개발 환경 구성: 319. windbg에서 python 스크립트 실행하는 방법 - pykd
; https://www.sysnet.pe.kr/2/0/11227

디버깅 기술: 96. windbg - 풀 덤프에 포함된 모든 닷넷 모듈을 파일로 저장하는 방법
; https://www.sysnet.pe.kr/2/0/11297

디버깅 기술: 103. windbg - .NET 4.0 이상의 환경에서 모든 DLL에 대한 심벌 파일을 로드하는 파이썬 스크립트
; https://www.sysnet.pe.kr/2/0/11331

디버깅 기술: 143. windbg/sos - Hashtable의 buckets 배열 내용을 모두 덤프하는 방법 (do_hashtable.py)
; https://www.sysnet.pe.kr/2/0/12084

디버깅 기술: 145. windbg/sos - Dictionary의 entries 배열 내용을 모두 덤프하는 방법 (do_hashtable.py)
; https://www.sysnet.pe.kr/2/0/12087

디버깅 기술: 178. windbg - 디버그 시작 시 스크립트 실행
; https://www.sysnet.pe.kr/2/0/12472

개발 환경 구성: 621. windbg에서 python 스크립트 실행하는 방법 - pykd (2)
; https://www.sysnet.pe.kr/2/0/12899

windbg - 풀 덤프에 포함된 모든 닷넷 모듈을 파일로 저장하는 방법

(2022-10-09 업데이트) 아래의 글에 설명한 windbg + pykd 없이 "리눅스 환경의 .NET Core 3/5+ 메모리 덤프로부터 모든 닷넷 모듈을 추출하는 방법"에서 설명한 SaveModules.zip을 빌드한 프로그램을 사용하셔도 됩니다.

---

지난번에 "모든 모듈"을 저장하는 방법을 설명했는데요.

windbg - 풀 덤프에 포함된 모든 모듈을 파일로 저장하는 방법
; https://www.sysnet.pe.kr/2/0/11280

그런데, 아쉽게도 위의 명령어로는 '닷넷 모듈'을 저장할 수 없습니다. 그 이유도 역시 지난번에 설명했습니다.

windbg - 풀 덤프 파일로부터 .NET DLL을 추출/저장하는 방법
; https://www.sysnet.pe.kr/2/0/10943

그래서, 위의 글에 따라 일일이 "!name2ee *!any" 결과에 따라 모듈을 저장해줘야 하는데요. 덤프 떠서 분석할 정도의 응용 프로그램이라면 모듈 수가 제법 되기 때문에 여간 귀찮은 작업이 아닐 수 없습니다. 그래서 이를 자동화하면 좋겠는데요, 처음에 생각했던 것이 바로 .foreach였습니다.

Windbg - .foreach 사용법
; https://www.sysnet.pe.kr/2/0/11295

실제로 "!name2ee *!any"의 출력이 대충 이런 식인데,

0:000> !name2ee *!any
Module:      5d761000
Assembly:    mscorlib.dll
--------------------------------------
Module:      01554804
Assembly:    ConsoleApp1.exe
--------------------------------------
...[생략]...

처음 1개의 토큰(Module:)을 건너뛰고, 이후 4개의 토큰을 반복적으로 건너뛰면 모듈의 주소를 구할 수 있습니다. 이렇게!

.foreach /pS 1 /ps 4 (obj { !name2ee *!any }){ .echo ${obj} }

// 출력 결과
5d761000
01554804
...[생략]...

문제는, !savemodule로 저장하려면 주소뿐만 아니라 모듈 명도 있어야 한다는 것입니다. 물론, 모듈 명도 따로는 이런 식으로 구할 수 있습니다.

.foreach /pS 3 /ps 4 (obj { !name2ee *!any }){ .echo ${obj} }

// 출력 결과
mscorlib.dll
ConsoleApp1.exe
...[생략]...

하지만 저 두 변수를 합쳐서 열거해야 하는데 아쉽게도 .foreach 구문은 변수를 오직 한 개만 쓸 수 있으므로 !savemodule 명령어를 올바르게 수행할 수 없습니다. (혹시, 기가 막힌 방법을 아시는 분은 덧글 부탁드립니다. ^^)

---

어쩔 수 없습니다. 이렇게 된 이상 확장의 힘을 빌려야 하는데요. 안 그래도 저번에 파이썬 스크립트를 windbg와 함께 쓰는 방법을 소개한 적이 있습니다. ^^

windbg에서 python 스크립트 실행하는 방법 - pykd
; https://www.sysnet.pe.kr/2/0/11227

그리하여, 다음과 같은 스크립트 파일을 (samm.py 이름으로) 만들고,

from pykd import *

def getItem(text, key):
    for line in text.splitlines():
        if key in line:
            result = line.split(":")[1].strip()
    return result

outputText = pykd.dbgCommand("!name2ee *!any")

for line in outputText.split("--------------------------------------"):
    moduleAddress = getItem(line, "Module:")
    moduleName = getItem(line, "Assembly:")
    pykd.dbgCommand("!savemodule " + moduleAddress + " C:\\temp\\" + moduleName)

다음과 같이 실행해 주시면 됩니다. ^^

0:000> .loadby sos clr
0:000> .load C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\winext\pykd.dll
0:000> !py C:\temp\samm.py 

---

[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[최초 등록일: 9/8/2017]
[최종 수정일: 10/20/2022]


이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

by SeongTae Jeong, mailto:techsharer at outlook.com