当前位置: 欣欣网 > 码农

调用.NET9 JIT未导出函数

2024-03-22码农

点击上方 蓝字 江湖评谈 设为关注




前言

非托管动态库的导出函数,一般是可以直接加载调用的函数。但是如果未导出的呢?比如,想调用.NET9 JIT非托管DLL里面的一个未导出(No extern)的函数。如何做呢?本篇看下

例子

一个简单的示例说明:

//文件DaoChu.cpp#include<stdio.h>#include<Windows.h>intmax1(int a, int b){return a > b ? a : b;}extern"C" __declspec(dllexport) voidABCD(){printf("call ABCD");}intmax2(int a, int b){return a > b ? a : b;}intmain(){printf("%d\n", max1(1, 2));printf("%d\n", max2(1, 2)); getchar();return0;}

以上生成DaoChu.dll非托管。 这里有三个函数:max1,max2,ABCD。只有ABCD函数标记了( extern "C" __declspec(dllexport)) 导出。所以通过非托管DLL调用的话也只能ABCD才能调用得到。

HMODULE h = LoadLibraryExA((LPCSTR)"DaoChu.dll", NULL, 0);pFunc pc = (pFunc)GetProcAddress(h, "ABCD");

有没有可能调用max1,max2函数呢?当然有,可以借助导出函数的偏移来计算未导出的函数地址。MSCV编译器有一个规律,当一个函数调用的时候,比如max1函数,帧栈如下:

00007FF7FD1119E5 E8 FB F7 FF FF call max1 (07FF7FD1111E5h)

它这里的地址07FF7FD1111E5h会跳到一个都是jmp的中转地址,下面代码最后一行是ABCD函数的帧栈中转,第一行是max1函数帧栈中转。

00007FF7FD1111E5E9 E6 05 00 00 jmp max1 (07FF7FD1117D0h) 00007FF7FD1111EAE9 F1 49 00 00 jmp __scrt_stub_for_is_c_termination_complete (07FF7FD115BE0h) 00007FF7FD1111EFE9 3C 2C 00 00 jmp _get_startup_argv_mode (07FF7FD113E30h) 00007FF7FD1111F4E9 67 30 00 00 jmp __scrt_initialize_winrt (07FF7FD114260h) 00007FF7FD1111F9E9 22 1D 00 00 jmp __raise_securityfailure (07FF7FD112F20h) 00007FF7FD1111FEE9 2D 32 00 00 jmp _RTC_Initialize (07FF7FD114430h) 00007FF7FD111203E9 14 48 00 00 jmp __stdio_common_vfprintf (07FF7FD115A1Ch) 00007FF7FD111208E9 57 48 00 00 jmp _exit (07FF7FD115A64h) 00007FF7FD11120DE9 1E 1C 00 00 jmp sprintf_s (07FF7FD112E30h) 00007FF7FD111212E9 25 49 00 00 jmp QueryPerformanceCounter (07FF7FD115B3Ch) 00007FF7FD111217E9 08 49 00 00 jmp SetUnhandledExceptionFilter (07FF7FD115B24h) 00007FF7FD11121CE9 5F 0B 00 00 jmp _CRT_RTC_INIT (07FF7FD111D80h) 00007FF7FD111221E9 6A 11 00 00 jmp __scrt_narrow_argv_policy::configure_argv (07FF7FD112390h) 00007FF7FD111226E9 0F 48 00 00 jmp __setusermatherr (07FF7FD115A3Ah) 00007FF7FD11122BE9 60 32 00 00 jmp _RTC_Terminate (07FF7FD114490h) 00007FF7FD111230E9 ED 47 00 00 jmp _CrtDbgReport (07FF7FD115A22h) 00007FF7FD111235E9 26 2D 00 00 jmp __scrt_is_user_matherr_present (07FF7FD113F60h) 00007FF7FD11123AE9 01 31 00 00 jmp __scrt_set_unhandled_exception_filter (07FF7FD114340h) 00007FF7FD11123FE9 B4 47 00 00 jmp __current_exception_context (07FF7FD1159F8h) 00007FF7FD111244E9 75 48 00 00 jmp _register_onexit_function (07FF7FD115ABEh) 00007FF7FD111249E9 62 49 00 00 jmp __scrt_stub_for_acrt_thread_detach (07FF7FD115BB0h) 00007FF7FD11124EE9 71 48 00 00 jmp _execute_onexit_table (07FF7FD115AC4h) 00007FF7FD111253E9 68 49 00 00 jmp __scrt_stub_for_acrt_uninitialize (07FF7FD115BC0h) 00007FF7FD111258E9 15 49 00 00 jmp GetProcessHeap (07FF7FD115B72h) 00007FF7FD11125DE9 4E 06 00 00 jmp ABCD (07FF7FD1118B0h)

这个帧栈中转在MSVC里面是固定的,我们只需要知道导出函数ABCD的帧栈中转地址距离max1函数帧栈中转地址的偏移,即可调用max1函数。很明显本例是0x78. 把它改 造成函数指针:

//函数指针typedefint(*compare)(int a, int b);typedefvoid(*pFunc)();extern"C"intZW(int u1, int u2)//实际代码 HMODULE h = LoadLibraryExA((LPCSTR)"DaoChu.dll", NULL, 0); pFunc pc = (pFunc)GetProcAddress(h, "ABCD");char* p = (char*)pc; p = p - 0x78; compare ce = (compare)p; ZW(2,3); ce(12);

原理呢,也非常简单。先获取到导出函数的函数地址,然后通过这个地址计算出未导出函数的地址。因为帧栈中转调用,ZW函数返回有无问题?实际上根据本例,栈的扩展(rsp-0x20)在被调用的函数里面,所以这里是没有问题的。

但是其它问题呢?比如帧栈中转实际上是已经传参过了,为实际使用参数的中间过程。获取到的这个地址,参数是已经固定住了。为了让这个参数用到我们自己的传参,所这里还需,嵌入汇编代码,即是上面的ZW调用:

//文件x64asm.asm.CODE ;ZWPROC ;addrcx,rcx;movrdx,rdx;ret;ZW ENDP ;END;

右击x64asm.asm-】属性-】从生成项目中排除选择否

右击x64asm.asm-】属性-】项类型-】Microsoft Macro Assembler .

JIT

JIT一般的在如下路径:

C:\ProgramFiles\dotnet\shared\Microsoft.NETCore.App\8.0.2\clrjit.dll

clrjit.dll里面包含了所有JIT操控,C++代码高达几十万行。但是它只导出区区五个函数

getJitgetLikely classesgetLikelyMethodsjitBuildStringjitStartup

这里面有成百上千的函数,如果要调用其它的未导出如何做呢?JIT的C++里面引入了Cmake代码,所以它的生成跟MSVC又有不同之处(这里需要着重注意MSVC与Cmake的不同,但是原理相通),JIT没有帧栈中转。根据上面的例子的原理,只需要知道一个导出函数的地址,以及在实际运行的时候距离另外一个函数偏移。这里以导出函数jitStartup计算未导出函数dumpILRange的函数地址。

//jitStartup函数指针声明和原型typedefvoid(*jitStartup)(void* jitHost);extern"C"DLLEXPORT voidjitStartup(ICorJitHost* jitHost){if (g_jitInitialized) {if (jitHost != g_jitHost) { JitConfig.destroy(g_jitHost); JitConfig.initialize(jitHost); g_jitHost = jitHost; }return; }#ifdef HOST_UNIXint err = PAL_InitializeDLL();if (err != 0) {return; }#endif g_jitHost = jitHost; assert(!JitConfig.isInitialized()); JitConfig.initialize(jitHost); Compiler::compStartup(); g_jitInitialized = true;}//dumpILRange函数指针声明和原型typedefvoid(*dumpILRange)(const BYTE* const codeAddr, unsigned codeSize);voiddumpILRange(const BYTE* const codeAddr, unsigned codeSize)// in bytes{for (IL_OFFSET offs = 0; offs < codeSize;) {char prefix[100]; sprintf_s(prefix, ArrLen(prefix), "IL_x ", offs);unsigned codeBytesDumped = dumpSingleInstr(codeAddr, offs, prefix); offs += codeBytesDumped; }}//实际代码HMODULE h1 = LoadLibraryExA((LPCSTR)"C:\Program Files\dotnet\shared\Microsoft.NETCore.App\8.0.2\clrjit.dll", NULL, 0);char* p1 = (char*)(jitStartup)GetProcAddress(h1, "jitStartup");p1 = p1 + 0x2B6380;dumpILRange dumpil = (dumpILRange)p1;

但是实际上我们可能需要做更多,比如JIT环境变量的事先设置,否则即使获取到函数地址,也依然会有报错的情况。也就是说尽量满足未导出函数的函数里面所有调用情况的可能,才可能顺利调用未导出函数。

往期精彩