IL注入前必须确认目标方法未被JIT内联,否则修改无效;须通过ILProcessor操作指令,手动导入跨程序集引用,并用ildasm与peverify双重验证IL合法性。
IL注入前必须确认目标方法是否被JIT内联
用 Mono.Cecil 注入 IL 指令的前提是:目标方法在运行时**不会被 JIT 编译器内联**。一旦被内联,你改了原方法的 IL,实际执行路径里根本不会调用它——等于白改。
常见触发内联的条件包括:方法体极短(如单个 return)、标记了 [MethodImpl(MethodImplOptions.AggressiveInlining)]、或编译为 Release 模式且未禁用优化。验证方式很简单:
- 在目标方法第一行加
Debugger.Break(),调试运行看是否能断住 - 用
dotnet dump analyze或PerfView查看 JIT 后的方法调用栈,确认是否出现该方法名 - 临时加上
[MethodImpl(MethodImplOptions.NoInlining)]强制禁用内联(仅用于测试)
用Mono.Cecil修改MethodBody需先获取ILProcessor
Mono.Cecil 不允许直接写入 MethodBody.Instructions 数组,所有插入/替换操作必须通过 ILProcessor 完成,否则会抛出 NotSupportedException 或导致元数据损坏。
典型安全写法:
var processor = method.Body.GetILProcessor();
// 插入到开头(注意:不是所有位置都适合插入,比如try块前)
processor.InsertBefore(processor.Body.Instructions[0],
Instruction.Create(OpCodes.Ldstr, "hooked"));
// 修改已有指令(如把 call 换成 callvirt)
var callInst = processor.Body.Instructions.First(x => x.OpCode == OpCodes.Call);
processor.Replace(callInst, Instruction.Create(OpCodes.Callvirt, newMethodRef));
- 不要用
Instructions.Add()—— 这会导致指令索引错乱、异常表失效 - 若要注入整个新逻辑(如日志),优先用
InsertBefore/InsertAfter,而非Append - 修改后务必调用
module.Write("out.dll"),且原始 DLL 必须未被其他进程加载(否则写入失败)
注入代码访问外部类型时需手动导入引用
你在注入的 IL 中用了 Console.WriteLine 或自定义日志类?Mono.Cecil 不会自动帮你解析命名空间或添加程序集引用。如果漏掉这步,生成的 DLL 在加载时会抛 TypeLoadException 或 MethodNotFoundException。
正确做法是显式导入:
// 假设要调用 System.Console.WriteLine(string)
var consoleType = module.ImportReference(typeof(Console));
var writeLineMethod = module.ImportReference(
consoleType.Resolve().Methods.First(m =>
m.Name == "WriteLine" && m.Parameters.Count == 1));
processor.InsertBefore(..., Instruction.Create(OpCodes.Call, writeLineMethod));
- 所有跨程序集的类型、方法、字段,都必须经
module.ImportReference()转换 - 不能直接用
typeof(...)得到的MethodDefinition,那属于源模块,不是当前 module 的上下文 - 若注入代码依赖你自己的工具类,需先将该类编译为独立 DLL,再用
module.AssemblyResolver注册解析器
调试注入后的IL必须用ildasm + peverify双验证
写完注入逻辑不等于万事大吉。C# 编译器生成的 IL 有严格约束(如堆栈平衡、异常表完整性、局部变量签名),Mono.Cecil 不做实时校验,出错往往到运行时才暴露——比如 InvalidProgramException 或直接崩溃。
上线前必做两件事:
- 用
ildasm injected.dll /output=injected.il导出 IL 文本,人工检查关键位置是否多插/少插ldarg.0、ret是否仍存在、局部变量声明是否匹配 - 用
peverify injected.dll(.NET Framework)或dotnet peverify injected.dll(.NET 5+ 需安装Microsoft.NETCore.App.Ref)验证元数据和 IL 流合法性 - 特别注意:如果原方法有
try/catch或using,注入指令不能跨异常块边界,否则peverify会报HRESULT: 0x80131869
IL 注入不是“写完就跑”,每处插入都要对应到原有控制流图;最隐蔽的问题往往出在异常处理表偏移错位,而这个错位在源码层面完全不可见。
