Windbg之探索托管exe加载及函数JIT的过程

最新推荐文章于 2019-05-25 15:46:05 发布
最新推荐文章于 2019-05-25 15:46:05 发布
阅读量76 收藏
点赞数

类似的文章网上已经汗牛充栋了,但作为个人的一个学习经历,我觉得还是有必要记录一下为好。

使用到的工具: Peview   windbg

目标程序 ILText.exe

目标程序源码:

using System;
using System.Collections.Generic;
using System.Text;

namespace ILTest
{
    public class HelloWorld
    {
        private static long n1;
        private static long n2 = DateTime.Now.Ticks;
        private static long n3 = DateTime.Now.Ticks;
        private readonly static string ConstValue = "testStatic";

       static HelloWorld()
        {
            n1 = DateTime.Now.Ticks;
        }

        private static void staticMethod(int n)
        {
            Console.WriteLine(n);
        }

        protected string Method1()
        {
            return null;
        }

        private string Method2()
        {
            int n;
            string str;

            str = DateTime.Now.ToString();
            n = DateTime.Now.Year;

            return null;
        }

        static void Main(string[] args)
        {
            Console.WriteLine("Hello, world.");

            HelloWorld obj = new HelloWorld();
            obj.Method2();

            HelloWorld.staticMethod(10);

            Console.ReadLine();
        }
    }
}

 

首先我们使用peview打开一个exe

 

 

image

我们可以看到该程序的入口点的偏移地址是299e.

然后我们使用windbg,选打开可执行文件,选上我们的目标exe文件。

敲入以下几个命令:

~0s

.load sos

ld iltest

ld mscoree

.load/ld mscorwks

ld kernel32

lm

image

可以看到该exe 的首地址是00400000,加上偏移地址等于是0040299e,ok,我们查看下该地址的汇编码:

u 0040299e

image

可以看到里边是一个简单的跳转指令,跳转到00402000, 用dds (Display Words and Symbols)查看一下该地址存了什么:

dds 00402000

image

至此,已经已经非常清楚了。任何托管的EXE程序中的入口点都是一条JMP指令直接跳转到MSCOREE.DLL的_CorExeMain函数执行。

 

接下来,我们继续探索JIT的过程。

Don Box 在《.NET本质论 第1卷:公共语言运行库》的第六章中提到方法表在JIT 之前,保存的都是 call mscorwks.dll!PreStubWorker 调用,直到第一次使用时,才会对目标 IL 代码进行 JIT 编译,并调用之。因此我们第一步可以在此函数上设置断点(bu mscorwks!PreStubWorker),看看系统是如何调用此函数的。

bu mscorwks!PreStubWorker

image

然后输入g命令,接着用!clrstack命令查看当前托管代码的堆栈,直到运行到Method2方法被调用。

或者我们可以采用另外一种方法,直接给托管方法Method2设断点。image

然后我们可以查看HellowWorld的实例对应的methodtable,来查看method2在JIT之前存储的是什么。

!dso

image

!do 013a3834

image

!dumpmt -md 00a63098

image 

可以看出,method2还没有被JIT过,我们看看此时它对应出的执行代码是什么。注意标记处的指令,第一条指令的地址来源于上图。

image

至此,可以看出method2还没有被JIT的情况下,会被引导至mscorwks,然后执行JIT.

我们继续输入g,让程序继续运行。

image

然后此时再查看methodtable

!dumpmt -md 00a63098

image

可以看出来method2已经被JIT了,另外跟上一次执行同样的命令比较,发现此次method2对应的entry已经变成了00da0180.

用dumpmd看看该方法

image

也一样可以看出方法已经被JIT,m_CodeOrIL此时存放的就是该方法的汇编码。我们看下对应的汇编代码是什么吧:

!u 00da0180  

image

至此,我们应该已经看出来了,method2在JIT前后的入口点地址发生了变化,这就符合我们在很多文章所看到的,一个方法是以IL形式存放到托管模块中的,当第一次访问后,该方法会被JIT,生成相应的汇编码,之后的再次调用的话,就会直接方法JIT过的汇编地址。

那么,该地址既然有变化,是否意味着那么多调用 该方法的地方,相应的地址(method2的entry)也要变化呢?

我们可以看看本段代码中的Main方法对应的汇编码:

从上边的执行结果中我们可以查到main方法对应的入口地址是00da0100。

!u 00da0100  

image

可以看出,method2对应的入口地址应该存放在0A630DCh中,我们看看该内存区域的东东:

image

咦,是00da0180,这个不正是我们上边已经查到的method2对应的entry么? 它是通过运行时计算得来的,因此,我们可以猜测,在JIT之前,0A630DCh存放的一定是00a6c01d。因此,也就不存在说调用方改变相应地址这回事了。

weixin_34195142
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WinDbg探索CLR世界 [3] 跟踪方法的 JIT 过程
tanliyoung的专栏
05-06 1075
WinDbg探索CLR世界 [3] 跟踪方法的 JIT 过程    本来想按照 sos 的帮助文件上命令的分类逐步介绍 WinDbg 下使用 sos 调试 CLR 程序,但发现这样实在不够直观。索性改成根据我分析 CLR 的实际案例,step by step 介绍功能,这样结构上虽然混乱一点,但更直观,也易于上手 :P      前面两篇文章里面分别介绍了 WinDbg 的调试配置和线
windbg 常用命令详解
热门推荐
chenyujing1234的专栏
07-13 8万+
一、 1、 !address eax 查看对应内存页的属性   2、 vertarget 显示当前进程的大致信息 3 !peb 显示process Environment Block     4、 lmvm 可以查看任意一个dll的详细信息 例如:我们查看cyusb.sys的信息 5.reload /!sym 符号文件 6、 l
设置winDbg为及时调试器JIT
lxhuster_csdn的博客
11-13 7341
目标:崩溃自动调用winDbg 1> 检查注册表,将AeDebug下Auto和Debugger键值删除 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug 2> 设置winDbgJIT调试器 使用命令行带 -I 参数启动winDbg 3> 程序崩溃自动启动winDbg
windbg技巧:列出当前进程所有装的模块(dll/exe)
董盼山的专栏
07-16 3016
调试的时候想要知道当前进程装了哪些模块,每个模块被装的代码地址段是在哪个范围,可以使用lm命令。 拿notepad为例,输入lm命令可以发现: 0:001> lm start end module name 00830000 00858000 notepad (pdb symbols) c:\debuggers\externalsymbols\notepad.pdb\
Windbg调试命令详解
Boy_Kris的专栏
02-28 2409
注明>> 【作者:张佩】【原文:http://www.yiiyee.cn/Blog】 1. 概述 用户成功安装微软Windows调试工具集后,能够在安装目录下发现四个调试器程序,分别是:cdb.exe、ntsd.exe、kd.exeWindbg.exe。其中cdb.exe和ntsd.exe只能调试用户程序,Kd.exe主要用于内核调试,有时候也用于用户态调试,上述三者的一个共
windbg.exe用于下安装
07-22
windbg.exe用于下安装
windbg符号问题
02-02
符号是windbg工作的重要依据,缺少调试符号,windbg有可能显示错误的结果。这是设置本地符号目录,以及定义符号服务器
WinDbg使用之详细说明
04-12
WinDbg使用之详细说明
windbg.exe
12-26
微软的御用调试工具,windbg.exe,需要的就下吧!!!!!!!
最新版WinDbg离线安装包
最新发布
11-07
最新版WinDbg离线安装包
【Tools】WinDbg--gflags调试工具使用方法
CSDN明星博主,认证博客专家,视频、Matlab领域优质创作者。
01-21 3840
http://blog.csdn.net/lunasea0_0/article/details/6292968http://blog.csdn.net/zhufangyou/article/details/6563878http://blog.csdn.net/hgy413/article/details/9137771https://www.cnblogs.com/cswuyg/archive/
《格蠹汇编》读书笔记—windbg的使用
u012138730的专栏
05-25 5129
1.注册表设置 注册表设置 要调试的exe的 debugger 为 x86的windbg 打开注册表,在[运行] (win+ R)中输入 regedit,找到下面这个路径: 比如想要调试test.exe, 就新建一个test.exe 文件夹,并新建 一个 字符串值的键,名称为 Debugger,值为 windbg所在的路径 2.打开windbg,需要设置这三个路径,但是这个...
通过windbg查看.net程序的过程
weixin_33841722的博客
04-28 88
先列出我的windbg的配置 C:\WINDOWS\Symbols;C:\Program Files\Microsoft Visual Studio8\SDK\v2.0\symbols;srv*e:\symbols*http://msdl.microsoft.com/download/symbols;e:\symbols;C:\Inetpub\wwwroot\wss\VirtualDirecto...
设置winDbg为即时调试器JIT
09-05 1846
http://blog.csdn.net/lxhuster_csdn/article/details/53153855  http://blog.csdn.net/shuixin536/article/details/5694410
Windbg 自动到启动的进程
aoebug的博客
07-22 2230
有时候你的dll需要注入到别人的exe中,使用ida是可以进行源码调试的,发现使用windbg来进行源码调试更方便现在把这些记下来备忘吧,自己的dll注入到别人的exe中经常需要exe在启动的时候就能够使用windbg断下来查看当前情况,两步就可以完成。以要注入的exe名称为ABC.exe为例:        首先在注册表中创建一项,在HKEY_LOCAL_MACHINE/SOFTWA
WinDbg查找某个软件功能使用那个函数
06-13
使用 WinDbg 查找某个软件功能使用了哪个函数,可以按照以下步骤进行: 1. 打开 WinDbg,然后选择“File”->“Attach to a Process”来附到目标软件的进程。 2. 在 WinDbg 中输入“!loadby sos clr”,以 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值