windbg - 특정 Win32 API에서 BP가 안 걸리는 경우
이상하군요, windbg에서 bp가 안 걸립니다.
0:000> bp advapi32!RegOpenKeyExW
Couldn't resolve error at 'advapi32!RegOpenKeyExW'
문서상으로 보면,
RegOpenKeyExW function (winreg.h)
; https://learn.microsoft.com/en-us/windows/win32/api/winreg/nf-winreg-regopenkeyexw
분명히 advapi32.dll에 있는데요, 다음의 글에 따라 원인 파악을 해보겠습니다.
[windbg]IAT 테이블 이용해서 system function 찾기
; https://kochuns.blogspot.com/2017/07/windbgiat-system-function.html
Direct System Call - SysWhispers
- Viewing the Import Address Table in Memory
; https://im0s.com/2023-12-10-DirectSystemCalls/#viewing-the-import-address-table-in-memory
lm 명령어로 모듈 로딩 주소를 알아내고,
0:000> lm
start end module name
00007ff7`c5a40000 00007ff7`c5aa6000 netcore_host (deferred)
00007ff8`5c660000 00007ff8`5c672000 kernel_appcore (deferred)
00007ff8`5ebe0000 00007ff8`5eea8000 KERNELBASE (pdb symbols) e:\symbols\kernelbase.pdb\5FB214A533D3CB127ADE9F509D0EACAD1\kernelbase.pdb
00007ff8`60b30000 00007ff8`60bdc000 ADVAPI32 (deferred)
00007ff8`60be0000 00007ff8`60c9d000 KERNEL32 (deferred)
00007ff8`60ca0000 00007ff8`60d3b000 sechost (deferred)
00007ff8`60dc0000 00007ff8`60e5e000 msvcrt (deferred)
00007ff8`60e60000 00007ff8`60f84000 RPCRT4 (deferred)
dh 명령어를 내리면 IAT 주소의 offset과 크기를 알 수 있습니다.
0:000> !dh 00007ff8`60b30000 /f
File Type: DLL
FILE HEADER VALUES
8664 machine (X64)
7 number of sections
15FD8D3B time date stamp Thu Sep 10 11:51:39 1981
...[생략]...
77328 [ 14D8] address [size] of Import Address Table Directory
8F2AC [ 1A0] address [size] of Delay Import Directory
0 [ 0] address [size] of COR20 Header Directory
0 [ 0] address [size] of Reserved Directory
/* 또는 보다 간단하게, windbg의 x (Examine Symbols) 명령어를 이용해,
0:000> x /D /f kernel32!*
(x64 환경이므로) 8바이트 단위로 심벌 풀이를 해보면 import 함수의 목록을 볼 수 있습니다.
0:000> dps 00007ff8`60b30000 + 77328 L14D8
00007ff8`60ba7328 00007ff8`60c02250 KERNEL32!ExpandEnvironmentStringsAStub
00007ff8`60ba7330 00007ff8`60bf5810 KERNEL32!MultiByteToWideCharStub
00007ff8`60ba7338 00007ff8`60bf7b60 KERNEL32!LocalFreeStub
...[생략]...
00007ff8`60ba79d0 00007ff8`5ec0c580 KERNELBASE!RegOpenKeyExW
00007ff8`60ba79d8 00007ff8`5ec0c860 KERNELBASE!RegQueryValueExW
00007ff8`60ba79e0 00000000`00000000
00007ff8`60ba79e8 00007ff8`5ecbc980 KERNELBASE!RegDeleteKeyValueA
00007ff8`60ba79f0 00007ff8`5ecbc9e0 KERNELBASE!RegSetKeyValueA
00007ff8`60ba79f8 00007ff8`5ec06880 KERNELBASE!RegSetKeyValueW
00007ff8`60ba7a00 00007ff8`5ec5c1b0 KERNELBASE!RegDeleteKeyValueW
00007ff8`60ba7a08 00000000`00000000
...[생략]...
그런데... windbg의 버그일까요? KERNELBASE!RegOpenKeyExW 위치로 bp를 걸었더니, windbg가 엉뚱한 위치에 bp를 설정합니다.
0:000> bp KERNELBASE!RegOpenKeyExW
0:000> bl
0 e Disable Clear 00007ff8`5ec605c0 0001 (0001) 0:**** KERNELBASE!CancelProcessEapAuthPacket
해당 심벌로 역어셈블을 하면 bp 설정할 때와 동일한 CancelProcessEapAuthPacket을 대상으로 합니다.
0:000> uf KERNELBASE!RegOpenKeyExW
KERNELBASE!CancelProcessEapAuthPacket:
00007ff8`5ec605c0 b87f000000 mov eax,7Fh
00007ff8`5ec605c5 c3 ret
가만 보니까, KERNELBASE!CancelProcessEapAuthPacket 주소가 00007ff8`5ec605c0로 나오는데, 위에서 조사한 IAT에서의 KERNELBASE!RegOpenKeyExW 주소는 "00007ff8`60ba79d0"였습니다.
그래서 직접 덤프해 보면,
0:000> uf 00007ff8`5ec0c580
KERNELBASE!RegOpenKeyExW:
00007ff8`5ec0c580 4883ec38 sub rsp,38h
00007ff8`5ec0c584 488b442460 mov rax,qword ptr [rsp+60h]
00007ff8`5ec0c589 488364242800 and qword ptr [rsp+28h],0
00007ff8`5ec0c58f 4889442420 mov qword ptr [rsp+20h],rax
00007ff8`5ec0c594 e817000000 call KERNELBASE!RegOpenKeyExInternalW (00007ff8`5ec0c5b0)
00007ff8`5ec0c599 4883c438 add rsp,38h
00007ff8`5ec0c59d c3 ret
잘 나옵니다. 어쩔 수 없군요, 그냥 "bp KERNELBASE!RegOpenKeyExInternalW" 또는 "bp ADVAPI32!RegOpenKeyExWStub" 식으로 거는 것이 좋겠습니다.
참고로, "bp ADVAPI32!RegOpenKeyExW"도 마찬가지인데, 이 경우에도 KERNELBASE로 forward 되었지만 오류가 살짝 다릅니다.
0:001> bp KERNELBASE!RegGetValueW
Matched: 00007ff8`5ec0bef0 KERNELBASE!RegGetValueW (void)
Matched: 00007ff8`5ec605c0 KERNELBASE!RegGetValueW (void)
Ambiguous symbol error at 'KERNELBASE!RegGetValueW'
The breakpoint expression "KERNELBASE!RegGetValueW" evaluates to the inline function.
Please use bm command to set breakpoints instead of bp.
출력 결과의 두 번째 항목의 주소(00007ff8`5ec605c0)는 RegOpenKeyExW 주소와 같습니다. 또한 IAT 덤프 결과를 보면 중간에 RegOpenKeyExW 관련해서 2개의 오류가 있는 것을 확인할 수 있습니다.
...[생략]...
00007ff8`60ba76c8 00007ff8`5ecbc870 KERNELBASE!RegKrnGetHKEY_ClassesRootAddress
00007ff8`60ba76d0 00007ff8`5ebfa3f0 KERNELBASE!lstrlenW
00007ff8`60ba76d8 00000000`00000000
00007ff8`60ba76e0 00007ff8`60eb6800*** Unable to resolve unqualified symbol in Bp expression 'KERNELBASE::RegGetValueW'.
RPCRT4!I_RpcExceptionFilter
00007ff8`60ba76e8 00007ff8`60e695b0 RPCRT4!UuidToStringW
00007ff8`60ba76f0 00007ff8`60e68fd0 RPCRT4!UuidFromStringW
...[생략]...
00007ff8`60ba7770 00007ff8`60ec3580 RPCRT4!RpcBindingSetAuthInfoW
00007ff8`60ba7778 00000000`00000000
00007ff8`60ba7780 00007ff8`60cec140*** Unable to resolve unqualified symbol in Bp expression 'KERNELBASE::RegGetValueW'.
sechost!QueryAllTracesA
00007ff8`60ba7788 00007ff8`60cec150 sechost!StartTraceA
...[생략]...
암튼... 뭔가 총체적인 난국이군요, ^^; 꿰어 맞추려고 해도 설명이 안 됩니다. (혹시 아시는 분은 덧글 부탁드립니다. ^^)
(업데이트: 2023-02-21)
The case of the mysterious "out of bounds" error from CreateUri and memmove
; https://devblogs.microsoft.com/oldnewthing/20230220-00/?p=107848
위의 글에 보면 IVector::GetAt과 CreateUri가 완전히 동일한 코드를 가지고 있어 이름 풀이가 잘못되는 경우도 있는 것 같습니다. 하지만 RegOpenKeyExW와 CancelProcessEapAuthPacket의 경우에는 바이너리가 동일한 것은 아니어서,,, 위의 글에 해당하지는 않을 듯합니다.
[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]