성태의 닷넷 이야기
홈 주인
모아 놓은 자료
프로그래밍
질문/답변
사용자 관리
사용자
메뉴
아티클
외부 아티클
유용한 코드
온라인 기능
MathJax 입력기
최근 덧글
[정성태] Java - How to use the Foreign Funct...
[정성태] 제가 큰 실수를 했군요. ^^; Delegate를 통한 Bein...
[정성태] Working with Rust Libraries from C#...
[정성태] Detecting blocking calls using asyn...
[정성태] 아쉽게도, 커뮤니티는 아니고 개인 블로그입니다. ^^
[정성태] 질문이 잘 이해가 안 됩니다. 우선, 해당 소스코드에서 ILis...
[양승조
] var대신 dinamic으로 선언해서 해결은 했습니다. 맞는 해...
[양승조
] 또 막혔습니다. ㅠㅠ var list = props[i].Ge...
[양승조
] 아. 감사합니다. 어제는 안됐던것 같은데....정신을 차려야겠네...
[정성태] "props[i].GetValue(props[i])" 코드에서 ...
글쓰기
제목
이름
암호
전자우편
HTML
홈페이지
유형
제니퍼 .NET
닷넷
COM 개체 관련
스크립트
VC++
VS.NET IDE
Windows
Team Foundation Server
디버깅 기술
오류 유형
개발 환경 구성
웹
기타
Linux
Java
DDK
Math
Phone
Graphics
사물인터넷
부모글 보이기/감추기
내용
<div style='display: inline'> <h1 style='font-family: Malgun Gothic, Consolas; font-size: 20pt; color: #006699; text-align: center; font-weight: bold'>windbg - .NET 4.0 이상의 환경에서 DLL의 심벌 파일 로드 방법</h1> <p> 전에 설명한 데로 .NET 4.0부터 DLL 로드를 LoadLibrary Win32 API를 이용하지 않기 때문에 모듈 목록에 DLL이 나타나지 않습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > coreclr 소스 코드로 알아보는 .NET 4.0의 모듈 로딩 함수 ; <a target='tab' href='http://www.sysnet.pe.kr/2/0/11326'>http://www.sysnet.pe.kr/2/0/11326</a> </pre> <br /> 이 때문에 !savemodule 등의 명령어를 위해 모듈에 대한 주소가 필요할 때는 임시로 !name2ee의 출력 결과를 이용해야만 했는데요.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > windbg의 lm 명령으로 보이지 않는 .NET 4.0 ClassLibrary를 명시적으로 로드하는 방법 ; <a target='tab' href='http://www.sysnet.pe.kr/2/0/11256'>http://www.sysnet.pe.kr/2/0/11256</a> </pre> <br /> 위의 내용을 정리하면 모듈 주소를 .reload /f 명령어로 직접 매핑시켜주는 것이었습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > 0:000> <span style='color: blue; font-weight: bold'>!name2ee *!ClassLibrary1.Class1</span> Module: 601d1000 Assembly: mscorlib.dll -------------------------------------- Module: 00fe3ffc Assembly: ConsoleApp1.exe -------------------------------------- Module: <span style='color: blue; font-weight: bold'>00fe4e04</span> Assembly: ClassLibrary1.dll Token: 02000002 MethodTable: 00fe51f0 EEClass: 00fe295c Name: ClassLibrary1.Class1 0:000> <span style='color: blue; font-weight: bold'>.reload /f ClassLibrary1.dll=00fe4e04</span> </pre> <br /> 하지만, 아쉽게도 !name2ee의 출력 주소로는 .reload /f [path]=[addr] 명령어가 PDB 로딩까지 하지는 못합니다.<br /> <br /> <hr style='width: 50%' /><br /> <br /> .reload /f [path]=[addr] 명령어의 [addr]에 넣어 주어야 할 것은 실제 모듈의 로딩 주소여야만 합니다. 이를 위해 라이브 디버깅이라면 Process Explorer 등의 도움을 받아 로딩 주소를 알아낼 수 있습니다. 하지만 덤프 파일 분석인 경우라면 로딩 주소를 딱히 알아낼 수 있는 방법이 없습니다. (혹시 이에 대해 아시는 분 덧글 부탁드립니다. ^^)<br /> <br /> 그나마 제가 생각해 낸 방법은 가능한 모듈 로딩 주소와 가까운 주소를 구해보는 것이었습니다. 예를 들어, 아래는 64비트 응용 프로그램의 !clrstack 출력 결과를 보여줍니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > 0:000> !clrstack OS Thread Id: 0x2200 (0) Child SP IP Call Site 000000abbf4fedd8 00007ff97e4c5ef4 [HelperMethodFrame_1OBJ: 000000abbf4fedd8] System.Threading.Thread.JoinInternal(Int32) <span style='color: blue; font-weight: bold'>000000abbf4feee0 00007ff9040908e8 ClassLibrary1.Utility.WaitJoin(System.Threading.Thread)</span> 000000abbf4fef10 00007ff904090776 ConsoleApp1.Program.WaitForThreadExit(System.Threading.Thread) [D:\ConsoleApp1\Program.cs @ 26] 000000abbf4fef40 00007ff904090634 ConsoleApp1.Program.Main(System.String[]) [D:\ConsoleApp1\Program.cs @ 21] 000000abbf4ff220 00007ff9636b6793 [GCFrame: 000000abbf4ff220] </pre> <br /> 보는 바와 같이 ConsoleApp1.exe에 있는 메서드의 호출 스택에는 PDB 파일과 연동되어 소스 코드 정보가 나오지만, ClassLibrary1.dll에 있던 Utility.WaitJoin 메서드의 소스 코드 정보가 없습니다.<br /> <br /> 일단 해당 모듈을 덤프해 보면,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > 0:000> <span style='color: blue; font-weight: bold'>!ip2md 00007ff9040908e8</span> MethodDesc: 00007ff903f86308 Method Name: ClassLibrary1.Utility.WaitJoin(System.Threading.Thread) Class: 00007ff9040d3a38 MethodTable: 00007ff903f86320 mdToken: 0000000006000006 Module: <span style='color: blue; font-weight: bold'>00007ff903f85b60</span> IsJitted: yes CodeAddr: 00007ff9040908c0 Transparency: Critical 0:000> <span style='color: blue; font-weight: bold'>!DumpModule /d 00007ff903f85b60</span> Name: D:\ConsoleApp1\bin\Debug\ClassLibrary1.dll Attributes: PEFile SupportsUpdateableMethods Assembly: 000001eae1482dd0 LoaderHeap: 0000000000000000 TypeDefToMethodTableMap: 00007ff9040d10d0 TypeRefToMethodTableMap: 00007ff9040d10f0 MethodDefToDescMap: 00007ff9040d1198 FieldDefToDescMap: 00007ff9040d11d8 MemberRefToDescMap: 0000000000000000 FileReferencesMap: 00007ff9040d11f8 AssemblyReferencesMap: 00007ff9040d1200 <span style='color: blue; font-weight: bold'>MetaData start address: 000001eae1552088</span> (1936 bytes) </pre> <br /> 위와 같이 MetaData start address를 얻을 수 있습니다. 순전히 저의 감으로 "start"라는 단어에 왠지 모듈의 시작과 제법 가까울 거라는 생각이 들었습니다. 거기다 메모리 페이징이 4KB 단위로 정렬된다는 것을 감안할 때, 시작 주소는 결국 다음과 같은 순으로 찾아볼 수 있습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > 000001eae1552000 000001eae1551000 000001eae1550000 </pre> <br /> 그중에서 PE 헤더의 MZ 시그니처를 찾아낸 것은 000001eae1550000입니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > 0:000> <span style='color: blue; font-weight: bold'>db 000001eae1550000</span> 000001ea`e1550000 4d 5a 90 00 03 00 00 00-04 00 00 00 ff ff 00 00 <span style='color: blue; font-weight: bold'>MZ</span>.............. 000001ea`e1550010 b8 00 00 00 00 00 00 00-40 00 00 00 00 00 00 00 ........@....... 000001ea`e1550020 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................ 000001ea`e1550030 00 00 00 00 00 00 00 00-00 00 00 00 80 00 00 00 ................ 000001ea`e1550040 0e 1f ba 0e 00 b4 09 cd-21 b8 01 4c cd 21 54 68 ........!..L.!Th 000001ea`e1550050 69 73 20 70 72 6f 67 72-61 6d 20 63 61 6e 6e 6f is program canno 000001ea`e1550060 74 20 62 65 20 72 75 6e-20 69 6e 20 44 4f 53 20 t be run in DOS 000001ea`e1550070 6d 6f 64 65 2e 0d 0d 0a-24 00 00 00 00 00 00 00 mode....$....... </pre> <br /> 따라서 매핑을 이렇게 해주면 됩니다. ^^<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > 0:000> .reload /f ClassLibrary1.dll=000001eae1550000 </pre> <br /> 이렇게 되면 적절한 PDB 파일이 있는 경우 다음과 같이 콜 스택이 잘 나옵니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > 0:000> <span style='color: blue; font-weight: bold'>!clrstack</span> OS Thread Id: 0x2200 (0) Child SP IP Call Site 000000abbf4fedd8 00007ff97e4c5ef4 [HelperMethodFrame_1OBJ: 000000abbf4fedd8] System.Threading.Thread.JoinInternal(Int32) 000000abbf4feee0 00007ff9040908e8 <span style='color: blue; font-weight: bold'>ClassLibrary1.Utility.WaitJoin(System.Threading.Thread) [D:\ClassLibrary1\ParamValue.cs @ 15]</span> 000000abbf4fef10 00007ff904090776 ConsoleApp1.Program.WaitForThreadExit(System.Threading.Thread) [D:\ConsoleApp1\Program.cs @ 26] 000000abbf4fef40 00007ff904090634 ConsoleApp1.Program.Main(System.String[]) [D:\ConsoleApp1\Program.cs @ 21] 000000abbf4ff220 00007ff9636b6793 [GCFrame: 000000abbf4ff220] </pre> <br /> <hr style='width: 50%' /><br /> <br /> 그런데 "MetaData start address: 000001eae1552088" 주소로부터 좀 더 멋있게 000001eae1550000 주소를 찾아낼 수 있는 방법이 없을까요?<br /> <br /> 혹시나 싶어서 Virtual Address 할당을 찾아봤습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > 0:000> <span style='color: blue; font-weight: bold'>!vadump</span> BaseAddress: 0000000000000000 RegionSize: 000000007ffe0000 State: 00010000 MEM_FREE Protect: 00000001 PAGE_NOACCESS BaseAddress: 000000007ffe0000 RegionSize: 0000000000001000 State: 00001000 MEM_COMMIT Protect: 00000002 PAGE_READONLY Type: 00020000 MEM_PRIVATE ...[생략]... BaseAddress: 000001eae14f0000 RegionSize: 0000000000010000 State: 00001000 MEM_COMMIT Protect: 00000004 PAGE_READWRITE Type: 00040000 MEM_MAPPED <span style='color: blue; font-weight: bold'>BaseAddress: 000001eae1500000 RegionSize: 0000000000002000 State: 00001000 MEM_COMMIT Protect: 00000004 PAGE_READWRITE Type: 00020000 MEM_PRIVATE BaseAddress: 000001eae1502000 RegionSize: 000000000000e000 State: 00002000 MEM_RESERVE Type: 00020000 MEM_PRIVATE</span> BaseAddress: 000001eae1510000 RegionSize: 0000000000001000 State: 00001000 MEM_COMMIT Protect: 00000004 PAGE_READWRITE Type: 00020000 MEM_PRIVATE ...[생략]... </pre> <br /> 아쉽게도 vm map 상황에서도 000001eae1552088 영역의 baseaddress가 000001eae1502000로써 000001eae1500000와는 분리되어 있습니다. 하나로 합쳐서 관리했으면 vadump를 이용해 정확한 시작 주소를 한 번에 찾을 수 있었는데... 희망이 없어졌군요. ^^<br /> </p><br /> <br /><hr /><span style='color: Maroon'>[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]</span> </div>
첨부파일
스팸 방지용 인증 번호
6720
(왼쪽의 숫자를 입력해야 합니다.)