(연관된 글이 5개 있습니다.)

windbg - 풀 덤프에 포함된 모든 닷넷 모듈을 파일로 저장하는 방법

(2022-10-09 업데이트) 아래의 글에 설명한 windbg + pykd 없이 "리눅스 환경의 .NET Core 3/5+ 메모리 덤프로부터 모든 닷넷 모듈을 추출하는 방법"에서 설명한 SaveModules.zip을 빌드한 프로그램을 사용하셔도 됩니다.

지난번에 "모든 모듈"을 저장하는 방법을 설명했는데요.

windbg - 풀 덤프에 포함된 모든 모듈을 파일로 저장하는 방법
; https://www.sysnet.pe.kr/2/0/11280

그런데, 아쉽게도 위의 명령어로는 '닷넷 모듈'을 저장할 수 없습니다. 그 이유도 역시 지난번에 설명했습니다.

windbg - 풀 덤프 파일로부터 .NET DLL을 추출/저장하는 방법
; https://www.sysnet.pe.kr/2/0/10943

그래서, 위의 글에 따라 일일이 "!name2ee *!any" 결과에 따라 모듈을 저장해줘야 하는데요. 덤프 떠서 분석할 정도의 응용 프로그램이라면 모듈 수가 제법 되기 때문에 여간 귀찮은 작업이 아닐 수 없습니다. 그래서 이를 자동화하면 좋겠는데요, 처음에 생각했던 것이 바로 .foreach였습니다.

Windbg - .foreach 사용법
; https://www.sysnet.pe.kr/2/0/11295

실제로 "!name2ee *!any"의 출력이 대충 이런 식인데,

0:000> !name2ee *!any
Module:      5d761000
Assembly:    mscorlib.dll
--------------------------------------
Module:      01554804
Assembly:    ConsoleApp1.exe
--------------------------------------
...[생략]...

처음 1개의 토큰(Module:)을 건너뛰고, 이후 4개의 토큰을 반복적으로 건너뛰면 모듈의 주소를 구할 수 있습니다. 이렇게!

.foreach /pS 1 /ps 4 (obj { !name2ee *!any }){ .echo ${obj} }

// 출력 결과
5d761000
01554804
...[생략]...

문제는, !savemodule로 저장하려면 주소뿐만 아니라 모듈 명도 있어야 한다는 것입니다. 물론, 모듈 명도 따로는 이런 식으로 구할 수 있습니다.

.foreach /pS 3 /ps 4 (obj { !name2ee *!any }){ .echo ${obj} }

// 출력 결과
mscorlib.dll
ConsoleApp1.exe
...[생략]...

하지만 저 두 변수를 합쳐서 열거해야 하는데 아쉽게도 .foreach 구문은 변수를 오직 한 개만 쓸 수 있으므로 !savemodule 명령어를 올바르게 수행할 수 없습니다. (혹시, 기가 막힌 방법을 아시는 분은 덧글 부탁드립니다. ^^)

어쩔 수 없습니다. 이렇게 된 이상 확장의 힘을 빌려야 하는데요. 안 그래도 저번에 파이썬 스크립트를 windbg와 함께 쓰는 방법을 소개한 적이 있습니다. ^^

windbg에서 python 스크립트 실행하는 방법 - pykd
; https://www.sysnet.pe.kr/2/0/11227

그리하여, 다음과 같은 스크립트 파일을 (samm.py 이름으로) 만들고,

from pykd import *

def getItem(text, key):
    for line in text.splitlines():
        if key in line:
            result = line.split(":")[1].strip()
    return result

outputText = pykd.dbgCommand("!name2ee *!any")

for line in outputText.split("--------------------------------------"):
    moduleAddress = getItem(line, "Module:")
    moduleName = getItem(line, "Assembly:")
    pykd.dbgCommand("!savemodule " + moduleAddress + " C:\\temp\\" + moduleName)

다음과 같이 실행해 주시면 됩니다. ^^

0:000> .loadby sos clr
0:000> .load C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\winext\pykd.dll
0:000> !py C:\temp\samm.py

[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[연관 글]

[최초 등록일: 9/8/2017]
[최종 수정일: 10/20/2022]

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

by SeongTae Jeong, mailto:techsharer at outlook.com

No	Writer	Date	Cnt.	Title	File(s)
12227	정성태	6/12/2020	16050	오류 유형: 616. Visual Studio의 느린 업데이트 속도에 대한 원인 분석 [5]
12226	정성태	6/11/2020	13350	개발 환경 구성: 493. OpenVPN의 네트워크 구성 [4]	1
12225	정성태	6/11/2020	12347	개발 환경 구성: 492. 윈도우에 OpenVPN 설치 - 클라이언트 측 구성
12224	정성태	6/11/2020	20199	개발 환경 구성: 491. 윈도우에 OpenVPN 설치 - 서버 측 구성 [1]
12223	정성태	6/9/2020	14198	.NET Framework: 908. C# - Source Generator 소개 [10]	2
12222	정성태	6/3/2020	10102	VS.NET IDE: 146. error information: "CryptQueryObject" (-2147024893/0x80070003)
12221	정성태	6/3/2020	9868	Windows: 170. 비어 있지 않은 디렉터리로 symbolic link(junction) 연결하는 방법
12220	정성태	6/3/2020	12267	.NET Framework: 907. C# DLL로부터 TLB 및 C/C++ 헤더 파일(TLH)을 생성하는 방법
12219	정성태	6/1/2020	11411	.NET Framework: 906. C# - lock (this), lock (typeof(...))를 사용하면 안 되는 이유	1
12218	정성태	5/27/2020	11332	.NET Framework: 905. C# - DirectX 게임 클라이언트 실행 중 키보드 입력을 감지하는 방법 [3]
12217	정성태	5/24/2020	9804	오류 유형: 615. Transaction count after EXECUTE indicates a mismatching number of BEGIN and COMMIT statements. Previous count = 0, current count = 1.
12216	정성태	5/15/2020	12944	.NET Framework: 904. USB/IP PROJECT를 이용해 C#으로 USB Keyboard 가상 장치 만들기 [14]	1
12215	정성태	5/12/2020	17959	개발 환경 구성: 490. C# - (Wireshark의) USBPcap을 이용한 USB 패킷 모니터링 [10]	1
12214	정성태	5/5/2020	10285	개발 환경 구성: 489. 정식 인증서가 있는 경우 Device Driver 서명하는 방법 (2) - UEFI/SecureBoot [1]
12213	정성태	5/3/2020	11930	개발 환경 구성: 488. (User-mode 코드로 가상 USB 장치를 만들 수 있는) USB/IP PROJECT 소개
12212	정성태	5/1/2020	9577	개발 환경 구성: 487. UEFI / Secure Boot 상태인지 확인하는 방법
12211	정성태	4/27/2020	11920	개발 환경 구성: 486. WSL에서 Makefile로 공개된 리눅스 환경의 C/C++ 소스 코드 빌드
12210	정성태	4/20/2020	12367	.NET Framework: 903. .NET Framework의 Strong-named 어셈블리 바인딩 (1) - app.config을 이용한 바인딩 리디렉션 [1]	1
12209	정성태	4/13/2020	10460	오류 유형: 614. 리눅스 환경에서 C/C++ 프로그램이 Segmentation fault 에러가 발생한 경우 (2)
12208	정성태	4/12/2020	9914	Linux: 29. 리눅스 환경에서 C/C++ 프로그램이 Segmentation fault 에러가 발생한 경우
12207	정성태	4/2/2020	8882	스크립트: 19. Windows PowerShell의 NonInteractive 모드
12206	정성태	4/2/2020	11154	오류 유형: 613. 파일 잠금이 바로 안 풀린다면? - The process cannot access the file '...' because it is being used by another process.
12205	정성태	4/2/2020	8602	스크립트: 18. Powershell에서는 cmd.exe의 명령어를 지원하진 않습니다.
12204	정성태	4/1/2020	8390	스크립트: 17. Powershell 명령어에 ';' (semi-colon) 문자가 포함된 경우
12203	정성태	3/18/2020	10413	오류 유형: 612. warning: 'C:\ProgramData/Git/config' has a dubious owner: '...'.
12202	정성태	3/18/2020	13036	개발 환경 구성: 486. .NET Framework 프로젝트를 위한 GitLab CI/CD Runner 구성

Writer

Date

Cnt.

Title

File(s)

12227

정성태

6/12/2020

16050

오류 유형: 616. Visual Studio의 느린 업데이트 속도에 대한 원인 분석 [5]

12226

정성태