本文主要是介绍用WinDbg探索CLR世界 [4] 方法的调用机制之动态分析 - 上,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
用WinDbg探索CLR世界 [4] 方法的调用机制之动态分析 - 上在了解了方法表的物理结构后,我们接着分析方法的动态调用机制。
从方法的调用类型来分,CLR支持直接调用、间接调用和很少见的 tail call 模式。
直接调用最为常见,又可分为使用虚方法表的 callvirt 指令和不使用虚方法表的 call 和 jmp 指令。
间接调用稍微少见,通过 ldftn/calli 和 ldvirtftn/calli 两组指令,从栈中获取方法描述 (Method Desc),语义上等同于 call/callvirt 指令。
tail call 调用更为少见,类似于 jmp,但是作为前缀指令附加在 call/calli/callvirt 指令上的。
下面我们对最常见的直接调用方式做一个简单的分析,首先看看一个例子程序 Virt_not.il:
以下为引用:
.assembly extern mscorlib { }
.assembly virt_not { }
.module virt_not.exe
.class public A
{
.method public specialname void .ctor() { ret }
.method public void Foo()
{
ldstr "A::Foo"
call void [mscorlib]System.Console::WriteLine(string)
ret
}
.method public virtual void Bar()
{
ldstr "A::Bar"
call void [mscorlib]System.Console::WriteLine(string)
ret
}
.method public virtual void Baz()
{
ldstr "A::Baz"
call void [mscorlib]System.Console::WriteLine(string)
ret
}
}.class public B extends A
{
.method public specialname void .ctor() { ret }
.method public void Foo()
{
ldstr "B::Foo"
call void [mscorlib]System.Console::WriteLine(string)
ret
}
.method public virtual void Bar()
{
ldstr "B::Bar"
call void [mscorlib]System.Console::WriteLine(string)
ret
}
.method public virtual newslot void Baz()
{
ldstr "B::Baz"
call void [mscorlib]System.Console::WriteLine(string)
ret
}
}.method public static void Exec()
{
.entrypoint
newobj instance void B::.ctor() // create instance of derived class
castclass class A // cast it to base classdup // we need 3 instance pointers
dup // on stack for 3 callscall instance void A::Foo()
callvirt instance void A::Bar()
callvirt instance void A::Baz()ret
}
上述代码是使用 IL 汇编直接编写,其 Exec 函数将被编译成 IL 代码如下:
以下为引用:
.method public static void Exec() cil managed
// SIG: 00 00 01
{
.entrypoint
// Method begins at RVA 0x209c
// Code size 28 (0x1c)
.maxstack 8
IL_0000: /* 73 | (06)000006 */ newobj instance void B::.ctor()
IL_0005: /* 74 | (1B)000001 */ castclass class A
IL_000a: /* 25 | */ dup
IL_000b: /* 25 | */ dup
IL_000c: /* 28 | (06)000003 */ call instance void A::Foo()
IL_0011: /* 6F | (06)000004 */ callvirt instance void A::Bar()
IL_0016: /* 6F | (06)000005 */ callvirt instance void A::Baz()
IL_001b: /* 2A | */ ret
} // end of method 'Global Functions'::Exec
可以看到直接调用时 call 和 callvirt 指令,都是以方法的 Token 为参数的。但不同之处在于实现上,call指令使用类型的方法表,而 callvirt 使用对象的方法表。
在 WinDbg 载入 Virt_not.exe 后,可以在 Exec 被 JIT 编译后,使用 !ip2md 命令查看其方法描述信息,如
以下为引用:
0:000> g; !clrstack
Breakpoint 0 hit
Thread 0
ESP EIP
0012f694 791d6a4a [FRAME: PrestubMethodFrame] [DEFAULT] [hasThis] Void A.Foo()
0012f6a4 06d90088 [DEFAULT] Void Exec()
0012f9b0 791da717 [FRAME: GCFrame]
0012fa94 791da717 [FRAME: GCFrame]
0:000> !ip2md 06d90088
MethodDesc: 0x00975070
Jitted by normal JIT
Method Name : [DEFAULT] Void Exec()
MethodTable 975078
Module: 15cd20
mdToken: 06000001 (C:/Develop/MS.Net/Books/Inside Microsoft .NET IL Assembler Code/Virt_not.EXE)
Flags : 10
Method VA : 06d90058
反汇编 Exec 方法的代码如下:
以下为引用:
0:000> u 06d90058
06d90058 55 push ebp
06d90059 8bec mov ebp,esp
// newobj instance void B::.ctor()
06d9005b 56 push esi
06d9005c b9a8519700 mov ecx,0x9751a8 // 类 B 的方法表地址
06d90061 e8b21fbdf9 call 00962018
06d90066 8bf0 mov esi,eax06d90068 8bce mov ecx,esi
06d9006a ff15ec519700 call dword ptr [009751ec]// castclass class A
06d90070 8bd6 mov edx,esi
06d90072 b900519700 mov ecx,0x975100 // 类 A 的方法表地址
06d90077 e8a00b4672 call mscorwks!JIT_ChkCastClass (791f0c1c)06d9007c 8bf0 mov esi,eax // 对象地址
06d9007e 90 nop
06d9007f 90 nop// call instance void A::Foo()
06d90080 8bce mov ecx,esi
06d90082 ff1544519700 call dword ptr [00975144]// callvirt instance void A::Bar()
06d90088 8bce mov ecx,esi
06d9008a 8b01 mov eax,[ecx]
06d9008c ff5038 call dword ptr [eax+0x38]// callvirt instance void A::Baz()
06d9008f 8bce mov ecx,esi
06d90091 8b01 mov eax,[ecx]
06d90093 ff503c call dword ptr [eax+0x3c]06d90096 90 nop
06d90097 5e pop esi
06d90098 5d pop ebp
06d90099 c3 ret
可以看到 call 指令是通过一个绝对地址的间接寻址调用函数的,此调用指向代码如下:
以下为引用:
0:000> dd 00975144
00975144 009750d3 00000000 00000000 00000000
0:000> u 009750d3
009750d3 e808857dff call 0014d5e00:000> u 0014d5e0
0014d5e0 52 push edx
0014d5e1 68f0301b79 push 0x791b30f0
0014d5e6 55 push ebp
0014d5e7 53 push ebx
0014d5e8 56 push esi
0014d5e9 57 push edi
0014d5ea 8d742410 lea esi,[esp+0x10]
0014d5ee 51 push ecx
0014d5ef 52 push edx
0014d5f0 648b1d2c0e0000 mov ebx,fs:[00000e2c]
0014d5f7 8b7b08 mov edi,[ebx+0x8]
0014d5fa 897e04 mov [esi+0x4],edi
0014d5fd 897308 mov [ebx+0x8],esi
0014d600 56 push esi
0014d601 e844940879 call mscorwks!PreStubWorker (791d6a4a)
0014d606 897b08 mov [ebx+0x8],edi
呵呵,这不正是上次分析的调用JIT的包装代码吗?
在进行了 JIT 之后,上面的 Exec 代码调用 A::Foo 方法体被JIT修改为:
以下为引用:
0:000> dd 975144
00975144 009750d3 00000000 00000000 00000000
0:000> u 009750d3
009750d3 e9f8af4106 jmp 06d900d00:000> !ip2md 06d900d0
MethodDesc: 0x009750d8
Jitted by normal JIT
Method Name : [DEFAULT] [hasThis] Void A.Foo()
MethodTable 975100
Module: 15cd20
mdToken: 06000003 (C:/Develop/MS.Net/Books/Inside Microsoft .NET IL Assembler Code/Virt_not.EXE)
Flags : 0
Method VA : 06d900d0
也就是说 call 指令实际上是直接对 JIT 后的 A::Foo 方法体的代码进行了调用。
而 callvirt 指令则使用两段的间接寻址来调用方法。
以下为引用:
// callvirt instance void A::Bar()
06d90088 8bce mov ecx,esi
06d9008a 8b01 mov eax,[ecx]
06d9008c ff5038 call dword ptr [eax+0x38]
这里的 esi 是指向对象的指针,而对象结构的第一个 DWORD 保存指向实际类型方法表的指针,也就是《本质论》中所说的 RuntimeTypeHandle (具体分析请参看我以前的一篇文章 《Type, RuntimeType and RuntimeTypeHandle 》 )。而方法表的 0x38 偏移处内容如下:
以下为引用:
0:000> !dumpmt -md 00975100
EEClass : 06c63344
Module : 0015cd20
Name: A
mdToken: 02000002 (C:/Develop/MS.Net/Books/Inside Microsoft .NET IL Assembler Code/Virt_not.EXE)
MethodTable Flags : 80000
Number of IFaces in IFaceMap : 0
Interface Map : 0097514c
Slots in VTable : 8
--------------------------------------
MethodDesc Table
Entry MethodDesc JIT Name
79b7c4eb 79b7c4f0 None [DEFAULT] [hasThis] String System.Object.ToString()
79b7c473 79b7c478 None [DEFAULT] [hasThis] Boolean System.Object.Equals(Object)
79b7c48b 79b7c490 None [DEFAULT] [hasThis] I4 System.Object.GetHashCode()
79b7c52b 79b7c530 None [DEFAULT] [hasThis] Void System.Object.Finalize()
009750e3 009750e8 None [DEFAULT] [hasThis] Void A.Bar()
009750f3 009750f8 None [DEFAULT] [hasThis] Void A.Baz()
009750c3 009750c8 None [DEFAULT] [hasThis] Void A..ctor()
009750d3 009750d8 None [DEFAULT] [hasThis] Void A.Foo()
0:000> dd 00975100
00975100 00080000 0000000c 06c63344 00000000
00975110 00120000 0015cd20 0006ffff 0097514c
00975120 00000000 00000008 79b7c4eb 79b7c473
00975130 79b7c48b 79b7c52b 009750e3 009750f3
00975140 009750c3 009750d3 00000000 00000000
可以看到 00975100+0x38 正好是 A.Bar() 方法的入口地址
以下为引用:
0:000> u 009750e3
009750e3 e8f8847dff call 0014d5e0
0:000> u 14d5e0
0014d5e0 52 push edx
...
0014d600 56 push esi
0014d601 e844940879 call mscorwks!PreStubWorker (791d6a4a)
0014d606 897b08 mov [ebx+0x8],edi0:000> !dumpmd 009750e8
Method Name : [DEFAULT] [hasThis] Void A.Bar()
MethodTable 975100
Module: 15cd20
mdToken: 06000004 (C:/Develop/MS.Net/Books/Inside Microsoft .NET IL Assembler Code/Virt_not.EXE)
Flags : 0
IL RVA : 0000205e
因此 callvirt 指令实际上是使用变量实际保存对象的类型的方法表在进行调用,也就是我们所说的虚函数语义。
这篇关于用WinDbg探索CLR世界 [4] 方法的调用机制之动态分析 - 上的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
