7

此问题仅用于教育目的。
我知道本机程序是如何工作的。编译器获取每个原语并给它一个地址,然后在程序中使用该地址。对于结构,它只是将地址堆叠在一起(带有一些填充) - 但基本上,结构并不真正“存在”。

本机程序不会告诉我它有哪些字段和变量。它只访问不同的地址——如果我查看程序集,我可以根据需要命名每个地址,但程序不会给我这些信息。所以假设我正在寻找一个特定的变量,如果不检查程序的执行,或者它的程序集,我就无法做到这一点。

.NET 环境确实告诉我它有哪些变量以及它有哪些字段。AssemblyReflection命名空间,我可以加载一个文件并查看它有哪些字段和类。
然后,使用搜索内存的程序(无论是否是本机),我可以找到该字段的物理位置(通过使用它的值,过滤掉等) - 就像这样Cheat Engine做。它将为我提供内存中字段的实际地址,该地址由JIT.
我知道 MSIL 不包含有关特定字段所需位置的信息。我也几乎可以肯定,JIT永远不会通过删除任何类来优化代码。

我知道 .NET 调试器是程序中的一个实际类,它允许Visual Studio与应用程序的内部信息进行交互。当调试器丢失时,Visual Studio无法读取或写入字段,也无法以任何方式检查应用程序。


有没有什么方法可以在不使用Cheat Engine或类似工具的情况下找到正在运行的.NET 进程中静态(或特定实例)类中字段的物理位置每次执行后地址是否相同(例如在本机程序中)?它可能仅在不同的平台或机器上有所不同吗?如何决定放置字段的位置?JIT

如果我不清楚,我希望在不访问程序代码的情况下执行此操作,即在外部由另一个进程(如调试器,但对于在发行版下编译的程序)。

4

1 回答 1

0

接下来代码在 Paint.net 中注入 Injector 方法并获取 MainForm 字段。

NInject.exe

public static int Injector(string parameter)
{
  try
  {
    var mainForm = Application.OpenForms.OfType<Form>().FirstOrDefault(form => form.GetType().FullName.EndsWith("MainForm"));

    var builder = new StringBuilder();
    builder.AppendFormat("process: {0}\r\n\r\n", Application.ExecutablePath);
    builder.AppendFormat("type: {0}\r\n", mainForm.GetType().FullName);
    foreach (var field in mainForm.GetType().GetFields(BindingFlags.Instance | BindingFlags.Public | BindingFlags.NonPublic))
    {
      builder.AppendFormat("field {0}: {1}\r\n", field.Name, field.GetValue(mainForm));
    }


    new Form()
    {
      Controls = 
      {
        new TextBox
        {
          Text = builder.ToString(),
          Multiline = true,
          Dock = DockStyle.Fill
        }
      }
    }
    .ShowDialog();
  }
  catch (Exception exc)
  {
    MessageBox.Show(exc.ToString());
  }
  return 0;      
}

static void Main(string[] args)
{
  var process = System.Diagnostics.Process.GetProcessesByName("PaintDotNet").FirstOrDefault();

  var processHandle = OpenProcess(ProcessAccessFlags.All, false, process.Id);

  var proxyPath = System.IO.Path.Combine(System.Windows.Forms.Application.StartupPath, "NInjector.dll");

  var pathBytes = System.Text.Encoding.ASCII.GetBytes(proxyPath);

  var remoteBuffer = VirtualAllocEx(processHandle, IntPtr.Zero, (uint)pathBytes.Length, AllocationType.Commit, MemoryProtection.ReadWrite);
  WriteProcessMemory(process.Handle, remoteBuffer, pathBytes, (uint)pathBytes.Length, IntPtr.Zero);


  var remoteThread = CreateRemoteThread(processHandle, IntPtr.Zero, 0, GetProcAddress(GetModuleHandle("kernel32"), "LoadLibraryA") , remoteBuffer, 0, IntPtr.Zero);

  WaitForSingleObject(remoteThread, unchecked((uint)-1)); 

  CloseHandle(remoteThread);

}

NInjector.dll(本机)

#include "MSCorEE.h"
#pragma comment  (lib, "MSCorEE")

void StartTheDotNetRuntime()
{
    MessageBox(0, L"Started", L"proxy", 0);

    ICLRRuntimeHost *pClrHost = NULL;
    HRESULT hr = CorBindToRuntimeEx(
        NULL, L"wks", 0, CLSID_CLRRuntimeHost,
        IID_ICLRRuntimeHost, (PVOID*)&pClrHost);


    hr = pClrHost->Start();


    DWORD dwRet = 0;
    hr = pClrHost->ExecuteInDefaultAppDomain(
        L"bla-bla\\NInject.exe",
        L"NInject.NInject_Program", L"Injector", L"MyParameter", &dwRet);



    hr = pClrHost->Stop();

    pClrHost->Release();
}


BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
                     )
{
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:
    StartTheDotNetRuntime();
    break;
    case DLL_THREAD_ATTACH:
    break;
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:


        break;
    }
    return TRUE;
}

输出:

process: C:\Program Files\Paint.NET\PaintDotNet.exe

type: PaintDotNet.Dialogs.MainForm
field appWorkspace: PaintDotNet.Controls.AppWorkspace
field defaultButton: System.Windows.Forms.Button, Text: 
field floaters: PaintDotNet.Dialogs.FloatingToolForm[]
field floaterOpacityTimer:  [System.Windows.Forms.Timer], Interval: 25
field deferredInitializationTimer: 
field components: System.ComponentModel.Container
field killAfterInit: False
field singleInstanceManager: PaintDotNet.SystemLayer.SingleInstanceManager
field queuedInstanceMessages: System.Collections.Generic.List`1[System.String]
field processingOpen: False
field scrollPosition: {X=0,Y=0}
于 2012-07-26T22:09:39.743 回答