CLR内核随记(1)

最新推荐文章于 2019-01-08 07:39:21 发布
最新推荐文章于 2019-01-08 07:39:21 发布
阅读量1.7k 收藏
点赞数
分类专栏: CLR 文章标签: c++ c 编译器 struct class .net
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tankaiha/article/details/1484369
版权

CLR内核随记(1)

 

把平时看到的一些东西记下来,没准以后用的上。

 

本文利用调试跟踪CLR中接口virtual方法的定位。为什么呢?好玩儿而已。

 

这是在某壳挂钩JIT的代码,有些东西还是很有意思(总是觉得这些壳作者知道很多CLR的内部结构,估计微软对他们部分开源了):

.text:10002A4C                 mov     eax, [ebp+ICorJitInfo]
.text:10002A4F                 mov     ecx, [eax+4]

//此时ecxà.text:79E97C14 const CEEJitInfo::`vbtable'{for `ICorJitInfo'},第一个双字是什么?第一个双字指向

.text:79E97B14                 dd offset [thunk]:CEEInfo::getHelperName`vtordisp{4294967292,52}' (CorInfoHelpFunc)

 

到这里,来看看CEEJitInfo::’vbtable’在内存中的表示:

79E97C14 >FC FF FF FF 34 00 00 00 3C 00 00 00 44 00 00 00

79E97C24  4C 00 00 00 54 00 00 00 5C 00 00 00 64 00 00 00

79E97C34  6C 00 00 00 74 00 00 00 80 00 00 00 FC FF FF FF

 

其实这些值是在编译时确定的,因为CLR本身部分用C++写成,也就是C++中的vtable在编译时确定,mscorwks.dll中的代码如下:

.text:79E97C14 const CEEJitInfo::`vbtable'{for `ICorJitInfo'} dd 0FFFFFFFCh, 34h, 3Ch, 44h, 4Ch, 54h, 5Ch, 64h, 6Ch

.text:79E97C14                 dd 74h, 80h

 

FCFFFFFFwhat?谁知道,也许是一个vtable的开始标志,因为在第三行最后又见到一个同样的双字。计算两个FCFFFFFF之间的双字值,可以先猜测这个vtable含有10个方法。不过sscli中对应的代码却多出了一两个方法,这里暂且不管,下面主要看怎么定位这些vtable的。

 

.text:10002A52                 mov     edx, [ecx+4]
.text:10002A55                 mov     eax, [ebp+ICorJitInfo]
.text:10002A58                 mov     ecx, [eax+4]
.text:10002A5B                 mov     eax, [ecx+4]
.text:10002A5E                 mov     ecx, [ebp+ICorJitInfo]
.text:10002A61                 lea     eax, [ecx+eax+4]
.text:10002A65                 mov     ecx, [ebp+ICorJitInfo]
.text:10002A68                 mov     edx, [ecx+edx+4]

 

lea eax这句执行完后,eax指向内存如下

0013EA18  78 7B E9 79 00 00 00 00 4C 7B E9 79 00 00 00 00 

0013EA28  A8 7A E9 79 00 00 00 00 84 7A E9 79 00 00 00 00

 

总觉得后面那句mov edx,[ecx+edx+4]重复了,直接mov edx,[eax]不就可以了吗?这时[eax]的值是79E97B78指向什么?它指向了下面一个方法:.text:79E97B78 const CEEJitInfo::`vftable'{for `ICorMethodInfo'} dd offset [thunk]:CEEInfo::getMethodName`vtordisp{4294967292,52}' (CORINFO_METHOD_STRUCT_ *,char const * *)

 

也就是说,在ICorJitInfo vtable表里有getMethodName方法。可sscli的代码中并没有getMethodName方法啊。如果说,vtable是按顺序生成的,那么eax+ecx+4这个指令代表getMethodName方法排名应该还较靠前,而sscli中的代码为。

 

 

class ICorJitInfo : public virtual ICorDynamicInfo
{
public:
    // return memory manager that the JIT can use to allocate a regular memory
    virtual IEEMemoryManager* __stdcall getMemoryManager() = 0;

 

    // get a block of memory for the code, readonly data, and read-write data
    virtual void __stdcall allocMem (

}

 

这时,我们想到了继承。ICorJitInfo继承了ICorDynamicInfo,于是来到后者的代码处:


class ICorDynamicInfo : public virtual ICorStaticInfo

 

这里,ICorDynamicInfo中仍然没有getMethodName的方法,于是再次顺着继承走下去:

 


class ICorStaticInfo : public virtual ICorMethodInfo, public virtual ICorModuleInfo,
                       public virtual ICorClassInfo,  public virtual ICorFieldInfo,
                       public virtual ICorDebugInfo,  public virtual ICorArgInfo,
                       public virtual ICorLinkInfo,   public virtual ICorErrorInfo

 

这里,ICorStaticInfo第一个继承的就是ICorMethodInfo,终于,我们找到了getMethodName方法:

class ICorMethodInfo
{
public:
    // this function is for debugging only.  It returns the method name
    // and if 'moduleName' is non-null, it sets it to something that will
    // says which method (a class name, or a module name)
    virtual const char* __stdcall getMethodName (
            CORINFO_METHOD_HANDLE       ftn,        /* IN */
            const char                **moduleName  /* OUT */
            ) = 0;

    // this function is for debugging only.  It returns a value that
    // is will always be the same for a given method.  It is used
    // to implement the 'jitRange' functionality
    virtual unsigned __stdcall getMethodHash (
            CORINFO_METHOD_HANDLE       ftn         /* IN */
            ) = 0;

 

 

到这里,一个简单的virtual方法定位才算跟完。其实,这和CLR已经没有多大关系了,更多的是C++编译器的工作,它是怎么分配类和虚方法的内存空间,当然,还要结合在运行时的动态填充。

 

CLR中提供了多少个这种vtable呢?至少有以下这么多:

.text:79E977EC                 mov     dword ptr [esi+4], offset const CEEJitInfo::`vbtable'{for `CEEInfo'}
.text:79E977F3                 mov     dword ptr [esi+10h], offset const CEEJitInfo::`vbtable'{for `ICorJitInfo'}
.text:79E977FA                 mov     dword ptr [esi+88h], offset const CEEInfo::`vbtable'{for `ICorStaticInfo'}
.text:79E97804                 mov     dword ptr [esi+94h], offset const CEEJitInfo::`vbtable'{for `ICorDynamicInfo'}
.text:79E9780E                 mov     dword ptr [esi+44h], offset const ICorStaticInfo::`vftable'{for `ICorMethodInfo'}
.text:79E97815                 mov     dword ptr [esi+4Ch], offset const ICorModuleInfo::`vftable'
.text:79E9781C                 mov     dword ptr [esi+54h], offset const ICorCompileInfo::`vftable'{for `ICorClassInfo'}
.text:79E97823                 mov     dword ptr [esi+5Ch], offset const ICorJitInfo::`vftable'{for `ICorFieldInfo'}
.text:79E9782A                 mov     dword ptr [esi+64h], offset const ICorDebugInfo::`vftable'
.text:79E97831                 mov     dword ptr [esi+6Ch], offset const ICorCompileInfo::`vftable'{for `ICorArgInfo'}
.text:79E97838                 mov     dword ptr [esi+74h], offset const CHashTableAndData<CNewDataNoThrow>::`vftable'

 

回到文章最初的ICorJitInfo,那个表中第一个值是0x34,最终定位到getMethodName,第二个0x3C又指向什么方法呢?你自己跟一下吧,呵呵。

 

下次,会真正跟一些CLR内部的东西,那些被标记上for internal use的玩意儿。以上分析基于xp sp2 +.net framework 2.0 简体中文版。

 

 
tankaiha
关注
专栏目录
CLR整理
wooeo6的博客
06-08 653
CLR 公共语言运行时 托管执行过程 1.选择编译器    .net中包括c#,vb,vc++等,选择合适编译器 2.编译为 MSIL     编译器将源代码转换为 Microsoft 中间语言 (MSIL)  和计算机系统结构有关 3.将 MSIL 编译为本机代码     根据本机结构编译为本机代码: &nb
clr-boot-manager:内核和引导加载程序管理
05-31
clr-boot-manager clr-boot-manager 的存在是为了在升级过程中正确维护供应商内核和适当的垃圾收集策略。 该实现提供了在共享引导目录(例如 UEFI 引导操作系统的 EFI 系统分区)上启用正确共存的方法。 特别注意确保引导分区被优雅地处理,在它尚未挂载的情况下,clr-boot-manager 将自动发现并挂载它,并在完成时自动再次卸载引导分区。 最重要的是,clr-boot-manager 提供了一种简单的机制来提供内核更新,如果新的更新有问题,用户可以回滚到旧内核。 这是通过使用严格的命名空间策略、永久源路径和 clr-boot-manager 自己的内部逻辑来实现的,不需要“元包”或分发端的过度复杂性。 要求 clr-boot-manager 主要设计用于使用 UEFI 为 GPT 磁盘安装引导加载程序、内核、initrd 和随附的元数据文件,但它
CLR内核调试之:Malloc函数实现
Firas的专栏
07-12 1863
转自:http://www.cnblogs.com/lbq1221119/archive/2008/11/13/1332254.html 自从可以动态调试SSCLI之后,发现这个玩意还真是个宝山,越玩越有意思,就像捅开一扇门,发现门后面还有一座宝山……不光CLR的内部实现细节,可以象是放电影一样呈现在眼前,Visual Studio里面的一些底层的技术,还有OS的底层技术,查看起来那是相当的便捷
CoreCLR源码探索(二) new是什么
weixin_33767813的博客
01-09 304
前一篇我们看到了CoreCLR中对Object的定义,这一篇我们将会看CoreCLR中对new的定义和处理 new对于.Net程序员们来说同样是耳熟能详的关键词,我们每天都会用到new,然而new究竟是什么? 因为篇幅限制和避免难度跳的太高,这一篇将不会详细讲解以下的内容,请耐心等待后续的文章 GC如何分配内存 JIT如何解析IL JIT如何生成机器码 使用到的名词和缩写 以下的内容将会使用到...
.Net 下的保护和逆向工程
Tepo's space
11-17 907
.Net 下的保护和逆向工程<br />这份刊物主要讨论一些微软.Net框架下流程行的保护方法,包括 强名称(StrongName), 名称混淆(name obfuscation), 流程混淆(flow obfuscation),元数据加密(metadata encryption), 加壳以及一些反分析手段。对于每一种保护,我也将会提供一些建议怎样去逆向它们。这份刊物并不是新手教程,它的目标是哪些已经有.Net编程和逆向经验的人。<br />说明<br />信不信由你, 时至今日微软的.Net框架变得越来越
CLREX
weixin_33885253的博客
08-18 303
KernelBase.dll!RaiseException() Unknown &gt; coreclr.dll!`RaiseTheExceptionInternalOnly'::`81'::__Body::Run(RaiseTheExceptionInternalOnly::__l2::Param * pParam) Line 3114 C++ coreclr.dll!Raise...
CLRInsideOut.zip
06-03
1. 确保正确配置C/C++头文件,因为工具依赖这些文件来生成C#结构体。 2. 在调用P/Invoke之前,必须理解非托管代码的API接口,包括参数类型、返回值和错误处理机制。 3. 考虑到.NET和C/C++之间的类型系统差异,如指针...
Microsoft sql server system clr types 2012
03-31
1. **System.Data.SqlServerCe**: 这是SQL Server Compact Edition(一个轻量级、嵌入式数据库引擎)的.NET数据提供程序,允许.NET应用程序与SQL Server Compact进行通信。 2. **System.Data.SqlClient**: 它是SQL ...
clr-boot-manager, 内核&引导加载程序管理.zip
10-10
clr-boot-manager, 内核&引导加载程序管理 clr-boot-manager 为了在升级过程中正确地维护供应商内核和适当的垃圾收集策略,clr-boot-manager存在。 实现提供了在共享启动目录上启用正确共存的方法,例如用于uefi引导...
VS2017创建CLR项目.docx
01-08
注意:1)using namespace 和 Applciation ::Run(gcnew MyForm());必须和自己创建的项目名称相对应。 编写主函数代码是 CLR 项目的核心部分,正确的编写主函数代码可以确保项目的正确运行。 四、项目设置 项目...
.Net程序集基于方法的保护原理(HookJIT篇)
weixin_30496751的博客
07-04 450
.Net程序集基于方法的保护原理 (HookJIT篇) 作者:RZH 网名:看雪_grassdrago 2010-7-4 引言 DOTNET程序集的保护由混淆、整体加密、基于方法保护到参与伪IL指令本地化,逐步由纯.NET领域走向传统WIN32加密领域。相应,解密的主体工作也由过去的IL代码分析走向了ASM代码分析。我们留恋过去的“开源盛世”,但不得不正视现实。基于方法的保护是...
浅谈.Net脱壳中方法体的局部变量签名还原
weixin_34217711的博客
01-08 418
在之前介绍Jit层脱壳原理时曾提到两个难点,1。方法体的局部变量签名。2。方法体的SEH 异常处理表。 本文主要就第一个问题进行简单探讨,随带也涉及到一些第二个问题。 前面提到过投机的方式获取,不在本文讨论范围,投机总是过于侥幸。 进入到Jit层后,局部变量签名已经由token值转变为了结构体 CORINFO_SIG_INFO ,可以推测,该转变应该是在 ee 层调用 jit的预处理过程中完...
【转载来自 Aplo 大牛】破解 DNGuard HVM 2007 软件保护功能(更新加源码)
weixin_30394333的博客
09-24 1101
Aplo大大的两篇文章,很屌我一直很关注瑞克的博客,自从他已开始发布dotnet保护文章开始,因为我也很关注这方面的技术。毕竟是BCG的成员嘛,哈哈哈,看到瑞克终于把 DNGuard HVM 推出,于是就小试一把。看看他把自己的软件说的很棒,到底做到什么保护程度。 不过由于时间有限,我只研究了一个开头,不过我会继续向下深入的分析的。 废话少说,言归正传: 拿到 DNGuard HVM ...
mscorjit的介绍,兼对某壳企业版的分析
weixin_33965305的博客
01-08 271
在前面介绍mscorwks的时提到了,.net的程序是以函数为单位编译。而在 mscorjit中提供了一个函数 compileMethod 。mscorwks就是通过调用这个函数来编译.Net方法的。对于EE层,或者虚拟机预处理层的加密壳,只需要hook这个函数就可以dump出方法体的代码了。需要注意一点,这个函数是 thiscall 调用约定的。 .Net方法体进入 compileMethod...
预处理器指令 (合集)
理性的幻想
12-12 1335
----------------------------------------------------------------------------------------------------------------------------------------------------------------------- 几个特殊的预处理器指令:#error,#line,#imp
http://www.cnblogs.com/peterzb/archive/2009/07/19/1526555.html
liuzheng2684的专栏
02-18 1067
<br />C# WinForm开发系列 - GDI+ Posted on 2009-07-19 15:23 peterzb 阅读(7421) 评论(4) 编辑 收藏 <br />  UI(User Interface)编程在整个项目开发过程中是个颇为重要的环节,任何好的解决方案若没有良好的用户界面呈现给最终用户,那么就算包含了最先进的技术也不能算是好程序。UI编程体现在两个方面,一是设计精美的用户界面,再有就是符合大多数用户习惯和易于使用的操作流程. 本文主要收集整理一些介绍 .Net 框架的基本绘图技
认识元数据和IL(下)<第五篇>
07-03 128
认识元数据和IL(下)<第五篇> 书接上回: 第二十四回:认识元数据和IL(上) , 第二十五回:认识元数据和IL(中) 我们继续。 终于到了,说说元数据和IL在JIT编译时的角色了,虽然两个回合的铺垫未免铺张,但是却丝毫不为过,因为只有充分的认知...
使用Coding4Fun工具包
weixin_33912445的博客
10-19 186
Coding4Fun是一款很受WP开发者喜爱的开源类库,对于开发者来说,Coding4Fun上手很简单。只要从CodePlex下载Coding4Fun工具包,下载完成后,解压文件到一个文件夹中,里面有4个dll文件,列表如下: 新建一个Windows Phone 7项目,然后右键“引用”添加dll引用: ProgressOverlay 动画 添加dll引用之后,我们就可以开始了,当我...
CLR R1是什么意思
最新发布
06-13
"R1"通常是指 CLR 的早期版本,"R"代表"Runtime",而数字"1"在这里表示它可能是第一个主要发布版本或者代号。 具体来说,CLR R1可能指代的是 .NET Framework 的最初发布版本,也就是.NET框架的第一个正式发布,它...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值