知识大全 mscorwks.dll在.Net中的地位

Posted 2022-07-21 函数

篇首语：游手好闲地学习，并不比学习游手好闲好。本文由小常识网(cha138.com)小编为大家整理，主要介绍了知识大全 mscorwks.dll在.Net中的地位相关的知识，希望对你有一定的参考价值。

mscorwks.dll在.Net中的地位 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容，让我们赶快一起来看一下吧！

mscorwks dll是dotNet的核心文件尤其是在net 中以前分散的功能都集中到了这个dll中 net 中还有一个文件mscorsvr dll 和 mscorwks dll 是同等地位的它们分别对应于 windows service程序以及 desktop 程序在net 中它们都统一到了 mscorwks dll中同时在net 中mscorsn dll 的功能也合并到了 mscorwks dll中它就是dotnet运行库的核心 DotNet的执行引擎（ee）内部对象的实现都在这个dll里面在我们用reflector查看dotnet类库源代码时经常会遇到一些函数看不到源代码只是标记成内部实现这些函数基本上实际实现的代码就在这个dll里面是native实现的如反射功能的相关对象以及实现就是这里面 net程序的执行主要由它来完成还有另外一个重要的文件mscorjit dll 被它所调用现在我们把 mscorwks dll 分成两个区 A 和 B A 是主要执行引擎（ee）和native 实现 B 是ee调用jit的处理部分 net 的反射功能是在A区实现的加密壳如果要实现完美的兼容性（即不破坏DotNet本身的任何功能和特性）就应该在 A 区挂入其内核在A区有一个函数实现获取方法体的内容 ee层需要取得方法体内容是通过这个函数来获得的因此完美的方法就是替换这个函数用加密壳的内核实现这个函数这样的最大缺点就是反射漏洞因为反射也是调用这个函数取得方法体的在这个基础上要要破坏反射有什么办法呢？在反射是需要调用Method的成员函数GetMethodBody 这个函数是native实现的就在mscorwks dll中因此加密壳可以hook这个函数做一些预防处理但是效果不理想破解者可以恢复这个函数的原始实现还有一个方法不是完美但是有效即不直接替换获取方法体的函数而是只替换编译前获取方法体的地方这样只在要编译方法时才提供内核解密服务效果如何？也不太理想破解这可以修改反射的实现函数直接jmp到加密壳的内核服务这种方式就是DNGuard v 采用的方法似乎也是某壳目前版本的方法当然 DNGuard 还简单的加入了放内存修改不过这个效果也能太乐观破解者也能够把这部分屏蔽掉因为反射在A区实现如果壳的内核也挂接A区反射就比较容易修复在我做DNGuard 之前我曾想过一种方法能使反射无效甚至难于修复即同时在内核挂接在 A 区和 B区先来介绍一下一个函数要被执行是是怎么个流程首先 EE会检查函数是否编译？编译了就直接调用了没有编译就进行编译由一个prestub实现然后EE取得方法体对方法头和SEH TAble进行简单解析转换成结构（这些在A区完成）进入B区调用Jit进行编译在A区ee只关系方法头和sehtable 而B区调用jit时 il字节码才有实际意义所以可以将内核分别挂接这两个区 A区中只提供header和seh B区中提供il字节码不过在我开始做DNGuard v 后就放弃了这个想法因为这样还是不安全参考这里深入Jit 实现dotNet代码的加解密不管内核是在A区还是B区如果一个加密壳的内核只限于在mscorwks dll进行挂接实现那么都无法脱逃 jit层脱壳机的脱壳我在写文章深入Jit 实现dotNet代码的加解密时已经进行过测试了今回到这里下回介绍mscorjit dll cha138/Article/program/ASP/201311/21707