还带黄段子!希望你也加入到人工智能的队伍中来!点击浏览教程 一、技术总结 (1)App/JavaWeb后台系统 1.1、采用RestFul架构的SSM(Spring SpringMVC MyBatis)框架集成开发的App后台系统,将用户鉴权分离出来单独的模块,将用户鉴权登录状态Token保存到Redis内存数据库中,从而便于上层业务后...
Android开发笔记(一百零六)支付缴费SDK
aqi00的博客
06-15 1万+
第三方支付 第三方支付指的是第三方平台与各银行签约,在买方与卖方之间实现中介担保,从而增强了支付交易的安全性。国内常用的支付平台主要是支付宝和微信支付,其中支付宝的市场份额为71.5%,微信支付的市场份额为15.99%,也就是说这两家垄断了八分之七的支付市场(2015年数据)。除此之外,还有几个app开发会用到的支付平台,包括:银联支付,主要用于公共事业缴费,如水电煤、有线电视、移动电信等等的充
SxsTrace使用教程(追踪软件运行的详细过程)
weixin_33754065的博客
01-09 1740
1.执行命令:SxsTrace Trace -logfile:SxsTrace.etl,启动跟踪(必须使用管理员身份运行)2.启动需要追踪的应用程序,例如:Foxmail程序3.关闭应用程序(Firefox)对话框4.切回到命令行界面,点击回车停止跟踪5.继续执行命令:SxsTrace Parse -logfile:SxsTrace.etl -outfile:...
使用Visual Studio 和Cmake调试运行 KCF跟踪程序
Keeplearning
11-24 1552
使用Visual Studio 和Cmake调试运行 KCF跟踪程序 最近想在windows下运行KCF跟踪程序,但是之前没有用过VS,废了很长时间才调试通过,就做一个记录,免得以后忘记了。 一、安装Visual Studio 、CMake和OpenCV 如果都还没有安装的话,网上介绍安装的链接有很多,可以找一找,这里提供两个 https://blog.csdn.net/lz010/article...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值