Sahip olduğum bir EXE veya DLL kodunun yönetilip yönetilmediğini nasıl hızlı bir şekilde anlarım?
Son zamanlarda bir dosyayı parçalarına ayırmaya çalışırken biraz zaman geçirdim ve daha sonra koddaki bazı izlerden öğrendim tüm bu işi atlayıp sadece ILspy kullanabilirdi. Bu deneyimi gelecekte tekrarlamaktan nasıl kaçınabilirim?
PE başlığında offset 0xE8 (32-bit) veya 0xF8 (64-bit) 'de dword'ü kontrol edin. Sıfır değilse, CLR başlığının göstericisidir. Bu, yönetilen bir dosyadır (buraya rastgele veri koyamazsınız çünkü doğrudan .NET ayrıştırma desteği XP ve sonrasında yerleşiktir, bu nedenle veriler geçerli değilse dosya yüklenmez). Mscoree.dll'nin varlığı tek başına yeterli değildir, çünkü uygulama yönetilen dosyalarla bir şeyler yapıyor ancak kendi başına yönetilemiyor olabilir.
alıntıdırYönetilen bir DLL / Uygulama, MSCOREE.dll üzerinde birincil bağımlılığa sahip olacaktır ... Bu nedenle, DLL'yi Bağımlılık Yürütücüsü'nde açarsanız, yönetilmeyen bir kitaplıktan yönetilen bir kitaplığı söylemekte sorun yaşamazsınız. >
http://www.dependencywalker.com/
PE başlığının veri dizini kısmındaki DataDirectory [IMAGE_DIRECTORY_ENTRY_COM_DESCRIPTOR] .VirtualAddress 'i sıfırdan farklı bir değer için kontrol etmek muhtemelen en hızlı yoldur.
#define IMAGE_DIRECTORY_ENTRY_COM_DESCRIPTOR 14 // COM Çalışma zamanı tanımlayıcısı
Referanslar:
Manuel olarak, PE başlığında aşağıdaki işaretleri görmeyi tercih ediyorum:
1- mscoree! _CorExeMain öğesinin içe aktarma tablosu .
2- CLR Başlığının Sanal Adresi ve Boyutu / * Com Tanımlayıcı * veri dizini ayarlandı. Boyut 0x48”.
3- Base Relocation veri dizininin boyutu 0x0C olarak ayarlandı, yani Yalnızca bir hata düzeltme.
Ayrıca, küçük bir işaret şudur:
4- SectionAlignment 0x2000 olarak ayarlanmış.
Önce ILSpy'da açmayı deneyin. Montajın yönetilip yönetilmediğini size söylemelidir.
Şu ana kadar bulduğum en hızlı sezgisel yöntem, mscoree.dll dosyasını içe aktarıp aktarmadığını kontrol etmekti.
mscoree.dll sürüm kaynağında Microsoft buna Microsoft .NET Runtime Execution Engine adını verir.
Peter feribotlarının yanıtına ek olarak, aynı şeyi kontrol etmek için bazı python kodları:
import sysdef unpack (bayt): dönüş toplamı ([ord (b) << (8 * i) i, b için numaralandırmada (bayt)]) eğer len (sys.argv) == 1: print >> sys.stderr, "Girdi dosyası verilmedi!" else: myfile = sys.argv [1] open (myfile, "r") f: f.seek (0x3c) peoffset = unpack (f.read (2)) optoffset = peoffset + 24 f.seek (optoffset) magic = f.read (2) offset = -1 eğer magic = = '\ x0b \ x01': offset = 208 + optoffset else: offset = 224 + optoffset f.seek (offset) clr_address = unpack (f.read (4)) eğer clr_address == 0: "yönetilen yürütülebilir dosya yok" ise yazdır : "yönetilen yürütülebilir" yazdır
CorFlags.exe, Windows SDK ile birlikte gelen bir yardımcı programdır. Söz konusu dosyanın adını aktarmayı yürütün ve bu, yönetilen bir dosya ise, size Dotnet çerçevesinin hangi sürümünü kullandığını ve dosyanın tümünün yönetilen kod mu yoksa karma mod mu olduğunu, imzalı olup olmadığını ve birkaçını söyleyecektir. diğer yararlı bilgiler.