windbg - CoTaskMemFree/FreeCoTaskMem에서 발생한 덤프 분석 사례
crash가 발생하는 덤프 2개를 보는데, 충돌이 발생한 콜스택이 각각 다음과 같았습니다.
ntdll.dll!RtlReportCriticalFailure() Unknown
ntdll.dll!RtlpHeapHandleError() Unknown
ntdll.dll!RtlpLogHeapFailure() Unknown
ntdll.dll!RtlFreeHeap() Unknown
OraOps19.dll!00007ffcf061fbaf() Unknown
OraOps19.dll!00007ffcf0628a29() Unknown
ntdll.dll!RtlReportCriticalFailure() Unknown
ntdll.dll!RtlpHeapHandleError() Unknown
ntdll.dll!RtlpLogHeapFailure() Unknown
ntdll.dll!RtlFreeHeap() Unknown
[Managed to Native Transition]
mscorlib.dll!System.Runtime.InteropServices.Marshal.FreeCoTaskMem(System.IntPtr ptr) Unknown
Oracle.DataAccess.dll!Oracle.DataAccess.Client.OracleCommand.ExecuteReader(bool requery, bool fillRequest, System.Data.CommandBehavior behavior) Unknown
Oracle.DataAccess.dll!Oracle.DataAccess.Client.OracleCommand.ExecuteReader() Unknown
...[생략]...
System.Web.dll!System.Web.Hosting.PipelineRuntime.ProcessRequestNotificationHelper(System.IntPtr rootedObjectsPointer, System.IntPtr nativeRequestContext, System.IntPtr moduleData, int flags) Unknown
System.Web.dll!System.Web.Hosting.PipelineRuntime.ProcessRequestNotification(System.IntPtr rootedObjectsPointer, System.IntPtr nativeRequestContext, System.IntPtr moduleData, int flags) Unknown
[Native to Managed Transition]
webengine4.dll!W3_MGD_HANDLER::ProcessNotification(void) Unknown
webengine4.dll!ProcessNotificationCallback(void *) Unknown
kernel32.dll!BaseThreadInitThunk() Unknown
ntdll.dll!RtlUserThreadStart() Unknown
하나는 Oracle 측의 ODAC 구성 요소인
OraOps19.dll에서 발생한 것이고, 또 하나도 역시 ODAC의 .NET 구성 요소인 Oracle.DataAccess.dll에서 발생했지만 Marshal 타입의 CoTaskMemAlloc에 대응한 FreeCoTaskMem에서 발생한 것을 쉽게 알 수 있습니다.
Marshal.AllocCoTaskMem(Int32) Method
; https://learn.microsoft.com/en-us/dotnet/api/system.runtime.interopservices.marshal.alloccotaskmem?view=netframework-4.8
Marshal.FreeCoTaskMem(IntPtr) Method
; https://learn.microsoft.com/en-us/dotnet/api/system.runtime.interopservices.marshal.freecotaskmem?view=netframework-4.8
2개의 덤프를 보면 서로 연관이 없는 듯싶고 그냥 단순히 heap이 깨졌나 정도로만 생각했습니다. 그러다 첫 번째의 "OraOps19.dll!00007ffcf061fbaf()" 함수를 조금 더 자세하게 살펴봤는데요,
[OraOps19.dll!00007ffcf061fbaf()]
00007FFCF061FBA0 48 83 EC 28 sub rsp,28h
00007FFCF061FBA4 48 85 C9 test rcx,rcx
00007FFCF061FBA7 74 06 je 00007FFCF061FBAF
00007FFCF061FBA9 FF 15 79 10 03 00 call qword ptr [7FFCF0650C28h]
00007FFCF061FBAF B8 01 00 00 00 mov eax,1
00007FFCF061FBB4 48 83 C4 28 add rsp,28h
00007FFCF061FBB8 C3 ret
7FFCF0650C28h 주솟값에는 qword 값으로 00007ffd0390b790 값이 담겨 있는 것을
메모리 창을 통해 확인하고,
0x00007FFCF0650C28 00007ffd0390b790
0x00007FFCF0650C30 0000000000000000
이어서 00007ffd0390b790 주솟값의 코드를 확인했는데,
--- d:\rs1\onecore\com\combase\class\memapi.cxx --------------------------------
00007FFD0390B790 48 83 EC 28 sub rsp,28h
00007FFD0390B794 48 8B 05 05 5B 21 00 mov rax,qword ptr [g_CMalloc (07FFD03B212A0h)]
00007FFD0390B79B 48 8D 15 EE D4 04 00 lea rdx,[CRetailMalloc_Free (07FFD03958C90h)]
00007FFD0390B7A2 48 8B 40 28 mov rax,qword ptr [rax+28h]
00007FFD0390B7A6 48 3B C2 cmp rax,rdx
00007FFD0390B7A9 75 21 jne CoTaskMemFree+3Ch (07FFD0390B7CCh)
00007FFD0390B7AB 48 85 C9 test rcx,rcx
00007FFD0390B7AE 74 17 je CoTaskMemFree+37h (07FFD0390B7C7h)
00007FFD0390B7B0 4C 8B C1 mov r8,rcx
00007FFD0390B7B3 33 D2 xor edx,edx
00007FFD0390B7B5 48 8B 0D 1C 5A 21 00 mov rcx,qword ptr [g_hHeap (07FFD03B211D8h)]
00007FFD0390B7BC 48 83 C4 28 add rsp,28h
00007FFD0390B7C0 48 FF 25 A1 C4 19 00 jmp qword ptr [__imp_HeapFree (07FFD03AA7C68h)]
00007FFD0390B7C7 48 83 C4 28 add rsp,28h
00007FFD0390B7CB C3 ret
코드 내에 CoTaskMemFree+xxh로 점프하는 구문이 있는 것으로 보아 왠지 CoTaskMemFree 함수 같아 보입니다. 확인을 위해 두 번째 덤프의 Marshal.FreeCoTaskMem 코드에서도 문제가 되는 호출을 확인해 봤습니다.
[mscorlib.dll!System.Runtime.InteropServices.Marshal.FreeCoTaskMem(System.IntPtr ptr) Unknown]
00007FFC9973EAD2 57 push rdi
00007FFC9973EAD3 41 56 push r14
00007FFC9973EAD5 41 55 push r13
00007FFC9973EAD7 41 54 push r12
00007FFC9973EAD9 57 push rdi
00007FFC9973EADA 56 push rsi
00007FFC9973EADB 53 push rbx
00007FFC9973EADC 48 83 EC 68 sub rsp,68h
...[생략]...
00007FFC9973EB33 48 8D 45 90 lea rax,[rbp-70h]
00007FFC9973EB37 48 89 47 10 mov qword ptr [rdi+10h],rax
00007FFC9973EB3B C6 47 0C 00 mov byte ptr [rdi+0Ch],0
00007FFC9973EB3F FF 15 0B 78 AB FF call qword ptr [7FFC991F6350h]
00007FFC9973EB45 C6 47 0C 01 mov byte ptr [rdi+0Ch],1
...[생략]...
00007FFC9973EB68 5B pop rbx
00007FFC9973EB69 5E pop rsi
00007FFC9973EB6A 5F pop rdi
00007FFC9973EB6B 41 5C pop r12
00007FFC9973EB6D 41 5D pop r13
00007FFC9973EB6F 41 5E pop r14
00007FFC9973EB71 41 5F pop r15
00007FFC9973EB73 5D pop rbp
00007FFC9973EB74 C3 ret
역시 0x7FFC991F6350 주소에 담긴 qword 값을 확인했는데,
0x00007FFC991F6350 00007ffd0390b790
0x00007FFC991F6358 0000000000000000
첫 번째 덤프의 주솟값과 같습니다. 이번 경우에는 다행히 동일한 컴퓨터에서 발생한 덤프였기 때문에
ASLR의 영향이 적어 주솟값이 같았지만, 만약 다른 컴퓨터였다면 "u" 명령어 등을 통해 코드를 직접 확인했어야 할 것입니다.
이를 통해 문제의 원인을 찾는 범위를 훨씬 줄일 수 있습니다. 단순히 RtlFreeHeap에서 발생하는 거였다면 일반적인 문제가 되지만, 동일하게 CoTaskMemFree 과정에서 발생하는 문제였으므로 코드에서 사용한 Marshal.AllocCoTaskMem / Marshal.FreeCoTaskMem 관련 부분만 집중적으로 살펴보면 될 정도로 범위가 축소되는 것입니다. (물론, 그래도 엉뚱한 곳에서의 메모리 침범으로 발생했을 수도 있는 문제이므로 CoTask... 관련 코드와는 무관할 확률도 적진 않습니다.)
[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]