mscorjit的介紹，兼對某殼企業版的分析

在前面介紹mscorwks的時提到了，.net的程式是以函數為機關編譯。而在 mscorjit中提供了一個函數

compileMethod 。mscorwks就是通過調用這個函數來編譯.Net方法的。

對于EE層，或者虛拟機預處理層的加密殼，隻需要hook這個函數就可以dump出方法體的代碼了。

需要注意一點，這個函數是 thiscall 調用約定的。

.Net方法體進入 compileMethod  之後是怎麼樣的處理流程呢？

限于篇幅，這裡隻能簡單介紹一下，具體詳情可以參考 sscli 2.0的源代碼。

compileMethod 實際上隻是一個接口函數，它沒有做實際什麼工作，

隻是簡單的 調用另一個函數：jitNativeCode。

在jitNativeCode 函數是一個線程安全的函數，在它裡面實際上隻是做了一些準備工作。

安裝異常處理，然後執行個體化一個Complier對象。初始化Complier類，再調用

這個類的一個成員函數 compCompile 。

在 compCompile 就開始了實際的編譯工作。

是以hook jit來實作脫殼的話，我們有三個選項：

 hook compileMethod  (thiscall)

 hook jitNativeCode (fastcall)

 hook compCompile (thiscall)

對于這三個方案 實作脫殼是完全一樣的。在這三個函數裡面我們都能夠擷取到脫殼所需要的結構體。

實際上脫殼需要的結構體是 CORINFO_METHOD_STRUCT，CORINFO_MODULE_STRUCT，CORINFO_METHOD_INFO這三個。

我在脫某殼個人版加密的程式時是采用的方法2，hook jitNativeCode 函數。

hook方法：采用的替換方式，即直接修改 compileMethod  函數，将 call jitNativeCode 改為 call myhook。

在 myhook函數裡面處理脫殼工作，然後再調用 call jitNativeCode 。

實際上有一個技巧。一般我們通過反射invoke讓一個方法體進入jit處理過程的，然後在 myhook 裡面截取dump方法體。

假設我們在dump一個 Exit函數時，如果讓它執行了會導緻程序退出，因為invoke會執行方法，而我們需要的隻是讓方法體進入

jit處理過程，以方法dump，而不希望這個方法被執行。是以我們可以不用回調 jitNativeCode 函數，直接傳回一個nop位址。

maxtocode 2007企業版具稱是虛拟機處理層的殼，那它在虛拟機處理層做了什麼工作呢？

具分析 mscorjit.dll 的記憶體鏡像，它實際上做了和 jit層脫殼 差不多的工作，

同時使用了 方案2 和 方案 3. 顯然它hook jit的目的不是脫殼，而是實作 方法體的還原。

我們可以很容易确定 在程式運作到 compCompile 中後，加密殼的運作庫已經完成了所有解密工作，

是以在 compCompile 函數裡面，或者它下級的函數裡面是脫殼的好時機。

如是我修改了一下jithook程式，隻改了hook位置，即hook compCompile 的下級函數。

然後測試dump。效果如下：

可以dump出源代碼。

看來企業版相對個人版來說隻是hook位置的變化，對于脫殼來說，基本上沒有增加任何難度，

我們也隻需要更改一下hook位置，就可以dump了。

另外發現企業版運作庫的一個bug，可以用簡單的方法脫殼。