Windbg 확장 DLL 만들기 (3) - C#으로 만드는 방법
이전 글에서 Windbg 확장 만드는 방법을 소개했습니다.
Windbg 확장 DLL 만들기 (1) - 스레드를 강제 종료시키는 명령어
; https://www.sysnet.pe.kr/2/0/1198
Windbg 확장 DLL 만들기 (2) - Debugger Extension API 사용
; https://www.sysnet.pe.kr/2/0/1200
windbg 확장의 동작 방식이 결국 DLL 측에서 export시킨 함수를 호출하는 것에 불과하기 때문에 당연히 C#으로도 UnmanagedExports를 이용해 만들 수 있습니다.
C# DLL에서 Win32 C/C++처럼 dllexport 함수를 제공하는 방법 - 세 번째 이야기
; https://www.sysnet.pe.kr/2/0/12118
게다가 이미
dbgeng.dll 관련 pinvoke 인터페이스들도 모두 마이크로소프트 측에서 친절하게 만들어 두었기 때문에,
DbgShell/ClrMemDiag/Debugger/
; https://github.com/microsoft/DbgShell/tree/master/ClrMemDiag/Debugger
다음과 같이 기본 확장 DLL의 뼈대를 쉽게 작성할 수 있습니다.
using Microsoft.Diagnostics.Runtime.Interop;
using System;
using System.Runtime.InteropServices;
namespace NetDbgExt
{
public enum DebugNotifySession
{
Active = 0x0,
Inactive = 0x01,
Accessible = 0x02,
InAccessible = 0x03,
}
public class UnmanagedMain
{
[DllExport(CallingConvention = CallingConvention.StdCall)]
public static uint DebugExtensionInitialize(IntPtr version, IntPtr flags)
{
version.WriteValue(DEBUG_EXTENSION_VERSION(1, 0));
flags.WriteValue(0);
NativeMethods.OutputDebugString("NetDbgExt.DebugExtensionInitialize");
return 0;
}
public static uint DEBUG_EXTENSION_VERSION(int Major, int Minor)
{
return (uint)((((Major) & 0xffff) << 16) | ((Minor) & 0xffff));
}
[DllExport(CallingConvention = CallingConvention.StdCall)]
public static void DebugExtensionNotify(DebugNotifySession notify, long argument)
{
switch (notify)
{
case DebugNotifySession.Active:
NativeMethods.OutputDebugString("DEBUG_NOTIFY_SESSION_ACTIVE");
break;
case DebugNotifySession.Inactive:
NativeMethods.OutputDebugString("DEBUG_NOTIFY_SESSION_INACTIVE");
break;
case DebugNotifySession.Accessible:
NativeMethods.OutputDebugString("DEBUG_NOTIFY_SESSION_ACCESSIBLE");
break;
case DebugNotifySession.InAccessible:
NativeMethods.OutputDebugString("DEBUG_NOTIFY_SESSION_INACCESSIBLE");
break;
}
}
[DllExport(CallingConvention = CallingConvention.StdCall)]
public static void DebugExtensionUninitialize()
{
NativeMethods.OutputDebugString("NetDbgExt.DebugExtensionUninitialize");
}
}
}
빌드된 dll을 windbg에서 다음과 같이 로드/언로드해 보면,
[로드]
.load D:\temp\DotNetSamples\WinLib\NetDbgExt\bin\Debug\x64\NetDbgExt.dll
[언로드]
.unload D:\temp\DotNetSamples\WinLib\NetDbgExt\bin\Debug\x64\NetDbgExt.dll
DebugView에서 OutputDebugString 메시지들이 정상적으로 출력되는 것을 확인할 수 있습니다.
예제를 좀 더 확장해 볼까요? ^^ 이를 기반으로 windbg에서 지원하지 않는 DateTime 형식의 값 출력을,
windbg - 메모리 덤프로부터 DateTime 형식의 값을 알아내는 방법
; https://www.sysnet.pe.kr/2/0/11313
C#으로 만든 확장 DLL에서 "printdt"라는 명령어로 다음과 같이 추가할 수 있습니다.
[DllExport(CallingConvention = CallingConvention.StdCall)]
public static uint printdt(IDebugClient pDebugClient, [MarshalAs(UnmanagedType.LPStr)] string args)
{
IDebugControl dbgControl = pDebugClient as IDebugControl;
if (dbgControl == null)
{
return 0;
}
DEBUG_VALUE dbgValue;
uint remainderIndex;
int result = dbgControl.Evaluate(args, DEBUG_VALUE_TYPE.INT64, out dbgValue, out remainderIndex);
if (result != 0)
{
return 0;
}
ulong u64Value = dbgValue.I64;
DateTime dt = Util.ToDateTime((long)u64Value);
dbgControl.Output(DEBUG_OUTPUT.NORMAL, $"0x{u64Value:x}, 0n{u64Value} ==> {dt}\n");
return 0;
}
따라서 sos.dll을 이용한 분석 작업에서 다음과 같이 DateTime 필드의 값이 나오면,
0:000> !DumpObj 000000ebd15ff688
Name: Test.Worker
MethodTable: 00007fff290d1bf0
EEClass: 00007fff290cd7d0
Size: 136(0x88) bytes
File: C:\Windows\Microsoft.Net\assembly\GAC_MSIL\Test\v1.0_0.0.0.4__5ac6f597e34281b7\Test.dll
Fields:
MT Field Offset Type VT Attr Value Name
...[생략]...
00007fff272586e8 40000fc 78 System.DateTime 1 instance 48d503b5497a92ea _checkTime
...[생략]...
printdt를 이용해 출력해 볼 수 있습니다.^^
0:007> !printdt 48d503b5497a92ea
0x48d503b5497a92ea, 0n5248105017926914794 ==> 2017-09-25 오전 1:32:29
전체 소스 코드는 다음의 github에 올렸으니 참고하시고.
DotNetSamples/WinConsole/Debugger/NetDbgExt/
; https://github.com/stjeong/DotNetSamples/tree/master/WinConsole/Debugger/NetDbgExt
마치기 전에, windbg 확장 dll을 관리하는 방법에 대해 알아보겠습니다. 물론 거의 사용하지 않는다면 그때마다 ".load" 명령어를 이용하겠지만,
0:007> .load C:\NetDbgExt\x64\NetDbgExt.dll
그렇지 않다면 PATH 환경 변수에 등록해 두면 .chahin 명령에서 확인할 수 있는 확장 DLL 검색 경로에 포함됩니다.
0:007> .chain
Extension DLL search Path:
C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\WINXP;...[생략]...;C:\Program Files\Git\cmd;
Extension DLL chain:
dbghelp: image 10.0.18362.1, API 10.0.6,
[path: C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\dbghelp.dll]
ext: image 10.0.18362.1, API 1.0.0,
[path: C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\winext\ext.dll]
exts: image 10.0.18362.1, API 1.0.0,
[path: C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\WINXP\exts.dll]
uext: image 10.0.18362.1, API 1.0.0,
[path: C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\winext\uext.dll]
ntsdexts: image 10.0.18362.1, API 1.0.0,
[path: C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\WINXP\ntsdexts.dll]
PATH 환경 변수를 어지럽히지 않고 싶다면 별도로 _NT_DEBUGGER_EXTENSION_PATH 환경 변수를 이용할 수 있습니다.
Loading Debugger Extension DLLs
; https://learn.microsoft.com/en-us/windows-hardware/drivers/debugger/loading-debugger-extension-dlls
_NT_DEBUGGER_EXTENSION_PATH=C:\NetDbgExt\x64
그런데, PATH든 _NT_DEBUGGER_EXTENSION_PATH든 플랫폼(x86/x64)에 따른 구분이 없어서 x64/x86 windbg를 모두 쓰는 사용자라면 어떤 거 하나를 지정하는 수밖에 없습니다. 그래서 제 경우에는 windbg의 x86 및 x64 단축 아이콘에 각각 다음과 같이 "-c" 옵션을 추가합니다.
[x64 windbg인 경우]
-c ".extpath+ d:\wext\x64"
[x86 windbg인 경우]
-c ".extpath+ d:\wext\x86"
그럼, windbg는 초기 실행 시 ".extpath+" 명령어를 실행하게 되고 확장 DLL 검색 목록에 경로를 추가합니다.
0:007> .extpath+ d:\wext\x64
Extension search path is: C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\WINXP;...[생략]...;C:\Program Files\Git\cmd;d:\wext\x64
이렇게 검색 목록에 있으면 좋은 이유가 굳이 ".load" 명령어를 할 필요없이 해당 확장에 있는 명령어를 full 경로로 실행해 주면,
0:007> !NetDbgExt.printdt 0
0x0, 0n0 ==> 0001-01-01 오전 12:00:00
알아서 로딩까지 자동으로 이뤄지는 편리함이 있습니다.
[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]