什么?他居然想在DLL中放毒!
dotnet/runtime有一個issue[1]討論了如何使用ModuleInitializer投放惡意代碼,但是微軟的開發經理表示不背這個鍋!?
什么是ModuleInitializer?
ModuleInitializerAttribute[2]是在.NET5.0中新增加的API。它的作用是應用于編譯中的任意數量的靜態方法, 標記的方法保證在調用任何其他方法或在整個模塊中訪問字段之前運行。
針對此屬性的方法必須滿足下列要求:
方法必須是static
方法必須是普通成員方法,而不是屬性訪問器、構造函數、本地函數等
方法必須是無參數的
該方法必須返回 void
方法不能是泛型或包含在泛型類型中
此方法的有效可訪問性必須為 internal 或 public
Demo
創建一個ConsoleApp1項目和ClassLibrary1項目,ConsoleApp1引用ClassLibrary1,目標框架都要選擇 .NET 5.0。
代碼如下:
//ClassLibrary1 public?class?Class1 {public?void?Test(){Console.WriteLine("執行Test方法");} } class?Class2 {[ModuleInitializer]internal?static?void?Hack(){Console.WriteLine("執行惡意代碼!");} }//ConsoleApp2 static?void?Main(string[]?args) {Console.WriteLine("公眾號“My?IO”");new?Class1().Test(); }運行效果如下圖,可以看到ModuleInitializer標記的方法在所有其他方法之前執行了,雖然并沒有任何代碼顯式調用它:?
結論
實際上,無論是否使用ModuleInitializer,都可以在代碼中隱藏惡意代碼,只是這種方式隱蔽性會更高一些。 試想一下,存在一大堆類的情況下,即使你反編譯了源代碼,也不容易注意到隱藏在角落的惡意代碼。
最好的解決方案是只使用可信任來源的第3方庫。
說實話,個人感覺增加這個特性的意義不大,反而顯式初始化更容易控制和理解。
歡迎關注我的個人公眾號”My IO“
參考資料
[1]
issue: https://github.com/dotnet/runtime/issues/43328#issuecomment-858422230
[2]ModuleInitializerAttribute: https://docs.microsoft.com/zh-cn/dotnet/api/system.runtime.compilerservices.moduleinitializerattribute?view=net-5.0
總結
以上是生活随笔為你收集整理的什么?他居然想在DLL中放毒!的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: C# 外接(网口)双摄像头视频获取
- 下一篇: NET问答: ThreadStatic