为什么要开这么一个系列,是因为他可以对.NET SDK中的方法进行外挂,这种技术对解决程序的一些疑难杂症特别有用,在.NET高级调试领域下大显神威,在我的训练营里也是花了一些篇幅来说这个,今天我准备用10篇左右来详细聊一聊,供学员和同行们欣赏,详细的文档参考:https://harmony.pardeike.net/articles/intro.html1. 概念摘要:为什么要开这么一个系列,是因为他可以对.NET SDK中的方法进行外挂,这种技术对解决程序的一些疑难杂症特别有用,在.NET高级调试领域下大显神威,在我的训练营里也是花了一些篇幅来说这个,今天我准备用10篇左右来详细聊一聊,供学员和同行们欣赏,详细的文档参考:
Harmony 是一个用于在运行时修补、替换和装饰 .NET 方法的库,兼容主流平台,比如 PC、Mac、Linux的32位和64位系统。它的注入模型图如下:
用 harmony 做外挂,肯定要知道注入的一些点位,常见的有:
前缀补丁(prefix)和后缀补丁(Postfix)
前缀补丁和后缀补丁非常好理解,就是我们理解的 AOP 功能,前者在原始方法执行前执行,后者是在原始方法执行后执行。
转译器补丁(Transpiler)
如果基本的 AOP 功能不能满足,这时候就必须更精细化的控制,对,就是直接修改 copy 之后的 il 代码,这个就比较🐂👃了,
终结器补丁(Finalizer)
如果构建出来的AOP补丁逻辑会抛异常的话,你又不想让这些异常污染正常的业务代码逻辑,这时候就可以用终结器补丁了,相当于对外屏蔽了人家不关心的东西,哈哈,否则容易造成恐慌。反向补丁(Reverse Patch)
如果说 AOP 是纵向扩展,那反向补丁就是横向扩展,它的原理就是在 DynamicMethod 方法之前生成一个动态代码(Proxy),后续再跟大家详细聊。1. 案例背景说了这么说,还是说一些比较实际的案例可能大家更感兴趣,我的一个 .NET 程序平时都是好好的,不知道为啥线程突然就暴涨到了1000+,现在很惶恐,不知道是什么逻辑导致的,我用 windbg 观察后发现是都是普通的Thread0:013> !t
ThreadCount: 1004
UnstartedThread: 0
BackgroundThread: 2
PendingThread: 0
DeadThread: 1
Hosted Runtime: no
Lock
DBG ID OSID ThreadOBJ State GC Mode GC Alloc Context Domain Count Apt Exception
0 1 53580000024A2661D790 2a020 Preemptive 0000000000000000:00000000000000000000024a26613dc0 -00001 MTA
11 2 66c 0000024A26687150 2b220 Preemptive 0000024A2AC04F88:0000024A2AC062B8 0000024a26613dc0 -00001 MTA (Finalizer)
XXXX 4 0 0000028ABF061250 1039820 Preemptive 0000000000000000:00000000000000000000024a26613dc0 -00001 Ukn (Threadpool Worker)
14 5 4f2c 0000028ABF0656C0 302b220 Preemptive 0000000000000000:00000000000000000000024a26613dc0 -00001 MTA (Threadpool Worker)
16 7 4ed8 0000028ABF069F40 202b020 Preemptive 0000000000000000:00000000000000000000024a26613dc0 -00001 MTA
17 8 44d8 0000028ABF08B110 202b020 Preemptive 0000000000000000:00000000000000000000024a26613dc0 -00001 MTA
18 9 47380000028ABD4BC640 202b020 Preemptive 0000000000000000:00000000000000000000024a26613dc0 -00001 MTA
19 10 201c 0000028ABD4BEAC0 202b020 Preemptive 0000000000000000:00000000000000000000024a26613dc0 -00001 MTA
20 11 49b0 0000028ABD4C0F80 202b020 Preemptive 0000000000000000:00000000000000000000024a26613dc0 -00001 MTA
21 12 43c8 0000028ABF08E1F0 202b020 Preemptive 0000000000000000:00000000000000000000024a26613dc0 -00001 MTA
22 13 50200000028ABF077170 202b020 Preemptive 0000000000000000:00000000000000000000024a26613dc0 -00001 MTA
23 14 3c48 0000028ABF07C820 202b020 Preemptive 0000000000000000:00000000000000000000024a26613dc0 -00001 MTA
24 15 43840000028ABF060BB0 202b020 Preemptive 0000000000000000:00000000000000000000024a26613dc0 -00001 MTA
...
10161003 5db4 0000028ABF7F9CD0 202b020 Preemptive 0000000000000000:00000000000000000000024a26613dc0 -00001 MTA
10171004 5db8 0000028ABF7FC190 202b020 Preemptive 0000000000000000:00000000000000000000024a26613dc0 -00001 MTA
人对一些未知的东西一般都很焦虑惶恐,那怎么反向找到是什么代码导致的呢?大家可以仔细想一想,既然有人开了Thread, 那必然要调用相应的 Start 方法,所以思路就很简单了,外挂Thread.Start方法就好,先用 ilspy 观察源码。
namespaceExample_19_6
{
internalclassProgram
{
staticvoidMain(string args)
{
// 创建 Harmony 实例
varharmony =newHarmony("com.example.threadhook");
// 应用补丁
harmony.PatchAll;
Task.Factory.StartNew( => { Test; });
Console.ReadLine;
}
staticvoidTest
{
// 测试线程
varthread =newThread( => Console.WriteLine("线程正在运行"));
thread.Start;
}
}
[HarmonyPatch(typeof(Thread), "Start", new Type[] { })]
publicclassThreadStartHook
{
// 前缀补丁 - 在原始方法执行前运行
publicstaticvoidPrefix(Thread __instance)
{
Console.WriteLine("");
Console.WriteLine($"即将启动线程: {__instance.ManagedThreadId}");
Console.WriteLine(Environment.StackTrace);
Console.WriteLine;
}
}
}
卦中的代码稍微解释一下:
ThreadStartHook 这个是注入的主体类,[HarmonyPatch(typeof(Thread), "Start", new Type { })]表示对无参的Thread.Start进行外挂。
Prefix 这个是本次问题的核心代码,它在 Thread.Start函数调用之前执行,其中__instance是当前 Thread 的 this 指针,为了能够捕获是谁调用的,我们用Environment.StackTrace显示当前的调用栈即可,如果输出了那就真相大白,这里我是输出到控制台,大家可以输出到文件。
PatchAll 有了 patch(ThreadStartHook) 类之后,当调用 harmony.PatchAll时,harmony就会在当前程序集中搜索所有的标记为HarmonyPatch特性的类,然后构建相应的容纳万物的 DynamicMethod。
代码逻辑相信大概都清楚了,接下来将程序跑起来,观察 Console 输出。
0:013> !name2ee System_Private_CoreLib!System.Threading.Thread.Start
Module: 00007ff7fe8c4000
Assembly: System.Private.CoreLib.dll
Token: 0000000006003691
MethodDesc: 00007ff7feaa1458
Name: System.Threading.Thread.Start(System.Object)
Not JITTED yet. Use !bpmd -md 00007FF7FEAA1458 tobreakonrun.
Token: 0000000006003693
MethodDesc: 00007ff7feaa1488
Name: System.Threading.Thread.Start(System.Object, Boolean, Boolean)
Not JITTED yet. Use !bpmd -md 00007FF7FEAA1488 tobreakonrun.
Token: 0000000006003694
MethodDesc: 00007ff7feaa14a0
Name: System.Threading.Thread.Start
JITTED Code Address: 00007ff85bd0e440
Token: 0000000006003697
MethodDesc: 00007ff7feaa14e8
Name: System.Threading.Thread.Start(Boolean, Boolean)
JITTED Code Address: 00007ff85bd0e470
0:013> !U 00007ff85bd0e440
preJIT generated code
System.Threading.Thread.Start
ilAddris00007FF85C11E870 pImportis000001BAD0805BF0
Begin 00007FF85BD0E440, size 12
/_/src/libraries/System.Private.CoreLib/src/System/Threading/Thread.cs @ 226:
>>> 00007ff8`5bd0e440 e9cb22fba2 jmp 00007ff7`fecc0710
00007ff8`5bd0e445 8f00 pop qword ptr [rax]
00007ff8`5bd0e447 ba01000000 mov edx,1
00007ff8`5bd0e44c 4533c0 xor r8d,r8d
00007ff8`5bd0e44f 48ff20 jmp qword ptr [rax]
0:013> !U 00007ff7`fecc0710
Normal JIT generated code
DynamicClass.System.Threading.Thread.Start_Patch1(System.Threading.Thread)
Can only work withdynamicnot implemented
当你看到卦中的jmp 00007ff7fecc0710代码之后,我相信你一切都明白了,这是典型的钩子代码,这要是被杀毒软件知道了,绝对是定斩不赦! 画个简图如下:
来源:opendotnet
