성태의 닷넷 이야기
홈 주인
모아 놓은 자료
프로그래밍
질문/답변
사용자 관리
사용자
메뉴
아티클
외부 아티클
유용한 코드
온라인 기능
MathJax 입력기
최근 덧글
[정성태] Working with Rust Libraries from C#...
[정성태] Detecting blocking calls using asyn...
[정성태] 아쉽게도, 커뮤니티는 아니고 개인 블로그입니다. ^^
[정성태] 질문이 잘 이해가 안 됩니다. 우선, 해당 소스코드에서 ILis...
[양승조
] var대신 dinamic으로 선언해서 해결은 했습니다. 맞는 해...
[양승조
] 또 막혔습니다. ㅠㅠ var list = props[i].Ge...
[양승조
] 아. 감사합니다. 어제는 안됐던것 같은데....정신을 차려야겠네...
[정성태] "props[i].GetValue(props[i])" 코드에서 ...
[정성태] 저렇게 조각 코드 말고, 실제로 재현이 되는 예제 프로젝트를 압...
[정성태] Modules 창(Ctrl+Shift+U)을 띄워서, 해당 Op...
글쓰기
제목
이름
암호
전자우편
HTML
홈페이지
유형
제니퍼 .NET
닷넷
COM 개체 관련
스크립트
VC++
VS.NET IDE
Windows
Team Foundation Server
디버깅 기술
오류 유형
개발 환경 구성
웹
기타
Linux
Java
DDK
Math
Phone
Graphics
사물인터넷
부모글 보이기/감추기
내용
<div style='display: inline'> <h1 style='font-family: Malgun Gothic, Consolas; font-size: 20pt; color: #006699; text-align: center; font-weight: bold'>Hyper-V의 VM에 대한 메모리 덤프를 뜨는 방법</h1> <p> 아래의 글을 읽어 보면,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > 윈도우즈 룻킷 - 윈도우즈 디펜더 무력화 ; <a target='tab' href='https://learn.darungrim.com/contents/windows10-rootkits-disabling-windows-defender.html'>https://learn.darungrim.com/contents/windows10-rootkits-disabling-windows-defender.html</a> </pre> <br /> VMWare의 VM에 대한 메모리 덤프를 <a target='tab' href='https://flings.vmware.com/vmss2core'>Vmss2core</a>라는 도구를 이용해 뜨는 방법이 나옵니다. 왠지 Hyper-V도 제공할 거라는 ^^ 추측으로 검색해 보니 다음의 글이 나옵니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > Collect Memory dump from virtual machine hosted in Hyper-V ; <a target='tab' href='https://knowledge.broadcom.com/external/article/184806/collect-memory-dump-from-virtual-machine.html'>https://knowledge.broadcom.com/external/article/184806/collect-memory-dump-from-virtual-machine.html</a> Use LiveKD to get dump out of VM ; <a target='tab' href='https://windowsprivatecloud.wordpress.com/about/use-livekd-to-get-dump-out-of-vm/'>https://windowsprivatecloud.wordpress.com/about/use-livekd-to-get-dump-out-of-vm/</a> </pre> <br /> 즉, 다음과 같은 형식으로 livekd를 이용해 VM의 덤프를 뜰 수 있는 것인데,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > livekd -hv <vmname> -p -o C:\Memory.dmp </pre> <br /> 예를 들어, 이름이 windows2019인 VM의 덤프를 뜨려면 다음과 같이 실행하면 됩니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > C:\WINDOWS\system32> <span style='color: blue; font-weight: bold'>livekd -hv windows2019 -p -o c:\temp\memory.dmp</span> LiveKd v5.63 - Execute kd/windbg on a live system Sysinternals - www.sysinternals.com Copyright (C) 2000-2020 Mark Russinovich and Ken Johnson Unexpected failure from VidGetPartitionIds. Writing c:\temp\memory.dmp: 02% </pre> <br /> 그럼, 해당 VM은 VM paused 상태로 바뀌고, (제 테스트 환경이 좀 느리긴 하지만) 무려 33분 정도가 걸려 4GB 메모리 덤프를 마치게 됩니다. 현실적인 이유로 봤을 때, 아주 특별한 상황이 아니고서는 쓸 일이 별로 없을 것 같습니다. ^^;<br /> <br /> <hr style='width: 50%' /><br /> <br /> 검색해 보면, PowerShell의 Debug-VM 명령어도 나옵니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > Advanced troubleshooting for Windows-based computer freeze issues ; <a target='tab' href='https://learn.microsoft.com/ko-kr/windows/client-management/troubleshoot-windows-freeze#use-memory-dump-to-collect-data-for-the-virtual-machine-thats-running-in-a-frozen-state'>https://learn.microsoft.com/ko-kr/windows/client-management/troubleshoot-windows-freeze#use-memory-dump-to-collect-data-for-the-virtual-machine-thats-running-in-a-frozen-state</a> </pre> <br /> 다른 점이라면 대상 VM을 아예 BSOD를 발생시켜 덤프를 뜨게 만드는 것인데, 다음과 같이 실행해 보면,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > PS C:\WINDOWS\system32> <span style='color: blue; font-weight: bold'>Debug-VM -Name "windows2019" -InjectNonMaskableInterrupt</span> </pre> <br /> (시스템을 다운시키는 것이므로) 질문을 한번 받게 되고,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > Are you sure you want to inject a non-maskable interrupt into the virtual machine "windows2019"? </pre> <br /> yes를 선택하면 "NMI HARDWARE FAILURE" 예외를 발생시켜 "C:\Windows\MEMORY.DMP" 파일로 덤프를 남기며 재부팅이 됩니다. 이때의 이벤트 로그에는 다음과 같은 메시지가 남게 됩니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > 로그 이름: System 원본: Microsoft-Windows-WER-SystemErrorReporting 날짜: 2020-07-14 오후 1:15:12 이벤트 ID: 1001 작업 범주: 없음 수준: 오류 키워드: 클래식 사용자: 해당 없음 컴퓨터: windows2019.testad.com 설명: 컴퓨터가 오류 검사 후 다시 부팅되었습니다. 오류 검사: 0x00000080 (0x00000000004f4454, 0x0000000000000000, 0x0000000000000000, 0x0000000000000000). 덤프 저장 위치: C:\Windows\MEMORY.DMP. 보고서 ID: eaa12cd2-c8f0-455e-be62-e44fbff10240 </pre> <br /> <hr style='width: 50%' /><br /> <br /> 참고로, livekd를 실행했을 때 이런 오류가 발생한다면?<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > C:\WINDOWS\system32> <span style='color: blue; font-weight: bold'>livekd -hv windows2019 -p -o c:\temp\memory.dmp</span> LiveKd v5.3 - Execute kd/windbg on a live system Sysinternals - www.sysinternals.com Copyright (C) 2000-2012 Mark Russinovich and Ken Johnson Unexpected failure from VidGetPartitionIds. Invalid Hyper-V VM: windows2019 Specify the GUID or VM name of a running VM. Use LiveKd -hvl to list running VMs. </pre> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > C:\WINDOWS\system32> <span style='color: blue; font-weight: bold'>livekd -hvl</span> LiveKd v5.3 - Execute kd/windbg on a live system Sysinternals - www.sysinternals.com Copyright (C) 2000-2012 Mark Russinovich and Ken Johnson Unexpected failure from VidGetPartitionIds. Unable to list active Hyper-V partitions: Error 31. In order to perform Hyper-V VM debugging, this machine must have the Hyper-V role installed and active. </pre> <br /> livekd를 최신 버전(5.63)으로 업데이트하시면 됩니다. 정상적으로 지원하기 시작하는 livekd라면 -hvl 옵션에서 다음과 같은 식의 VM 목록을 출력하게 될 것입니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > C:\WINDOWS\system32> <span style='color: blue; font-weight: bold'>livekd -hvl</span> LiveKd v5.63 - Execute kd/windbg on a live system Sysinternals - www.sysinternals.com Copyright (C) 2000-2020 Mark Russinovich and Ken Johnson Partition GUID Name 902490AE-DA6C-4472-89E8-3F5A03BBDC87 win7 75DB36E8-F90D-4462-9EF2-6BAE20CDCDF5 win8 1AB47C73-1FB6-426E-AE80-EBF774483290 win10 </pre> <br /> 또는, 실행시 다음과 같은 오류 메시지를 뱉는 경우도 있을 것입니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > C:\WINDOWS\system32> <span style='color: blue; font-weight: bold'>livekd -hv windows2019 -p -o c:\temp\memory.dmp</span> LiveKd v5.63 - Execute kd/windbg on a live system Sysinternals - www.sysinternals.com Copyright (C) 2000-2020 Mark Russinovich and Ken Johnson Unexpected failure from VidGetPartitionIds. <span style='color: blue; font-weight: bold'>Error finding kd.exe:</span> The system cannot find the file specified. </pre> <br /> 오류 내용을 잘 보면, windbg의 kd.exe를 찾지 못해 발생하는 것이므로 PATH에 windbg의 경로를 걸어준 후 실행하면 됩니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > C:\WINDOWS\system32> <span style='color: blue; font-weight: bold'>set PATH=C:\Program Files (x86)\Windows Kits\8.1\Debuggers\x64;%PATH%</span> // set PATH=C:\Program Files (x86)\Windows Kits\10\Debuggers\x64;%PATH% C:\WINDOWS\system32> <span style='color: blue; font-weight: bold'>livekd -hv windows2019 -p -o c:\temp\memory.dmp</span> </pre> <br /> 그러니까 결국, Sysinternals의 livekd.exe와 windbg의 kd.exe가 함께 필요한 것입니다.<br /> <br /> <hr style='width: 50%' /><br /> <br /> 좀 더 검색해 보면, vm2dmp라는 도구도 찾을 수 있을 것입니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > WindowsDiag/SHA/vm2dmp/ ; <a target='tab' href='https://github.com/CSS-Windows/WindowsDiag/tree/master/SHA/vm2dmp'>https://github.com/CSS-Windows/WindowsDiag/tree/master/SHA/vm2dmp</a> Microsoft Hyper-V VM State to Memory Dump Converter ; <a target='tab' href='https://learn.microsoft.com/en-us/archive/blogs/hugofe/microsoft-hyper-v-vm-state-to-memory-dump-converter'>https://learn.microsoft.com/en-us/archive/blogs/hugofe/microsoft-hyper-v-vm-state-to-memory-dump-converter</a> VM2DMP - Hyper-V (tm) VM State to Memory Dump Converter ; <a target='tab' href='https://learn.microsoft.com/en-us/archive/blogs/virtualworld/vm2dmp-hyper-v-tm-vm-state-to-memory-dump-converter'>https://learn.microsoft.com/en-us/archive/blogs/virtualworld/vm2dmp-hyper-v-tm-vm-state-to-memory-dump-converter</a> </pre> <br /> 하지만 아쉽게 이 도구는 현재 deprecated 상태라고 봐야 할 것입니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > However, this tool works only on files created with Hyper-V Version 1 & 2 (Hyper-V/Windows Server 2008 & R2). When snapshots or saved states created on Hyper-V 2012 or 2012 R2 are tried being converted, the tool will fail. </pre> <br /> 그렇긴 한데, 배포본을 보면 2016과 2019에 대한 지원을 하는 듯 보여서,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > <a target='tab' href='https://github.com/CSS-Windows/WindowsDiag/blob/master/SHA/vm2dmp/vm2dmp_HYPER-V2016.zip'>vm2dmp_HYPER-V2016.zip</a> <a target='tab' href='https://github.com/CSS-Windows/WindowsDiag/blob/master/SHA/vm2dmp/vm2dmp_HYPER-V2019.zip'>vm2dmp_HYPER-V2019.zip</a> </pre> <br /> 실행해 봤지만 (어떻게 시도해봐도 ^^;) 오류가 발생합니다. (혹시, 2016/2019에서 vm2dmp로 성공하신 분은 덧글 부탁드립니다. ^^)<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > C:\vm2dmp\Debuggers\x64> <span style='color: blue; font-weight: bold'>vm2dmp.exe -vmrs C:\TESTVM\windows2019\Snapshots\730379DE-CF77-44DF-A802-3026F6438C5C.VMRS -dmp c:\temp\memory2.dmp</span> VM2DMP: Hyper-V VM State to Memory Dump Converter (version 3.0.0.0) ERROR: Library C:\WINDOWS\SYSTEM32\symsrv.dll could not be found in the same directory as loaded library dbghelp.dll. hr = 0x80070003. ERROR: You need to have vm2dmp.exe in Debugging Tools for Windows installation folder or have dbghelp.dll and symsrv.dll in the same working directory as vm2dmp.exe. ' ERROR: Result code 0x3 </pre> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > C:\vm2dmp\Debuggers\x64> <span style='color: blue; font-weight: bold'>vm2dmp.exe -vmrs "C:\TESTVM\windows2019\Snapshots\730379DE-CF77-44DF-A802-3026F6438C5C.VMRS" -dmp "c:\temp\memory2.dmp"</span> VM2DMP: Hyper-V VM State to Memory Dump Converter (version 3.0.0.0) INFO: Using VMRS file C:\TESTVM\windows2019\Snapshots\730379DE-CF77-44DF-A802-3026F6438C5C.vmrs ERROR: Result code 0x2 </pre> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > C:\vm2dmp\Debuggers\x64> <span style='color: blue; font-weight: bold'>vm2dmp -vm "windows2019" -snap "windows2019-snap" -dmp "c:\temp\memory2.dmp"</span> VM2DMP: Hyper-V VM State to Memory Dump Converter (version 3.0.0.0) ERROR: Result code 0x80004005 </pre> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > C:\vm2dmp\Debuggers\x64> <span style='color: blue; font-weight: bold'>vm2dmp -vm "windows2019" -snap "windows2019 - (2020-07-14 - 오후 2:48:10)" -dmp "c:\temp\memory2.dmp"</span> VM2DMP: Hyper-V VM State to Memory Dump Converter (version 3.0.0.0) INFO: Using VMRS file C:\TESTVM\windows2019\Snapshots\46CE2553-6F58-4FCA-91A4-5199DA49CB61.vmrs ERROR: Result code 0x2 </pre> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > C:\vm2dmp\Debuggers\x64> <span style='color: blue; font-weight: bold'>vm2dmp -vmrs "C:\TESTVM\windows2019\Virtual Machines\044EADA9-7BAA-4B19-AA54-4347E3D1FB38.VMRS" -dmp "c:\temp\memory2.dmp"</span> VM2DMP: Hyper-V VM State to Memory Dump Converter (version 3.0.0.0) INFO: Using VMRS file C:\TESTVM\windows2019\Virtual Machines\044EADA9-7BAA-4B19-AA54-4347E3D1FB38.VMRS ERROR: Result code 0x2 </pre> </p><br /> <br /><hr /><span style='color: Maroon'>[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]</span> </div>
첨부파일
스팸 방지용 인증 번호
1327
(왼쪽의 숫자를 입력해야 합니다.)