/32BIT+功能背后的机制。 CorFlags /32BIT + ,则它将启动为32位进程。我认为这是一个迷人的特性。我不知道有哪个地方有很好的文档记录,但是我可以指向一个相关的MSDN文章。是的,你的推断是正确的,Windows XP及以上版本的加载器有意识地加载托管可执行文件。它会自动加载.NET加载器shim(c:\windows\system32\mscoree.dll),相关的入口点是_CorValidateImage()。链接的MSDN文章中的备注部分描述了将32位.exe文件转换为64位进程的机制:
在Windows XP及更高版本中,操作系统加载器通过检查通用对象文件格式(COFF)头中的COM描述符目录位来检查托管模块。设置位表示托管模块。如果加载器检测到托管模块,则加载MsCorEE.dll并调用_CorValidateImage,该函数执行以下操作:
- 确认图像是有效的托管模块。
- 将图像中的入口点更改为公共语言运行时(CLR)中的入口点。
- 对于64位版本的Windows,通过将其从PE32转换为PE32+格式来修改内存中的图像。
- 加载托管模块映像后返回加载器。
对于可执行映像,操作系统加载器然后调用_CorExeMain函数,而不管可执行文件中指定的入口点。对于DLL程序集映像,加载器调用_CorDllMain函数。
_CorExeMain或_CorDllMain执行以下操作:
- 初始化CLR。
- 从程序集的CLR标头中定位托管入口点。
- 开始执行。
当卸载托管模块映像时,加载器调用_CorImageUnloading函数。但是,此函数不执行任何操作;它只返回。
SECTION_IMAGE_INFORMATION。以下是其符号信息: 0: kd> dt nt!_SECTION_IMAGE_INFORMATION
+0x000 TransferAddress : Ptr64 Void
+0x008 ZeroBits : Uint4B
+0x010 MaximumStackSize : Uint8B
+0x018 CommittedStackSize : Uint8B
+0x020 SubSystemType : Uint4B
+0x024 SubSystemMinorVersion : Uint2B
+0x026 SubSystemMajorVersion : Uint2B
+0x024 SubSystemVersion : Uint4B
+0x028 GpValue : Uint4B
+0x02c ImageCharacteristics : Uint2B
+0x02e DllCharacteristics : Uint2B
+0x030 Machine : Uint2B
+0x032 ImageContainsCode : UChar
+0x033 ImageFlags : UChar
+0x033 ComPlusNativeReady : Pos 0, 1 Bit
+0x033 ComPlusILOnly : Pos 1, 1 Bit
+0x033 ImageDynamicallyRelocated : Pos 2, 1 Bit
+0x033 ImageMappedFlat : Pos 3, 1 Bit
+0x033 BaseBelow4gb : Pos 4, 1 Bit
+0x033 Reserved : Pos 5, 3 Bits
标志ComPlusILOnly和ComPlusNativeReady与.NET有关,ComPlusILOnly仅表示程序集是否仅为CIL(不是混合或本地代码 - 在这种情况下,程序集已经是特定于架构的),而ComPlusNativeReady仅在未设置/32BIT+(较新版本的CorFlags中的32BITREQ或32BITPREF)时为1。这些标志在nt!PspAllocateProcess期间进行检查,并基于它们创建一个32位或64位进程。
我写了一篇文章详细介绍了这个问题。