【转】CLR和JIT的理解、.NET反汇编学习

CLR：通用语言运行时（Common Language Runtime）的简称，CLR是.NET框架的核心内容之一，可以把它看为一套标准资源，可以呗任何.NET程序使用。它包括：面向对象的编程模型、安全模型、类型系统（CTS）、所有.NET基类、程序执行及代码管理等。

我们可以这样理解，CLR是托管程序运行的环境，就像Windows是普通的PE程序的运行环境一样。
在Windows中，整个CLR系统的实现基本其实就是几个关键的DLL，比如mscorwks.dll、mscorjit.dll，它们共同的特点就是前缀均为mscor。

在win32中，可执行文件在开始运行时，有操作系统载入到内存中，然后运行文件中的.text代码，结束时有操作系统负责卸载。而在.NET下，这个过程却不大一样。用PE结构查看工具（这里使用PEiD）载入一个实例文件，观察导入表，可以发现整个表只引入了一个mscoree.dll中的一个方法：_CorExeMain。而这个方法，真是该可执行文件在win32意义上的入口点。

和win32程序一样，.NET可执行程序在运行初始，首先有Windows将PE载入内存，然后跳至_CorExeMain中执行。分水岭就在这，当代码跳至_CorExeMain中之后，程序运行进入了.NET的初始化阶段，经过一番准备工作，.NET框架便正式接管程序的运行了。

*********************************************************************

JIT：即时编译（Just In-Time
compile），这是.NET运行可执行程序的基本方式，也就是在需要运行的时候，才将对应的IL代码编译为本机指令。传入JIT的是IL代码，输出的是本机代码，所以部分加密软件通过挂钩JIT来进行IL加密，同时又保证程序正常运行。同解释执行的代码相比，JIT的执行效率要高很多。

说到这，我们先来了解下IL代码是从哪一个步骤得到的。

MSIL是将.NET代码转化为机器语言的一个中间过程。它是一种介于高级语言和基于Intel的汇编语言的伪汇编语言。当用户编译一个.NET程序时，编译器将源代码翻译成Microsoft
中间语言
(MSIL),它是一组可以有效地转换为本机代码且独立于CPU的指令。当执行这些指令时，实时（JIT）编译器将它们转化为CPU特定的代码。

也就是说，MSIL是一个中间语言，是由编译器编译而来的，属于第一个步骤（编译）的产物。

而当我们需要执行时，再将MSIL通过JIT即时编译成所需的机器指令来执行。

下面我们来看看MSIL的样子：

我们先用vs2012编写一个简单的控制台程序，hello world。

然后打开ildasm，具体步骤是这样的

输入命令后出现

我们将编译好的exe程序拖拽进ildasm中。

我们将程序进行转储，也就是传说中的dump

选择一些选项，然后保存

我们用记事本将保存的il文件打开，文件内容如下：

MSIL：微软中间语言（Microsoft Intermediate
Language），也被称作MSIL汇编。别看.NET框架很智能，其实它只认IL。无乱程序采用什么高级语言编写，都将被编译器编译为IL并保存在PE文件中。虽被称作汇编，但相比win32汇编语言，IL可谓是名副其实的高级语言：它支持面向对象，通常不直接操作内存地址，以堆栈机的方式运行。由于运行完全受.NET监控，因此IL属于托管（Managed）代码，与之对应的是本机代码，被称为非托管代码。

元数据：描述.NET程序运行说必需的一切信息的数据，包括版本、类型的各个成员（方法、字段、属性、事件）等。一个文件要称为有效的.NET可执行程序，必须包含正确的元数据定义。

我们来看看对应的hello world对应的元数据

// =============== CLASS MEMBERS DECLARATION ===================
 
.class private auto ansi beforefieldinit '观察导入表'.Program
       extends [mscorlib]System.Object
{
  .method private hidebysig static void  Main(string[] args) cil managed
  {
    .entrypoint
    // 代码大小       17 (0x11)
    .maxstack  8
    .language '{3F5162F8-07C6-11D3-9053-00C04FA302A1}', '{994B45C4-E6E9-11D2-903F-00C04FA302A1}', '{5A869D0B-6611-11D3-BD2A-0000F80849BD}'
    .line 13,13 : 13,47 'd:\\Pro\\CLR和JIT的理解\\观察导入表\\Program.cs'
    IL_0000:  ldstr      "hello world!"
    IL_0005:  call       void [mscorlib]System.Console::WriteLine(string)
    .line 14,14 : 13,31 ''
    IL_000a:  call       valuetype [mscorlib]System.ConsoleKeyInfo [mscorlib]System.Console::ReadKey()
    IL_000f:  pop
    .line 15,15 : 9,10 ''
    IL_0010:  ret
  } // end of method Program::Main
 
  .method public hidebysig specialname rtspecialname
          instance void  .ctor() cil managed
  {
    // 代码大小       7 (0x7)
    .maxstack  8
    IL_0000:  ldarg.0
    IL_0001:  call       instance void [mscorlib]System.Object::.ctor()
    IL_0006:  ret
  } // end of method Program::.ctor
 
} // end of class '观察导入表'.Program
 
// =============================================================

上面的代码中，首先通过.class关键字定义了Program类，于是编译器会在PE文件中保存Program类的元数据。接着，定义了Program类的两个方法.ctor和Main，元数据中也会体现这种隶属关系。

public hidebysig static void 限定了Main方法中的执行方式为公共、静态、无返回值（hidebysig暂时不讨论），这些限定也将被保存在元数据中。

Main方法中调用了System.Console的静态方法WirteLine用于输出字符串，元数据中必须体现这种调用。

以上内容来自：《微软.NET程序的加密与解密》，学习这些内容只是为了能更好的理解所学的C#内容，暂时不涉及逆向的问题。

原文;http://www.cnblogs.com/tk091/archive/2012/09/01/2666810.html