성태의 닷넷 이야기
홈 주인
모아 놓은 자료
프로그래밍
질문/답변
사용자 관리
사용자
메뉴
아티클
외부 아티클
유용한 코드
온라인 기능
MathJax 입력기
최근 덧글
[정성태] Java - How to use the Foreign Funct...
[정성태] 제가 큰 실수를 했군요. ^^; Delegate를 통한 Bein...
[정성태] Working with Rust Libraries from C#...
[정성태] Detecting blocking calls using asyn...
[정성태] 아쉽게도, 커뮤니티는 아니고 개인 블로그입니다. ^^
[정성태] 질문이 잘 이해가 안 됩니다. 우선, 해당 소스코드에서 ILis...
[양승조
] var대신 dinamic으로 선언해서 해결은 했습니다. 맞는 해...
[양승조
] 또 막혔습니다. ㅠㅠ var list = props[i].Ge...
[양승조
] 아. 감사합니다. 어제는 안됐던것 같은데....정신을 차려야겠네...
[정성태] "props[i].GetValue(props[i])" 코드에서 ...
글쓰기
제목
이름
암호
전자우편
HTML
홈페이지
유형
제니퍼 .NET
닷넷
COM 개체 관련
스크립트
VC++
VS.NET IDE
Windows
Team Foundation Server
디버깅 기술
오류 유형
개발 환경 구성
웹
기타
Linux
Java
DDK
Math
Phone
Graphics
사물인터넷
부모글 보이기/감추기
내용
<div style='display: inline'> <h1 style='font-family: Malgun Gothic, Consolas; font-size: 20pt; color: #006699; text-align: center; font-weight: bold'>windbg - .NET x64 EXE의 EntryPoint</h1> <p> 지난 글에서,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > windbg - .NET x86 CLR2/CLR4 EXE의 EntryPoint ; <a target='tab' href='http://www.sysnet.pe.kr/2/0/11861'>http://www.sysnet.pe.kr/2/0/11861</a> </pre> <br /> x86 .NET EXE에 대해 EntryPoint를 실습해 봤는데요. 그럼 x64에서는 어떻게 될까요? 이게 좀 묘합니다. ^^<br /> <br /> 일단, windbg에서 "bp $exentry"로 걸면 다음과 같은 오류와 함께 디버깅이 진행되지 않습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > 0:000> <span style='color: blue; font-weight: bold'>bp $exentry</span> *** WARNING: Unable to verify checksum for ConsoleApp1.exe 0:000> <span style='color: blue; font-weight: bold'>g</span> Unable to insert breakpoint 0 at 00000212`f3710000, Win32 error 0n998 "Invalid access to memory location." The breakpoint was set with BP. If you want breakpoints to track module load/unload state you must use BU. bp0 at 00000212`f3710000 failed WaitForEvent failed ntdll!LdrpDoDebuggerBreak+0x31: 00007ff8`970e2cbd eb00 jmp ntdll!LdrpDoDebuggerBreak+0x33 (00007ff8`970e2cbf) </pre> <br /> 위와 같은 상황이 되면 아무리 g 키를 눌러도 진행이 안 되므로 설정한 bp를 삭제해야만 합니다. 그런데, windbg가 찾아낸 $exentry의 위치가 재미있습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > 0:000> <span style='color: blue; font-weight: bold'>u $exentry</span> ConsoleApp1!Main [C:\temp\ConsoleApplication1\ConsoleApp1\Program.cs @ 12]: 00000001`40000000 4d5a pop r10 00000001`40000002 90 nop 00000001`40000003 0003 add byte ptr [rbx],al 00000001`40000005 0000 add byte ptr [rax],al 00000001`40000007 000400 add byte ptr [rax+rax],al 00000001`4000000a 0000 add byte ptr [rax],al 00000001`4000000c ff ??? 00000001`4000000d ff00 inc dword ptr [rax] </pre> <br /> 보는 바와 같이 Native가 아닌 .NET 수준에서의 Main 함수 진입점을 가리키는 걸로 나옵니다. 즉, 저 위치는 기계어가 아니라 .NET Main 함수의 Body 위치라고 봐야 합니다. 더욱 재미있는 것은 $exentry의 주솟값이 모듈의 로딩 주소와 동일하다는 것입니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > 0:000> <span style='color: blue; font-weight: bold'>lm</span> start end module name <span style='color: blue; font-weight: bold'>00000001`40000000</span> 00000001`40006000 ConsoleApp1 (pdb symbols) C:\temp\ConsoleApplication1\x64\Debug\ConsoleApp1.pdb 00007ff8`80a60000 00007ff8`80ac4000 MSCOREE (deferred) 00007ff8`935b0000 00007ff8`93843000 KERNELBASE (deferred) 00007ff8`96c50000 00007ff8`96d03000 KERNEL32 (deferred) 00007ff8`97010000 00007ff8`971fd000 ntdll (pdb symbols) e:\symbols\ntdll.pdb\BF569FC564FA51D4BFE7B5E47D65792D1\ntdll.pdb </pre> <br /> 실제로 .NET EXE의 PE 헤더에 있는 "AddressOfEntryPoint"의 값은 0입니다. 이 값이 0이라는 것은 진입점이 없다는 것을 의미합니다.<br /> <br /> <hr style='width: 50%' /><br /> <br /> WinDbg로 조사해보면, x64 CLR2 EXE인 경우 x86에서와 마찬가지로 KERNEL32!BaseThreadInitThunk+0xe에서 멈추는 것을 확인할 수 있습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > KERNEL32!BaseThreadInitThunk: 00007ff8`96c681e0 4883ec28 sub rsp,28h 00007ff8`96c681e4 85c9 test ecx,ecx 00007ff8`96c681e6 7515 jne KERNEL32!BaseThreadInitThunk+0x1d (00007ff8`96c681fd) 00007ff8`96c681e8 498bc8 mov rcx,r8 00007ff8`96c681eb 488bc2 mov rax,rdx 00007ff8`96c681ee ff1574290600 call qword ptr [KERNEL32!_guard_dispatch_icall_fptr (00007ff8`96ccab68)] ds:00007ff8`96ccab68={KERNEL32!guard_dispatch_icall_nop (00007ff8`96c73310)} </pre> <br /> 위의 상태에서 rax == 7ff880a6a510으로 나오고, _guard_dispatch_icall_fptr의 코드는 그 rax로 JMP하는 역할만 합니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > KERNEL32!guard_dispatch_icall_nop: 00007ff8`96c73310 ffe0 jmp rax {MSCOREE!CorExeMain_Exported (00007ff8`80a6a510)} </pre> <br /> 그러니까, 윈도우 시스템은 .NET EXE의 EntryPoint를 7ff880a6a510로 판단하고 있는 것입니다. 왜 이 주소가 구해졌는지 x64의 경우 이해가 안 됩니다. 그나마 x86의 경우에는 mscoree.dll에 대한 참조를 Import Directory에 가지고 있어서 실행 시 CorExeMain_Exported에 대한 점프 주소를 가지고 있었지만, x64는 mscoree.dll에 대한 참조 조차 가지고 있습니다. 다시 말해 표면상 PE 파일 포맷을 지키고는 있지만 내용면에서 보면 일반 데이터 파일과 다를 바가 없는 것입니다.<br /> <br /> 그렇다면 x64의 경우 윈도우 시스템 측의 로더가 .NET 모듈임을 인식하는 걸까요? 아마도 그럴 것 같은데... 혹시 아시는 분이 있다면 덧글 부탁드립니다. ^^<br /> </p><br /> <br /><hr /><span style='color: Maroon'>[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]</span> </div>
첨부파일
스팸 방지용 인증 번호
1994
(왼쪽의 숫자를 입력해야 합니다.)