mscorjit的介紹，兼對某殼企業版的分析

在前面介紹mscorwks的時提到了，.net的程式是以函數為單位編譯。而在 mscorjit中提供了一個函數
compileMethod 。mscorwks就是通過調用這個函數來編譯.Net方法的。
對於EE層，或者虛擬機器預先處理層的加密殼，只需要hook這個函數就可以dump出方法體的代碼了。
需要注意一點，這個函數是 thiscall 呼叫慣例的。

.Net方法體進入 compileMethod  之後是怎麼樣的處理流程呢？

限於篇幅，這裡只能簡單介紹一下，具體詳情可以參考 sscli 2.0的原始碼。
compileMethod 實際上只是一個介面函數，它沒有做實際什麼工作，
只是簡單的 調用另一個函數：jitNativeCode。

在jitNativeCode 函數是一個安全執行緒的函數，在它裡面實際上只是做了一些準備工作。
安裝異常處理，然後執行個體化一個Complier對象。初始化Complier類，再調用
這個類的一個成員函數 compCompile 。

在 compCompile 就開始了實際的編譯工作。

所以hook jit來實現脫殼的話，我們有三個選項：
 hook compileMethod  (thiscall)
 hook jitNativeCode (fastcall)
 hook compCompile (thiscall)

對於這三個方案 實現脫殼是完全一樣的。在這三個函數裡面我們都能夠擷取到脫殼所需要的結構體。
實際上脫殼需要的結構體是 CORINFO_METHOD_STRUCT，CORINFO_MODULE_STRUCT，CORINFO_METHOD_INFO這三個。

我在脫某殼個人版加密的程式時是採用的方法2，hook jitNativeCode 函數。
hook方法：採用的替換方式，即直接修改 compileMethod  函數，將 call jitNativeCode 改為 call myhook。
在 myhook函數裡面處理脫殼工作，然後再調用 call jitNativeCode 。

實際上有一個技巧。一般我們通過反射invoke讓一個方法體進入jit處理過程的，然後在 myhook 裡面截取dump方法體。
假設我們在dump一個 Exit函數時，如果讓它執行了會導致進程退出，因為invoke會執行方法，而我們需要的只是讓方法體進入
jit處理過程，以方法dump，而不希望這個方法被執行。所以我們可以不用回調 jitNativeCode 函數，直接返回一個nop地址。

maxtocode 2007企業版具稱是虛擬機器處理層的殼，那它在虛擬機器處理層做了什麼工作呢？
具分析 mscorjit.dll 的記憶體鏡像，它實際上做了和 jit層脫殼 差不多的工作，
同時使用了 方案2 和 方案 3. 顯然它hook jit的目的不是脫殼，而是實現 方法體的還原。

我們可以很容易確定 在程式運行到 compCompile 中後，加密殼的運行庫已經完成了所有解密工作，
因此在 compCompile 函數裡面，或者它下級的函數裡面是脫殼的好時機。

如是我修改了一下jithook程式，只改了hook位置，即hook compCompile 的下級函數。
然後測試dump。效果如下：

可以dump出原始碼。
看來企業版相對個人版來說只是hook位置的變化，對於脫殼來說，基本上沒有增加任何難度，
我們也只需要更改一下hook位置，就可以dump了。

另外發現企業版運行庫的一個bug，可以用簡單的方法脫殼。