windbg - 특정 Win32 API에서 BP가 안 걸리는 경우

이상하군요, windbg에서 bp가 안 걸립니다.

0:000> bp advapi32!RegOpenKeyExW
Couldn't resolve error at 'advapi32!RegOpenKeyExW'

문서상으로 보면,

RegOpenKeyExW function (winreg.h)
; https://learn.microsoft.com/en-us/windows/win32/api/winreg/nf-winreg-regopenkeyexw

분명히 advapi32.dll에 있는데요, 다음의 글에 따라 원인 파악을 해보겠습니다.

[windbg]IAT 테이블 이용해서 system function 찾기
; https://kochuns.blogspot.com/2017/07/windbgiat-system-function.html

lm 명령어로 모듈 로딩 주소를 알아내고,

0:000> lm
start             end                 module name
00007ff7`c5a40000 00007ff7`c5aa6000   netcore_host   (deferred)             
00007ff8`5c660000 00007ff8`5c672000   kernel_appcore   (deferred)             
00007ff8`5ebe0000 00007ff8`5eea8000   KERNELBASE   (pdb symbols)          e:\symbols\kernelbase.pdb\5FB214A533D3CB127ADE9F509D0EACAD1\kernelbase.pdb
00007ff8`60b30000 00007ff8`60bdc000   ADVAPI32   (deferred)             
00007ff8`60be0000 00007ff8`60c9d000   KERNEL32   (deferred)             
00007ff8`60ca0000 00007ff8`60d3b000   sechost    (deferred)             
00007ff8`60dc0000 00007ff8`60e5e000   msvcrt     (deferred)             
00007ff8`60e60000 00007ff8`60f84000   RPCRT4     (deferred)             

dh 명령어를 내리면 IAT 주소의 offset과 크기를 알 수 있습니다.

0:000> !dh 00007ff8`60b30000 /f

File Type: DLL
FILE HEADER VALUES
    8664 machine (X64)
       7 number of sections
15FD8D3B time date stamp Thu Sep 10 11:51:39 1981

...[생략]...
   77328 [    14D8] address [size] of Import Address Table Directory
   8F2AC [     1A0] address [size] of Delay Import Directory
       0 [       0] address [size] of COR20 Header Directory
       0 [       0] address [size] of Reserved Directory

/* 또는 보다 간단하게, windbg의 x (Examine Symbols) 명령어를 이용해,
0:000> x /D /f kernel32!*

(x64 환경이므로) 8바이트 단위로 심벌 풀이를 해보면 import 함수의 목록을 볼 수 있습니다.

0:000> dps 00007ff8`60b30000 + 77328 L14D8
00007ff8`60ba7328  00007ff8`60c02250 KERNEL32!ExpandEnvironmentStringsAStub
00007ff8`60ba7330  00007ff8`60bf5810 KERNEL32!MultiByteToWideCharStub
00007ff8`60ba7338  00007ff8`60bf7b60 KERNEL32!LocalFreeStub
...[생략]...
00007ff8`60ba79d0  00007ff8`5ec0c580 KERNELBASE!RegOpenKeyExW
00007ff8`60ba79d8  00007ff8`5ec0c860 KERNELBASE!RegQueryValueExW
00007ff8`60ba79e0  00000000`00000000
00007ff8`60ba79e8  00007ff8`5ecbc980 KERNELBASE!RegDeleteKeyValueA
00007ff8`60ba79f0  00007ff8`5ecbc9e0 KERNELBASE!RegSetKeyValueA
00007ff8`60ba79f8  00007ff8`5ec06880 KERNELBASE!RegSetKeyValueW
00007ff8`60ba7a00  00007ff8`5ec5c1b0 KERNELBASE!RegDeleteKeyValueW
00007ff8`60ba7a08  00000000`00000000
...[생략]...

그런데... windbg의 버그일까요? KERNELBASE!RegOpenKeyExW 위치로 bp를 걸었더니, windbg가 엉뚱한 위치에 bp를 설정합니다.

0:000> bp KERNELBASE!RegOpenKeyExW
0:000> bl
     0 e Disable Clear  00007ff8`5ec605c0     0001 (0001)  0:**** KERNELBASE!CancelProcessEapAuthPacket

해당 심벌로 역어셈블을 하면 bp 설정할 때와 동일한 CancelProcessEapAuthPacket을 대상으로 합니다.

0:000> uf KERNELBASE!RegOpenKeyExW
KERNELBASE!CancelProcessEapAuthPacket:
00007ff8`5ec605c0 b87f000000      mov     eax,7Fh
00007ff8`5ec605c5 c3              ret

가만 보니까, KERNELBASE!CancelProcessEapAuthPacket 주소가 00007ff8`5ec605c0로 나오는데, 위에서 조사한 IAT에서의 KERNELBASE!RegOpenKeyExW 주소는 "00007ff8`60ba79d0"였습니다.

그래서 직접 덤프해 보면,

0:000> uf 00007ff8`5ec0c580
KERNELBASE!RegOpenKeyExW:
00007ff8`5ec0c580 4883ec38        sub     rsp,38h
00007ff8`5ec0c584 488b442460      mov     rax,qword ptr [rsp+60h]
00007ff8`5ec0c589 488364242800    and     qword ptr [rsp+28h],0
00007ff8`5ec0c58f 4889442420      mov     qword ptr [rsp+20h],rax
00007ff8`5ec0c594 e817000000      call    KERNELBASE!RegOpenKeyExInternalW (00007ff8`5ec0c5b0)
00007ff8`5ec0c599 4883c438        add     rsp,38h
00007ff8`5ec0c59d c3              ret

잘 나옵니다. 어쩔 수 없군요, 그냥 "bp KERNELBASE!RegOpenKeyExInternalW" 또는 "bp ADVAPI32!RegOpenKeyExWStub" 식으로 거는 것이 좋겠습니다.

---

참고로, "bp ADVAPI32!RegOpenKeyExW"도 마찬가지인데, 이 경우에도 KERNELBASE로 forward 되었지만 오류가 살짝 다릅니다.

0:001> bp KERNELBASE!RegGetValueW
Matched: 00007ff8`5ec0bef0 KERNELBASE!RegGetValueW (void)
Matched: 00007ff8`5ec605c0 KERNELBASE!RegGetValueW (void)
Ambiguous symbol error at 'KERNELBASE!RegGetValueW'
The breakpoint expression "KERNELBASE!RegGetValueW" evaluates to the inline function.
Please use bm command to set breakpoints instead of bp.

출력 결과의 두 번째 항목의 주소(00007ff8`5ec605c0)는 RegOpenKeyExW 주소와 같습니다. 또한 IAT 덤프 결과를 보면 중간에 RegOpenKeyExW 관련해서 2개의 오류가 있는 것을 확인할 수 있습니다.

...[생략]...
00007ff8`60ba76c8  00007ff8`5ecbc870 KERNELBASE!RegKrnGetHKEY_ClassesRootAddress
00007ff8`60ba76d0  00007ff8`5ebfa3f0 KERNELBASE!lstrlenW
00007ff8`60ba76d8  00000000`00000000
00007ff8`60ba76e0  00007ff8`60eb6800*** Unable to resolve unqualified symbol in Bp expression 'KERNELBASE::RegGetValueW'.
 RPCRT4!I_RpcExceptionFilter
00007ff8`60ba76e8  00007ff8`60e695b0 RPCRT4!UuidToStringW
00007ff8`60ba76f0  00007ff8`60e68fd0 RPCRT4!UuidFromStringW
...[생략]...
00007ff8`60ba7770  00007ff8`60ec3580 RPCRT4!RpcBindingSetAuthInfoW
00007ff8`60ba7778  00000000`00000000
00007ff8`60ba7780  00007ff8`60cec140*** Unable to resolve unqualified symbol in Bp expression 'KERNELBASE::RegGetValueW'.
 sechost!QueryAllTracesA
00007ff8`60ba7788  00007ff8`60cec150 sechost!StartTraceA
...[생략]...

암튼... 뭔가 총체적인 난국이군요, ^^; 꿰어 맞추려고 해도 설명이 안 됩니다. (혹시 아시는 분은 덧글 부탁드립니다. ^^)

(업데이트: 2023-02-21)

The case of the mysterious "out of bounds" error from CreateUri and memmove
; https://devblogs.microsoft.com/oldnewthing/20230220-00/?p=107848

위의 글에 보면 IVector::GetAt과 Create­Uri가 완전히 동일한 코드를 가지고 있어 이름 풀이가 잘못되는 경우도 있는 것 같습니다. 하지만 RegOpenKeyExW와 CancelProcessEapAuthPacket의 경우에는 바이너리가 동일한 것은 아니어서,,, 위의 글에 해당하지는 않을 듯합니다.

---

[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[최초 등록일: 11/25/2020]
[최종 수정일: 2/21/2023]


이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

by SeongTae Jeong, mailto:techsharer at outlook.com