Net 高级调试之二：CLR和Windows加载器及应用程序域介绍

合集 - Net 高级调试(2)

1.Net 高级调试之二：CLR和Windows加载器及应用程序域介绍10-25

2.Net 高级调试之一：开始认识一些调试工具10-24

收起

一、简介
　　　　今天是 Net 高级调试的第二篇文章，第一篇文章记录了自己学习 Net 高级调试的第一步，认识一些调试工具，有了工具的倚仗，我们开始仗剑走天涯了，开始Net 高级调试正式的征程了。我先说一下，我的文章，【调试测试】这部分一般分为两个部分，第一部分是要用到的所有测试代码样例，也为大家提供方便，我第一次做测试还是走了不少弯路的。第二部分，就是使用 Windbg 调试器调试代码的部分，但是，需要说明一下，使用 Windbg还是有一些技巧的，或者说是方法的，如果大家不熟悉，建议提前熟悉一下，因为我的测试过程，不会把所有的过程都照搬下来，会省略一下不太重要的步骤，但是，如果是第一次使用这个软件的，调试的时候，得到的结果可能就和我的不一样，这也是我的一步一步的、痛苦的经验。
　　　　如果在没有说明的情况下，所有代码的测试环境都是 Net Framewok 4.8，但是，有时候为了查看源码，可能需要使用 Net Core 的项目，我会在项目章节里进行说明。好了，废话不多说，开始我们今天的调试工作。
　　　　调试环境我需要进行说明，以防大家不清楚，具体情况我已经罗列出来。
　　　　　　　　　　操作系统：Windows Professional 10
　　　　　　　　　　调试工具：Windbg Preview（可以去Microsoft Store 去下载）
　　　　　　　　　　开发工具：Visual Studio 2022
　　　　　　　　　　Net 版本：Net Framework 4.8
　　　　　　　　　　CoreCLR源码：源码下载
二、相关概念
　　　　1、Net 框架
　　　　　　　　Net 是一个虚拟的运行时环境，包含了一个虚拟的执行引擎（CLR）和一组相关的框架类库，如图：
　　　　　　　　
　　　　　　　　1.1、宏观概念
　　　　　　　　　　　　
　　　　　　　　　   　　a)、ECMA
　　　　　　　　　　　　　　　　C# 语言和公共语言基础结构 (CLI) 规范通过 Ecma International® 进行标准化。用通俗的话来说，ECMA是一个标准，它就是一个CLR的开发规范，或者说是一个设计文档。
　　　　　　　　　　　　　　　　https://learn.microsoft.com/zh-cn/dotnet/fundamentals/standards

　　　　　　　　　　　　b)、CLR
　　　　　　　　　　　　　　　　公共语言运行时。是我们 C#,VB.Net，F#的运行时环境，当然，这也是高级调试要关注的部分。
　　　　　　　　　　　　　　　　CLR 处理内存分配和管理。
　　　　　　　　　　　　　　　　CLR 也是一种虚拟机，不仅可执行应用，还可使用 JIT 编译器快速生成和编译代码。
　　　　　　　　　　　　　　　　最后，我们总结一下，CLR是针对 ECMA 标准的落地实现。

　　　　　　　　　　　　c)、NET 框架
　　　　　　　　　　　　　　　　NET框架有很多，比如：WPF，WinForm，WebForm，Mvc，WebAPI 等。

　　　　　　　　　　　　d)、Net应用程序
　　　　　　　　　　　　　　　　NET 应用程序，更多的指的是用户编写的应用程序，比如：基于 Winform 的ERP，基于 MVC、API 实现的网站系统。

　　　　　　　　1.2、Net程序的编译过程
　　　　　　　　　　　　Net程序的编译一般分为两个阶段，第一个阶段就是编译器编译，将C# 源码编译成为 IL 代码，第二个阶段就是 JIT 编译，将 IL 代码编译成为可以直接运行的机器代码。
　　　　　　　　　　　　a)、编译器编译
　　　　　　　　　　　　　　　　将我们的C#、VB.Net、F#等源码使用 Visual Studio，或者是 CSC 等类似的工具转换为 IL 代码。当然 IL 代码是不能直接运行的。
　　　　　　　　　　　　　　　　当然，IL 代码也是可以看到的，我们可以使用 ILSpy，或者DnSpy工具，加载相应的程序集，就可以查看了，很简单，就不细说了。

　　　　　　　　　　　　b)、JIT编译
　　　　　　　　　　　　　　　　CLR 运行时会将 IL 代码转换成 机器代码。

　　　　　　　　　　　　流程如下：【C# 源码】======》【编译器】=======》【Net 程序集（Exe或者Dll）】=====》【JIT即时编译（CLR）】=====》【机器代码】
　　　　　　　　　　　　　　　　

　　　　2、PE头及Windows 加载器
　　　　　　　　
　　　　　　　　2.1、什么是PE文件
　　　　　　　　　　　　PE文件的全称是Portable Executable，意为可移植的可执行的文件，常见的EXE、DLL、OCX、SYS、COM都是PE文件，PE文件是微软Windows操作系统上的程序文件，它的一个非常大的作用就是帮助 Windows 加载器 执行程序的入口。
　　　　　　　　　　　　对于 Net 的 PE 文件，有几点需要注意：
　　　　　　　　　　　　a）、AddressOfEntryPoint
　　　　　　　　　　　　　　　程序的入口点相对偏移地址，即（exe+AddressOfEntryPoint）。
　　　　　　　　　　　　　　

　　　　　　　　　　　　b）、DIRECTORY_ENTRY_COM_DESCRIPTOR
　　　　　　　　　　　　　　　Net 程序独有的节点配置。
　　　　　　　　　　　　　　

　　　　　　　　　　　　　　 ILSpy 查看 Example_2_1_1.exe 的元数据。
　　　　　　　　　　　　　　　　

　　　　　　　　　　　　c）、EntryPointToken
　　　　　　　　　　　　　　　　这个标签的地址，就是我们程序 Program.Main 方法的入口点地址。
　　　　　　　　　　　　　　　　IL 代码里面也是有标记的。
　　　　　　　　　　　　　　　　　
　　　　　　　　　　　　　
　　　　　　　　2.2、小知识
　　　　　　　　　　　　　Windbg 有一个伪寄存器命令 ?  $exentry，可以直接告诉我们 exe 程序的入口点地址。

　　　　3、应用程序域　　　　　　　　
　　　　　　　  3.1、简介
　　　　　　　　　　对于 Windows 上的应用程序，大家都知道是按照【进程】进行隔离的。Net 将这种进程隔离缩小到了【应用程序域】层，即一个进程会有多个【应用程序域】，然后将应用程序部署在【应用程序域】上。
　　　　　　　　　　在 CLR 上，应用程序域分为三类，分别是：SystemDomain、SharedDomain、Domain1。当然，这是说的在 Net Framework 的情况下，在 Net Core 框架下，只有两个应用程序域，风别是：SystemDomain、Domain1，去掉了 SharedDomain 这个应用程序域。

　　　　　　 3.2、应用程序域
　　　　　　　　　　   a）、SystemDomain
　　　　　　　　　　　　　　　    系统及作用域，用于创建其他作用域。
　　　　　　　　　　　　　　　　将 mscorlib.dll 加载到 SharedDomain 共享及应用程序域。
　　　　　　　　　　　　　　　　记录字符串池中字符串常量。
　　　　　　　　　　　　　　　　初始化特定异常（OutOfMemoryException、StackOverflowException）。

　　　　　　　　　　　b）、SharedDomain
　　　　　　　　　　　　　　　　加载 System 命名空间下的基本类型（String，Enum，ValueType）。

　　　　　　　　　　　c）、Domain1
　　　　　　　　　　　　　　　　用户的应用程序都是在这个域中运行。

三、调试测试
　　　　这个章节里，很简单，一共分为两个部分，第一部分是要用到的测试代码的样例，第二部分，就是具体的测试操作过程，说明一下，假设大家对 Windbg 有些熟悉。

　　　　1、测试代码

　　　　　　　　1.1、代码样例1　　　　　　　　　　　

namespace Example_2_1_1
{
    internal class Program
    {
        static void Main(string[] args)
        {
            Console.WriteLine("Hello World");
            Console.ReadLine();
        }
    }
}

　　　　2、调试过程
　　　　　　　　2.1、验证 CLR 和 JIT 的 存在。
　　　　　　　　　　　　验证代码：Example_2_1_1
　　　　　　　　　　　　操作描述：编译 Example_2_1_1 项目，打开 Windbg，通过【launch executable】加载我们的程序集。当我们成功加载程序集，还必须通过【g】命令，或者【Go】按钮执行程序，这个时候，才能加载所有的东西。当我们运行完之后，就能看到运行界面，就可以看到和 CLR 和 JIT 有关的东西。红色字体表明加载了 CLR 和 JIT 两个组件。
　　　　

0:000> g
ModLoad: 74ec0000 74f39000   C:\Windows\SysWOW64\ADVAPI32.dll
ModLoad: 771f0000 772af000   C:\Windows\SysWOW64\msvcrt.dll
ModLoad: 757e0000 75855000   C:\Windows\SysWOW64\sechost.dll
ModLoad: 753c0000 7547a000   C:\Windows\SysWOW64\RPCRT4.dll
ModLoad: 711c0000 7124d000   C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscoreei.dll
ModLoad: 771a0000 771e5000   C:\Windows\SysWOW64\SHLWAPI.dll
ModLoad: 757d0000 757df000   C:\Windows\SysWOW64\kernel.appcore.dll
ModLoad: 74eb0000 74eb8000   C:\Windows\SysWOW64\VERSION.dll
ModLoad: 70a10000 711c0000   C:\Windows\Microsoft.NET\Framework\v4.0.30319\clr.dll（CLR组件，加载的起始地址：70a10000）
ModLoad: 75870000 75a04000   C:\Windows\SysWOW64\USER32.dll
ModLoad: 77070000 77088000   C:\Windows\SysWOW64\win32u.dll
ModLoad: 70940000 709eb000   C:\Windows\SysWOW64\ucrtbase_clr0400.dll
ModLoad: 75fb0000 75fd3000   C:\Windows\SysWOW64\GDI32.dll
ModLoad: 709f0000 70a04000   C:\Windows\SysWOW64\VCRUNTIME140_CLR0400.dll
ModLoad: 750c0000 7519b000   C:\Windows\SysWOW64\gdi32full.dll
ModLoad: 76390000 7640b000   C:\Windows\SysWOW64\msvcp_win.dll
ModLoad: 75550000 75670000   C:\Windows\SysWOW64\ucrtbase.dll
ModLoad: 74fa0000 74fc5000   C:\Windows\SysWOW64\IMM32.DLL
ModLoad: 75ff0000 76270000   C:\Windows\SysWOW64\combase.dll
(7fc.b18): Unknown exception - code 04242420 (first chance)
ModLoad: 6f530000 7093e000   C:\Windows\assembly\NativeImages_v4.0.30319_32\mscorlib\218db16dceaef380c6daf35c6a48f313\mscorlib.ni.dll
ModLoad: 76490000 76573000   C:\Windows\SysWOW64\ole32.dll
ModLoad: 75ff0000 76270000   C:\Windows\SysWOW64\combase.dll
ModLoad: 752a0000 752fc000   C:\Windows\SysWOW64\bcryptPrimitives.dll
ModLoad: 6f4a0000 6f52a000   C:\Windows\Microsoft.NET\Framework\v4.0.30319\clrjit.dll（这个就是JIT编译器组件，在进程中的起始地址：6f4a0000）
ModLoad: 751a0000 7523b000   C:\Windows\SysWOW64\OLEAUT32.dll

　　　　　　　　　　　　
　　　　　　　　2.2、证明 Windows 加载器如何加载一个 Net 的程序集。
　　　　　　　　　　　　验证代码：Example_2_1_1
　　　　　　　　　　　　PPEE是绿色软件，不用安装，直接下载就可以使用。打开 PPEE 软件，打开 Example_2_1_1.exe，就可以看到 PE 文件。
　　　　　　　　　　　　当我们双加一个 Net 的Exe应用程序的时候，操作系统会做很多工作，比如：在内核态生成进行的地址空间，地址空间生成成功后，然后在生成一个Process 的进程，再给这个进程生成一个主线程，在内核态还要针对进程生成 EProcess 的数据结构，针对线程生成一个 ETHREAD 的数据结构。当所有的准备工作都完成后，要开始执行程序，从哪里开始执行程序呢？我们来证明一下，或者说熟悉一下，这个过程就和 PE 头文件有关了。

　　　　　　　　　　　　a、Windows 加载器会读取 PE 文件头里面的数据，来确定从哪里开始执行，第一步，我们通过 PPEE 查看 Example_2_1_1.exe PE 文件，在 PE 头里依次点击【NT Header】-->【Optional Header】，在窗体的右侧就可以看到，有一项【AddressOfEntryPoint】，它的值是：00002782，这个地址是相对地址，是相对程序进程起始地址来说的。
　　　　　　　　　　　　　　如图：
　　　　　　　　　　　　　　

　　　　　　　　　　　　　　我们有了入口程序的相对起始地址，我们找一下应用程序的进程起始地址，二者相加，就是 Windows 加载器要执行的地址。想要查看 Example_2_1_1.exe 进程地址，需要借助 Windbg，红色部分就是 Example_2_1_1.exe 进程的起始地址。

　　　　　　　　　　　　　　代码如下：

Executable search path is: 
ModLoad: 00ca0000 00ca8000   Example_2_1_1.exe
ModLoad: 770d0000 77272000   ntdll.dll
ModLoad: 71050000 710a2000   C:\Windows\SysWOW64\MSCOREE.DLL
ModLoad: 74cc0000 74db0000   C:\Windows\SysWOW64\KERNEL32.dll
ModLoad: 767a0000 769b3000   C:\Windows\SysWOW64\KERNELBASE.dll

　　　　　　　　　　　　　　二者相加就是WIndows 加载器的入口点地址，还不是我们的 Program.Main的地址，00ca0000（Example_2_1_1进程起始地址），00002782 是 PE 头告诉的入口点地址，我们通过 U 命令，可以查看汇编代码。通过代码我们可以看到，执行了 jmp 指令，跳转的地址是：402000h。
　　　　　　　　　　　　　　

0:000> u 00ca0000+00002782
Example_2_1_1!COM+_Entry_Point  (Example_2_1_1+0x2782（PE 头里的值）):
00ca2782 ff2500204000    jmp（执行跳转指令）     dword ptr ds:[402000h]
Example_2_1_1!COM+_Entry_Point  (Example_2_1_1+0x2788):
00ca2788 0000            add     byte ptr [eax],al
Example_2_1_1!COM+_Entry_Point  (Example_2_1_1+0x278a):
00ca278a 0000            add     byte ptr [eax],al
Example_2_1_1!COM+_Entry_Point  (Example_2_1_1+0x278c):
00ca278c 0000            add     byte ptr [eax],al
Example_2_1_1!COM+_Entry_Point  (Example_2_1_1+0x278e):
00ca278e 0000            add     byte ptr [eax],al
Example_2_1_1!COM+_Entry_Point  (Example_2_1_1+0x2790):
00ca2790 0000            add     byte ptr [eax],al
Example_2_1_1!COM+_Entry_Point  (Example_2_1_1+0x2792):
00ca2792 0000            add     byte ptr [eax],al
Example_2_1_1!COM+_Entry_Point  (Example_2_1_1+0x2794):
00ca2794 0000            add     byte ptr [eax],al

　　　　　　　　　　　　　　　　接下来，我们看看 402000h 这个地址有什么东西。

　　　　　　　　　　　　　　      再次执行 Windbg，重新加载 Example_2_1_1.exe，通过【g】命令继续运行，暂停时，【break】开始调试状态，必须切换到主线程，也就是 0号线程。
　　　　　　　　　　　　　　　　

//g 继续运行
0:000> g
ModLoad: 76c30000 76ca9000   C:\Windows\SysWOW64\ADVAPI32.dll
ModLoad: 765b0000 7666f000   C:\Windows\SysWOW64\msvcrt.dll
ModLoad: 76e30000 76ea5000   C:\Windows\SysWOW64\sechost.dll
ModLoad: 75c40000 75cfa000   C:\Windows\SysWOW64\RPCRT4.dll
ModLoad: 70fc0000 7104d000   C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscoreei.dll
ModLoad: 75d20000 75d65000   C:\Windows\SysWOW64\SHLWAPI.dll
ModLoad: 75530000 7553f000   C:\Windows\SysWOW64\kernel.appcore.dll
ModLoad: 74cb0000 74cb8000   C:\Windows\SysWOW64\VERSION.dll
ModLoad: 70810000 70fc0000   C:\Windows\Microsoft.NET\Framework\v4.0.30319\clr.dll
ModLoad: 76410000 765a4000   C:\Windows\SysWOW64\USER32.dll
ModLoad: 707f0000 70804000   C:\Windows\SysWOW64\VCRUNTIME140_CLR0400.dll
ModLoad: 76180000 76198000   C:\Windows\SysWOW64\win32u.dll
ModLoad: 70740000 707eb000   C:\Windows\SysWOW64\ucrtbase_clr0400.dll
ModLoad: 75b80000 75ba3000   C:\Windows\SysWOW64\GDI32.dll
ModLoad: 76670000 7674b000   C:\Windows\SysWOW64\gdi32full.dll
ModLoad: 76b30000 76bab000   C:\Windows\SysWOW64\msvcp_win.dll
ModLoad: 75550000 75670000   C:\Windows\SysWOW64\ucrtbase.dll
ModLoad: 754f0000 75515000   C:\Windows\SysWOW64\IMM32.DLL
Breakpoints 3 and 0 match
ModLoad: 75f00000 76180000   C:\Windows\SysWOW64\combase.dll
(3624.36d8): Unknown exception - code 04242420 (first chance)
ModLoad: 6f330000 7073e000   C:\Windows\assembly\NativeImages_v4.0.30319_32\mscorlib\218db16dceaef380c6daf35c6a48f313\mscorlib.ni.dll
ModLoad: 76cb0000 76d93000   C:\Windows\SysWOW64\ole32.dll
ModLoad: 75f00000 76180000   C:\Windows\SysWOW64\combase.dll
ModLoad: 76fa0000 76ffc000   C:\Windows\SysWOW64\bcryptPrimitives.dll
ModLoad: 6f2a0000 6f32a000   C:\Windows\Microsoft.NET\Framework\v4.0.30319\clrjit.dll
ModLoad: 76eb0000 76f4b000   C:\Windows\SysWOW64\OLEAUT32.dll
(3624.20f0): Break instruction exception - code 80000003 (first chance)
eax=0106b000 ebx=00000000 ecx=7717cee0 edx=7717cee0 esi=7717cee0 edi=7717cee0
eip=77143410 esp=05a2fa9c ebp=05a2fac8 iopl=0         nv up ei pl zr na pe nc
cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00000246
ntdll!DbgBreakPoint:
77143410 cc              int     3

//切换到主线程
0:006> ~0s
eax=00000000 ebx=0000009c ecx=00000000 edx=00000000 esi=0138ee3c edi=00000000
eip=771410fc esp=0138ed24 ebp=0138ed84 iopl=0         nv up ei pl nz na pe nc
cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00000206
ntdll!NtReadFile+0xc:
771410fc c22400          ret     24h

　　　　　　　　　　　　　　　　我们通过【k】命令，查看显示调用栈

0:000> k
 # ChildEBP RetAddr      
00 0138ed84 768af25c     ntdll!NtReadFile+0xc
01 0138ed84 6f7e9b71     KERNELBASE!ReadFile+0xec
02 0138edf4 6ff1b275     mscorlib_ni+0x4b9b71
03 0138ee20 6ff1b17b     mscorlib_ni!System.IO.__ConsoleStream.ReadFileNative+0x89 [f:\dd\ndp\clr\src\BCL\system\io\__consolestream.cs @ 205] 
04 0138ee4c 6f7ce6a3     mscorlib_ni!System.IO.__ConsoleStream.Read+0x9f [f:\dd\ndp\clr\src\BCL\system\io\__consolestream.cs @ 134] 
05 0138ee64 6f7ceb5b     mscorlib_ni!System.IO.StreamReader.ReadBuffer+0x33 [f:\dd\ndp\clr\src\BCL\system\io\streamreader.cs @ 595] 
06 0138ee80 70063786     mscorlib_ni!System.IO.StreamReader.ReadLine+0xe3 [f:\dd\ndp\clr\src\BCL\system\io\streamreader.cs @ 748] 
07 0138ee90 6fec1845     mscorlib_ni!System.IO.TextReader.SyncTextReader.ReadLine+0x1a [f:\dd\ndp\clr\src\BCL\system\io\textreader.cs @ 363] 
08 0138ee98 03250876     mscorlib_ni!System.Console.ReadLine+0x15 [f:\dd\ndp\clr\src\BCL\system\console.cs @ 1984] 
WARNING: Frame IP not in any known module. Following frames may be wrong.
09 0138eea8 7081f036     0x3250876
0a 0138eeb4 708222da     clr!CallDescrWorkerInternal+0x34
0b 0138ef08 7082859b     clr!CallDescrWorkerWithHandler+0x6b
0c 0138ef7c 709cb11b     clr!MethodDescCallSite::CallTargetWorker+0x16a
0d 0138f0a0 709cb7fa     clr!RunMain+0x1b3
0e 0138f30c 709cb727     clr!Assembly::ExecuteMainMethod+0xf7
0f 0138f7f0 709cb8a8     clr!SystemDomain::ExecuteMainMethod+0x5ef
10 0138f848 709cb9ce     clr!ExecuteEXE+0x4c
11 0138f888 709c7305     clr!_CorExeMainInternal+0xdc
12 0138f8c4 70fcfa84     clr!_CorExeMain+0x4d
13 0138f8fc 7105e81e     mscoreei!_CorExeMain+0xd6
14 0138f90c 71064338     MSCOREE!ShellShim__CorExeMain+0x9e
15 0138f924 74cdf989     MSCOREE!_CorExeMain_Exported+0x8
16 0138f924 77137084     KERNEL32!BaseThreadInitThunk+0x19
17 0138f980 77137054     ntdll!__RtlUserThreadStart+0x2f
18 0138f990 00000000     ntdll!_RtlUserThreadStart+0x1b

　　　　　　　　　　　　　　以上就是线程的调用栈，我们查找一下 _CorExeMain，这个方法，可以在 PPEE 软件里，在查看 Example_2_1_1.exe 的PE 头文件 DIRECTORY_ENTRY_IAT 里，效果如图：
　　　　　　　　　　　　　　　　　　

　　　　　　　　　　　　　　　　　接着上面的说，我们在【k】命令的结果中查找 _CorExeMain 方法。这里的执行结果是一部分，红色部分是重点，MSCOREE 就是 mscoree.dll。

0a 0138eeb4 708222da     clr!CallDescrWorkerInternal+0x34
0b 0138ef08 7082859b     clr!CallDescrWorkerWithHandler+0x6b
0c 0138ef7c 709cb11b     clr!MethodDescCallSite::CallTargetWorker+0x16a
0d 0138f0a0 709cb7fa     clr!RunMain+0x1b3（运行 Main 方法）
0e 0138f30c 709cb727     clr!Assembly::ExecuteMainMethod+0xf7（加载必须的 dll 程序集）
0f 0138f7f0 709cb8a8     clr!SystemDomain::ExecuteMainMethod+0x5ef（初始化系统程序域）
10 0138f848 709cb9ce     clr!ExecuteEXE+0x4c（开始执行 exe）
11 0138f888 709c7305     clr!_CorExeMainInternal+0xdc
12 0138f8c4 70fcfa84     clr!_CorExeMain+0x4d(从这里开始执行入口地址的方法)
13 0138f8fc 7105e81e     mscoreei!_CorExeMain+0xd6（加载 CLR）
14 0138f90c 71064338     MSCOREE!ShellShim__CorExeMain+0x9e
15 0138f924 74cdf989     MSCOREE!_CorExeMain_Exported+0x8(这里就是在 PPEE 看到的入口地址 AddressOfEntryPoint:00002782)
16 0138f924 77137084     KERNEL32!BaseThreadInitThunk+0x19
17 0138f980 77137054     ntdll!__RtlUserThreadStart+0x2f
18 0138f990 00000000     ntdll!_RtlUserThreadStart+0x1b（ntdll是windows 32位的API）

　　　　　　　　　　　　　　　　第12行代码就是 mscoree.dll 执行 _CorExeMain 方法，初始化环境，10 行代码加载 CLR，CLR 从第9 行执行入口函数，知道最后进入我们的托管层，我们可以使用 !clrstack 命令查看托管栈。
　　　　　　　　　　　　　　　　

0:000> !clrstack
OS Thread Id: 0x36d8 (0)
Child SP       IP Call Site
0138eda4 771410fc [InlinedCallFrame: 0138eda4] 
0138eda0 6f7e9b71 DomainNeutralILStubClass.IL_STUB_PInvoke(Microsoft.Win32.SafeHandles.SafeFileHandle, Byte*, Int32, Int32 ByRef, IntPtr)
0138eda4 6ff1b275 [InlinedCallFrame: 0138eda4] Microsoft.Win32.Win32Native.ReadFile(Microsoft.Win32.SafeHandles.SafeFileHandle, Byte*, Int32, Int32 ByRef, IntPtr)
0138ee08 6ff1b275 System.IO.__ConsoleStream.ReadFileNative(Microsoft.Win32.SafeHandles.SafeFileHandle, Byte[], Int32, Int32, Boolean, Boolean, Int32 ByRef) [f:\dd\ndp\clr\src\BCL\system\io\__consolestream.cs @ 205]
0138ee3c 6ff1b17b System.IO.__ConsoleStream.Read(Byte[], Int32, Int32) [f:\dd\ndp\clr\src\BCL\system\io\__consolestream.cs @ 134]
0138ee5c 6f7ce6a3 System.IO.StreamReader.ReadBuffer() [f:\dd\ndp\clr\src\BCL\system\io\streamreader.cs @ 595]
0138ee6c 6f7ceb5b System.IO.StreamReader.ReadLine() [f:\dd\ndp\clr\src\BCL\system\io\streamreader.cs @ 748]
0138ee88 70063786 System.IO.TextReader+SyncTextReader.ReadLine() [f:\dd\ndp\clr\src\BCL\system\io\textreader.cs @ 363]
0138ee98 6fec1845 System.Console.ReadLine() [f:\dd\ndp\clr\src\BCL\system\console.cs @ 1984]
0138eea0 03250876 Example_2_1_1.Program.Main(System.String[]) [E:\Visual Studio 2022\Source\Projects\AdvancedDebug.NetFramework.Test\Example_2_1_1\Program.cs @ 10]
0138f020 7081f036 [GCFrame: 0138f020] 

　　　　　　　　　　　　　　　　系统进入了托管栈，那它怎么知道要执行程序的 Main 方法呢？其实，在 PE 头文件里也有说明，在【DIRECTORY_ENTRY_COM_DESCRIPTOR】配置项里，我们点击该节点，在右侧显示详情，请注意【EntryPointToken】，值是：06000001，这个标记就是 Main方法。

　　　　　　　　　　　　　　　　　效果如图：
　　　　　　　　　　　　　　　　　　

　　　　　　　　　　　　　　　　　　我们为了证明 06000001就是 Main 方法，我们使用 ILSpy 或者 DnSpy 查看程序集的元数据，效果如图：
　　　　　　　　　　　　　　　　　　

　　　　　　　　　　　　　　　　　　其实，我们在 Main 方法的 IL 代码里也有标记，红色部分就是，注意。

.method private hidebysig static 
    void Main (
        string[] args
    ) cil managed 
{
    // Method begins at RVA 0x2050
    // Header size: 1
    // Code size: 19 (0x13)
    .maxstack 8
    .entrypoint

    IL_0000: nop
    IL_0001: ldstr "Hello World"
    IL_0006: call void [mscorlib]System.Console::WriteLine(string)
    IL_000b: nop
    IL_000c: call string [mscorlib]System.Console::ReadLine()
    IL_0011: pop
    IL_0012: ret
} // end of method Program::Main

　　　　　　　　2.3、查看应用程序域
　　　　　　　　　　　　验证代码：Example_2_1_1
　　　　　　　　　　　　EECLASS 存放在 LowFrequencyHeap ，MethodTable 存放在 HighFrequencyHeap

0:000> !dumpdomain（执行的命令）
--------------------------------------
System Domain:      7115caf8（系统级程序域）
LowFrequencyHeap:   7115ce1c（低频堆）
HighFrequencyHeap:  7115ce68（高频堆）
StubHeap:           7115ceb4（桩堆）
Stage:              OPEN
Name:               None
--------------------------------------
Shared Domain:      7115c7a8（共享程序域）
LowFrequencyHeap:   7115ce1c（低频堆）
HighFrequencyHeap:  7115ce68（高频堆）
StubHeap:           7115ceb4（桩堆）
Stage:              OPEN
Name:               None
Assembly:           00b4f3d8 [C:\Windows\Microsoft.Net\assembly\GAC_32\mscorlib\v4.0_4.0.0.0__b77a5c561934e089\mscorlib.dll]
ClassLoader:        00b4de08
  Module Name
6f531000    C:\Windows\Microsoft.Net\assembly\GAC_32\mscorlib\v4.0_4.0.0.0__b77a5c561934e089\mscorlib.dll

--------------------------------------
Domain 1:           00b01518（应用程序域）
LowFrequencyHeap:   00b01984（低频堆）
HighFrequencyHeap:  00b019d0（高频堆）
StubHeap:           00b01a1c（桩堆）
Stage:              OPEN
SecurityDescriptor: 00b02a58
Name:               Example_2_1_1.exe
Assembly:           00b4f3d8 [C:\Windows\Microsoft.Net\assembly\GAC_32\mscorlib\v4.0_4.0.0.0__b77a5c561934e089\mscorlib.dll]
ClassLoader:        00b4de08
SecurityDescriptor: 00b4f340
  Module Name
6f531000    C:\Windows\Microsoft.Net\assembly\GAC_32\mscorlib\v4.0_4.0.0.0__b77a5c561934e089\mscorlib.dll

Assembly:           00b5b4d8 [E:\Visual Studio 2022\Source\Projects\AdvancedDebug.NetFramework.Test\Example_2_1_1\bin\Debug\Example_2_1_1.exe]
ClassLoader:        00b5afa8
SecurityDescriptor: 00b5aea0
  Module Name
00d44044    E:\Visual Studio 2022\Source\Projects\AdvancedDebug.NetFramework.Test\Example_2_1_1\bin\Debug\Example_2_1_1.exe

　　　　　　　　　2.4、通过命令 ? $exentry  查看入口点。

0:000> ?  $exentry
Evaluate expression: 5711746 = 00572782

　　　　　　　　　　　　

三、总结
　　　　今天的内容真不少，完全记录下来还是挺费劲的，俗话说，没有苦哪里来的甜呢，一天的辛苦还是值得的，自己的收获也不少。学习如逆水行舟，不进则退，但是也也有另外一句话，学的越多，好像懂得越少。不管如何，不忘初心，继续努力，老天不会辜负努力的人。