如何以编程方式在 .Net 可执行文件/dll 中查找字节码 (CIL)？

Question

我想打开一个 PE 文件（我知道它是一个 .Net 程序集）并查找 .Net 字节码所在的位置（最好从入口点开始）。我知道 PE 头数据（入口点 RVA）将我带到一个从 mscoree.dll 调用 CorExeMain 的存根。

但这不是我要找的。我想找到由 mscorlib 运行的字节码。我如何使用 C++ 来做到这一点，并且没有像 ildasm、dumpbin 等外部工具？我已经可以解析 PE 标头并知道图像基/RVA 的含义。我只是不知道在哪里可以找到有关 IL 字节码位置的足够信息。

Answer 1

查看 ECMA-335 - 的详细信息文件格式位于分区 II 的 22-25 部分。我似乎记得不久前我尝试编写解析器时发现了一些错误，但只要有一点毅力，这一切都是可行的。

Answer 2

我可能会从 mono (cil_coff.h, pedump.c）而不是从头开始编写一个。

Answer 3

在 Windows 上，有一个 COM API，IMetaDataImport（由 IMetaDataImport2 扩展）支持泛型）。但其使用示例却相当缺乏。看似不太维护但开源的 IL 调试器/编辑器 dile （仅支持.NET 4（每周构建中）使用它，因此您可以查看它的代码。 Dile 的作者也写了一篇关于使用该 API 的博客文章，但内容相当冗长。由于垃圾邮件规则，未提供链接。谷歌搜索“从程序集中读取类型”。

.NET SDK 附带的微软 mdbg 也使用它。不幸的是，mdbg 源代码仅针对 .NET 2.0 版本发布。谷歌搜索 mdbgSample21.EXE。