当前页面位置: » 丰搜网 » 文档中心 » 详细内容
.net体系中的源程序安全问题(2)
二、中间语言
为了了解在用vb.net构造工程的过程中发生了什么事情,我们需要创建一个生成代码和程序集时使用的示例工程:打开vs.net,新建一个visual basic工程,在窗体中加入一个文本标签(label),然后把文本标签的text属性改成“good bye visual basic 6.0”(如图1),把这个应用命名为goodbyevb6。
图1
在深入.net体系之前,我们需要了解一些有关.net的边缘知识和术语。首先,il(中间语言)并不是什么新概念,vb、c++编译器生成和利用il已经有数年的历史,只不过很少有人公开谈论它或为它编写文档。与过去编译应用的方法相比,.net最大的改变之一就在于编译器所生成的代码不同。除了名字之外,新的msil与vb6编译器的il很少有类同之处。因此,如果你以前曾经接触过il,现在还得从头开始学习。请参见图2,它是goodbyevb6应用的msil代码片段:
图2
这个代码片段设置了一个8字节的栈,然后把this指针压栈,调用get_label1方法。接下来,代码把要设置的标签文本压入堆栈,然后调用settext方法。
传统的cpu利用寄存器和栈完成所有工作。clr所提供的执行引擎只有一个栈,它的操作过程非常类似于一个逆波兰表示法计算器。如果某个过程调用具有多个参数,执行引擎将在发出调用之前把参数压栈。函数调用的返回值也通过栈传递。
msil中的局部变量很容易识别,它们用.locals关键词声明。如果符号存在的话,你将看到变量名字;否则,你看到的将是v_1、v_2之类的变量:
.locals init ([0] int32 x,
[1] int32 y,
[2] float64 z,
[3] class system.string vb_t_string_0)
ldarg指令把参数装入栈,ldc指令把数字常量装入栈,stloc指令把值保存到合适的局部变量:
//000064: dim x as integer = 100
il_0001: ldc.i4.s 100
il_0003: stloc.0
在这个例子中,常量100被作为4字节整数压入栈,随后这个值被保存到第1个局部变量。关于msil指令的完整说明,请参见il程序员参考的ilinstrset.doc文件。
本文的所有msil输出都以goodbyevb6应用的调试版本为基础。非调试版本虽然不带代码行和变量名字,但仍能够提供大量有用的信息。在查看msil代码的时候,调试符号虽然重要,但不是必不可少的。
当我们运行编译器时,它生成的不是我们今天熟悉的执行文件,而是一个程序集(assembly)。程序集是一个文件的集合,程序集中的文件可以作为单一整体进行部署。在当前的windows体系中,我们可以把单个执行文件看成一个程序集。但从更严格的意义上来说,程序集聚合了执行文件和它的所有支持文件,包括dll、图形、资源以及帮助文件。
一般地,一个程序集至少由两个文件构成:执行部分,manifest(英文单词原意:载货清单,乘客名单)。manifest是程序集内所有文件的清单。程序集内的可执行部分又分开称为模块(module)。从概念上说,模块对应着dll或者exe文件;除了父程序集所包含的元数据(metadata)之外,每一个模块都包含元数据。程序集是当前可移植执行文件格式(portable executable,pe)的一个增强版本。
如图3所示,文件的开头是标准的pe头。文件内部包含了clr头,clr头的后面是把代码装入进程空间所必需的描述数据——即元数据。元数据为执行引擎提供了大量信息,其中包括:如何装载模块,需要哪些支持文件,如何装载支持文件,如何与com以及.net运行时环境交互。另外,元数据还描述了模块或者程序集所包含的方法、接口以及类。元数据所提供的信息使得jit编译器能够编译并运行模块。同时,元数据暴露了有关应用的大量内部信息,使得从反汇编il获取有价值的代码更加方便。
图3
使用.net代码的核心问题在于受管理代码。受管理代码是专门为在clr控制之下运行而编写的代码,它可以用vb.net、c#以及c++等语言创建,但c++是唯一能够创建.net平台非受管理代码的语言。我们无法用vb6为.net平台创建非受管理代码,这是因为在vb6中我们把代码编译成i386指令而不是il代码。正如使用vb.net,如果你要使用受管理代码,你只能把代码编译成il。
现在我们来看看使用这种新的msil代码有哪些优点。如果代码编译成了msil,我们可以在任何支持clr的平台上安装和运行这些代码。就目前来说,这一点可能不是很吸引人,因为当前支持.net的平台还很少:只有32位的windows。但不久之后,64位平台和.net for windows ce都将提供这方面的支持。把代码编译成msil格式使得我们能够无缝地把应用移植到所有这些平台和未来的新平台。
msil的另外一个优点是:jit编译器在安装应用的目标机器上把msil代码编译成机器指令,它能够利用目标机器的硬件特点,根据平台的具体情况对代码进行优化。这一点很有用,例如,它能够为目标机器的特殊寄存器优化代码,或为目标机器上带有特殊处理器的硬件设备优化操作代码。请点击vb6工程属性窗口compile选项卡中advanced optimizations按钮了解更多信息。由于有了程序集中的元数据,jit编译器知道代码做些什么以及它支持哪些平台,从而能够迅速地作出优化决定、提高代码的性能表现。
还有一个优点涉及到.net的两个v:validation(检验),verification(核查)。检验是对模块进行的一系列检查,确保元数据、msil代码以及文件格式的一致性。不能通过这些检查的代码可能导致执行引擎或者jit编译器崩溃。一旦模块通过了检验,则代码是正确的且可以开始运行。
jit编译器把msil代码转换成机器代码时对代码进行核查,它是对元数据进行复查,保证程序不会访问它不具有相应许可的内存或其他资源。经过核查的代码是类型安全的(type-safe)代码。这种核查即使是在程序被直接编译成机器代码的时候也要进行,但除非由jit编译器进行核查,否则这种核查不是100%精确无误,因为核查结果依赖于来自其他程序集的元数据。如果把源程序直接编译成机器代码,我们面临着这样一种危险:在目标机器上的其他程序集发生了变化,从而导致程序不再类型安全。
使用jit编译器保证了检验和核查是对所有相关程序集的当前版本进行。这些操作确保执行程序总是类型安全,程序总是以合适的安全许可运行。你可以用.net sdk的peverify工具自己对代码进行检验和核查。
