为什么CLR的jmp指令无法验证？

Question

我已经知道 jmp 指令有一段时间了，但我从来没有觉得它有一点不安全。我最近有理由检查 CIL 规范，非常惊讶发现 jmp 被认为是不可验证的。

Answer 1

因为，与 call、callvirt 或 calli 不同，调用者的堆栈帧将保留在堆栈上，以便将来的代码访问安全性看到由被调用者触发（可能间接）的堆栈遍历，jmp 指令会在转换到被调用者之前拆除调用者的堆栈帧，因此对于被调用者可能触发的任何 CAS 堆栈遍历都是不可见的。

编辑：我认为 naasking 的说法是正确的，上面的答案是错误的。我现在认为（可验证的）tail.call序列和（不可验证的）jmp序列之间的区别可能是尾部调用需要推送参数到对评估堆栈的调用，可以在其中以正常方式验证它们，而 jmp 要求评估堆栈为空并导致 Jump-ee 继承 Jump-er 的参数。可能没有理由使验证程序复杂化以检查 jmp 指令，但在类似于 tail.call 序列（其中之一）的条件下可能会这样做也就是说，调用者和被调用者必须位于同一个程序集中，这排除了我上面的 CAS 猜测，至少在显式 .Deny( ) 调用之前）。

如果是这样，这将是规范的相关部分：（第 III 部分，第 3.37 节）

当前参数已传输
到目标方法。

计算堆栈必须为空
当这条指令被执行时。这
调用约定、数量和类型
目标地址的参数
必须与当前方法匹配。