성태의 닷넷 이야기
홈 주인
모아 놓은 자료
프로그래밍
질문/답변
사용자 관리
사용자
메뉴
아티클
외부 아티클
유용한 코드
온라인 기능
MathJax 입력기
최근 덧글
[정성태] Java - How to use the Foreign Funct...
[정성태] 제가 큰 실수를 했군요. ^^; Delegate를 통한 Bein...
[정성태] Working with Rust Libraries from C#...
[정성태] Detecting blocking calls using asyn...
[정성태] 아쉽게도, 커뮤니티는 아니고 개인 블로그입니다. ^^
[정성태] 질문이 잘 이해가 안 됩니다. 우선, 해당 소스코드에서 ILis...
[양승조
] var대신 dinamic으로 선언해서 해결은 했습니다. 맞는 해...
[양승조
] 또 막혔습니다. ㅠㅠ var list = props[i].Ge...
[양승조
] 아. 감사합니다. 어제는 안됐던것 같은데....정신을 차려야겠네...
[정성태] "props[i].GetValue(props[i])" 코드에서 ...
글쓰기
제목
이름
암호
전자우편
HTML
홈페이지
유형
제니퍼 .NET
닷넷
COM 개체 관련
스크립트
VC++
VS.NET IDE
Windows
Team Foundation Server
디버깅 기술
오류 유형
개발 환경 구성
웹
기타
Linux
Java
DDK
Math
Phone
Graphics
사물인터넷
부모글 보이기/감추기
내용
<div style='display: inline'> <h1 style='font-family: Malgun Gothic, Consolas; font-size: 20pt; color: #006699; text-align: center; font-weight: bold'>windbg - 풀 덤프에 포함된 모든 닷넷 모듈을 파일로 저장하는 방법</h1> <p> <strike>(2022-10-09 업데이트) 아래의 글에 설명한 windbg + pykd 없이 "<a target='tab' href='https://www.sysnet.pe.kr/2/0/13139'>리눅스 환경의 .NET Core 3/5+ 메모리 덤프로부터 모든 닷넷 모듈을 추출하는 방법"</a>에서 설명한 SaveModules.zip을 빌드한 프로그램을 사용하셔도 됩니다.</strike><br /> <br /> <hr style='width: 50%' /><br /> <br /> 지난번에 "모든 모듈"을 저장하는 방법을 설명했는데요.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > windbg - 풀 덤프에 포함된 모든 모듈을 파일로 저장하는 방법 ; <a target='tab' href='http://www.sysnet.pe.kr/2/0/11280'>http://www.sysnet.pe.kr/2/0/11280</a> </pre> <br /> 그런데, 아쉽게도 위의 명령어로는 '닷넷 모듈'을 저장할 수 없습니다. 그 이유도 역시 지난번에 설명했습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > windbg - 풀 덤프 파일로부터 .NET DLL을 추출/저장하는 방법 ; <a target='tab' href='http://www.sysnet.pe.kr/2/0/10943'>http://www.sysnet.pe.kr/2/0/10943</a> </pre> <br /> 그래서, 위의 글에 따라 일일이 "!name2ee *!any" 결과에 따라 모듈을 저장해줘야 하는데요. 덤프 떠서 분석할 정도의 응용 프로그램이라면 모듈 수가 제법 되기 때문에 여간 귀찮은 작업이 아닐 수 없습니다. 그래서 이를 자동화하면 좋겠는데요, 처음에 생각했던 것이 바로 .foreach였습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > Windbg - .foreach 사용법 ; <a target='tab' href='http://www.sysnet.pe.kr/2/0/11295'>http://www.sysnet.pe.kr/2/0/11295</a> </pre> <br /> 실제로 "!name2ee *!any"의 출력이 대충 이런 식인데,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > 0:000> !name2ee *!any Module: 5d761000 Assembly: mscorlib.dll -------------------------------------- Module: 01554804 Assembly: ConsoleApp1.exe -------------------------------------- ...[생략]... </pre> <br /> 처음 1개의 토큰(Module:)을 건너뛰고, 이후 4개의 토큰을 반복적으로 건너뛰면 모듈의 주소를 구할 수 있습니다. 이렇게!<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > .foreach /pS 1 /ps 4 (obj { !name2ee *!any }){ .echo ${obj} } // 출력 결과 5d761000 01554804 ...[생략]... </pre> <br /> 문제는, !savemodule로 저장하려면 주소뿐만 아니라 모듈 명도 있어야 한다는 것입니다. 물론, 모듈 명도 따로는 이런 식으로 구할 수 있습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > .foreach /pS 3 /ps 4 (obj { !name2ee *!any }){ .echo ${obj} } // 출력 결과 mscorlib.dll ConsoleApp1.exe ...[생략]... </pre> <br /> 하지만 저 두 변수를 합쳐서 열거해야 하는데 아쉽게도 .foreach 구문은 변수를 오직 한 개만 쓸 수 있으므로 !savemodule 명령어를 올바르게 수행할 수 없습니다. (혹시, 기가 막힌 방법을 아시는 분은 덧글 부탁드립니다. ^^)<br /> <br /> <hr style='width: 50%' /><br /> <br /> 어쩔 수 없습니다. 이렇게 된 이상 확장의 힘을 빌려야 하는데요. 안 그래도 저번에 파이썬 스크립트를 windbg와 함께 쓰는 방법을 소개한 적이 있습니다. ^^<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > windbg에서 python 스크립트 실행하는 방법 - pykd ; <a target='tab' href='http://www.sysnet.pe.kr/2/0/11227'>http://www.sysnet.pe.kr/2/0/11227</a> </pre> <br /> 그리하여, 다음과 같은 스크립트 파일을 (samm.py 이름으로) 만들고,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > from pykd import * def getItem(text, key): for line in text.splitlines(): if key in line: result = line.split(":")[1].strip() return result outputText = pykd.dbgCommand("!name2ee *!any") for line in outputText.split("--------------------------------------"): moduleAddress = getItem(line, "Module:") moduleName = getItem(line, "Assembly:") pykd.dbgCommand("!savemodule " + moduleAddress + " C:\\temp\\" + moduleName) </pre> <br /> 다음과 같이 실행해 주시면 됩니다. ^^<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > 0:000> <span style='color: blue; font-weight: bold'>.loadby sos clr</span> 0:000> <span style='color: blue; font-weight: bold'>.load C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\winext\pykd.dll</span> 0:000> <span style='color: blue; font-weight: bold'>!py C:\temp\samm.py</span> </pre> </p><br /> <br /><hr /><span style='color: Maroon'>[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]</span> </div>
첨부파일
스팸 방지용 인증 번호
1049
(왼쪽의 숫자를 입력해야 합니다.)