Microsoft MVP성태의 닷넷 이야기
홈 주인모아 놓은 자료프로그래밍질문/답변사용자 관리 RSS OPML Link
디버깅 기술: 176. windbg - 특정 Win32 API에서 BP가 안 걸리는 경우 (2) [링크 복사], [링크+제목 복사],
조회: 20243
글쓴 사람
정성태 (techsharer at outlook.com)
홈페이지
http://www.sysnet.pe.kr
첨부 파일
 

(시리즈 글이 2개 있습니다.)
디버깅 기술: 175. windbg - 특정 Win32 API에서 BP가 안 걸리는 경우
; https://www.sysnet.pe.kr/2/0/12429

디버깅 기술: 176. windbg - 특정 Win32 API에서 BP가 안 걸리는 경우 (2)
; https://www.sysnet.pe.kr/2/0/12439



windbg - 특정 Win32 API에서 BP가 안 걸리는 경우 (2)

전에 알아본 방법이,

windbg - 특정 Win32 API에서 BP가 안 걸리는 경우
; https://www.sysnet.pe.kr/2/0/12429

WS2_32.dll의 함수들에는 제법 많이 틀리군요. ^^; 예를 들어 다음과 같이 간단한 예제도,

using System;
using System.Net;
using System.Net.Sockets;

class Program
{
    static void Main(string[] args)
    {
        Socket socket = new Socket(AddressFamily.InterNetwork, SocketType.Stream, ProtocolType.Tcp);

        byte[] buf = new byte[4];
        socket.GetSocketOption(SocketOptionLevel.Socket, SocketOptionName.ReuseAddress, buf);

        Console.ReadLine();
        socket.GetSocketOption(SocketOptionLevel.Socket, SocketOptionName.ReuseAddress, buf);
        socket.Bind(new IPEndPoint(IPAddress.Any, 0));
    }
}

Console.ReadLine 단계에서 windbg로 연결해 bp를 이렇게 걸어보면,

0:000> bp WS2_32!bind
0:000> bp WS2_32|getsockopt
0:000> bp WS2_32|socket

bind 빼고는 엉뚱한 곳에 걸립니다.

0:000> bl
     0 e Disable Clear  00007ff9`0bc209c0     0001 (0001)  0:**** ws2_32!bind
     1 e Disable Clear  00007ff9`0bebee90     0001 (0001)  0:**** sechost!ControlLookup+0x84a0
     2 e Disable Clear  00007ff9`0bdd81f0     0001 (0001)  0:**** IMM32!SendIMEMessageAll+0x24

문제는, 지난번과는 달리 이번엔 다른 DLL의 API를 호출하는 유형이 아니라서 IAT 검색도 도움이 안 됩니다.



할 수 없군요, 기존에 만들어 두었던 windbg 확장 DLL에,

Windbg 확장 DLL 만들기 (3) - C#으로 만드는 방법
; https://www.sysnet.pe.kr/2/0/12119

다음과 같은 ubp 함수를 추가했습니다.

// https://github.com/stjeong/DotNetSamples/blob/master/WinConsole/Debugger/NetDbgExt/UnmanagedMain.cs#L66

[DllExport(CallingConvention = CallingConvention.StdCall)]
public static uint ubp(IDebugClient pDebugClient, [MarshalAs(UnmanagedType.LPStr)] string args)
{
    if (!(pDebugClient is IDebugControl dbgControl))
    {
        return 0;
    }

    string[] arg = args.Split('!');
    if (arg.Length != 2)
    {
        dbgControl.Output(DEBUG_OUTPUT.NORMAL, $"Invalid argument\n");
        return 0;
    }

    string dllPath = arg[0];
    string apiName = arg[1];

    IntPtr ptrDllAddress = LoadLibrary(dllPath);
    if (ptrDllAddress == IntPtr.Zero)
    {
        dbgControl.Output(DEBUG_OUTPUT.NORMAL, $"DLL not found\n");
        return 0;
    }

    IntPtr ptrApiAddress = GetProcAddress(ptrDllAddress, apiName);
    if (ptrApiAddress == IntPtr.Zero)
    {
        dbgControl.Output(DEBUG_OUTPUT.NORMAL, $"API not found\n");
        return 0;
    }

    string text = (IntPtr.Size == 4) ? ptrApiAddress.ToInt32().ToString("x") : ptrApiAddress.ToInt64().ToString("x");
    dbgControl.Execute(DEBUG_OUTCTL.THIS_CLIENT, $"bp {text}", DEBUG_EXECUTE.DEFAULT);

    return 0;
}

그래서 다음과 같이 사용할 수 있어,

0:000> !NetDbgExt.ubp ws2_32.dll!getsockopt
0:000> bl
     0 e Disable Clear  00007ff9`0bc21b80     0001 (0001)  0:**** ws2_32!getsockopt

0:000> !ubp ws2_32.dll!bind
0:000> bl
     0 e Disable Clear  00007ff9`0bc21b80     0001 (0001)  0:**** ws2_32!getsockopt
     1 e Disable Clear  00007ff9`0bc209c0     0001 (0001)  0:**** ws2_32!bind

조금 편해졌군요.



하지만 ubp 확장 명령어에는 알아둬야 할 문제가 2가지 있습니다.

1) 우선, windbg.exe 프로세스 내에 대상 DLL들이 적재되어 올라온다는 점인데, 디버깅 중에 저렇게 써야 할 경우가 많지 않을 것이라는 점을 감안했을 때 크게 문제가 되지는 않습니다

2) ASLR에 의해 시스템 부팅 후 매번 주소가 달라지겠지만, 디버깅 중에는 같은 시스템 내에서 바뀔 일이 없으므로 대부분의 경우에 안전하게 사용할 수 있습니다. 하지만, (가령 이미 다른 DLL이 점유하고 있다거나 하는 등의 이유로) 대상 프로세스의 dll 로딩 주소가 windbg 내에서는 다른 로딩 주소로 매핑될 수 있기 때문에 ubp 명령어가 100% 동작할 거라는 기대를 해서는 안 됩니다.



[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]





[최초 등록일: ]
[최종 수정일: 12/4/2020]

Creative Commons License
이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.
by SeongTae Jeong, mailto:techsharer at outlook.com
비밀번호
댓글 작성자
 


2023-05-09 10시28분
정성태
... 181  182  [183]  184  185  186  187  188  189  190  191  192  193  194  195  ...
NoWriterDateCnt.TitleFile(s)
442정성태1/24/200725632.NET Framework: 79. 새로운 암호화 클래스 (ECDsaCng, ECDiffieHellmanCng) 소개 [1]
441정성태1/23/200730474Windows: 17. 보안 데스크톱에서 활성화되지 않은 UAC 창이 안전할까?
440정성태1/24/200724553.NET Framework: 78. C# 3.0 - Anonymous types [1]
439정성태1/25/200725639.NET Framework: 77. C# 3.0 - Lambda 표현식 [1]
438정성태1/24/200724751.NET Framework: 76. C# 3.0 - 확장 함수
437정성태1/23/200732404Windows: 16. 개발자를 위한 UAC 환경 설정 [3]
436정성태1/17/200721636VS.NET IDE: 42. Orcas 2007년 1월 CTP 버전 설치 [5]
435정성태1/14/200721104기타: 17. 베타 제품과 최종 제품은 다르다 [2]
434정성태2/4/200724874Windows: 15. MIC 환경 구성 - Windows XP와 유사한 보안 설정 [4]
433정성태1/12/200734292Windows: 14. 보호 모드와 필수 무결성 제어(MIC: Mandatory Integrity Control) [3]파일 다운로드1
432정성태1/10/200725471Windows: 13. InitOnceExecuteOnce API 소개 [5]
431정성태1/8/200722956Windows: 12. 비스타는 안전한 윈도우인가? [2]
430정성태1/7/200729060웹: 6. IIS 7 마이그레이션 정리 - Sysnet
427정성태12/30/200619551Team Foundation Server: 14. VS.NET IDE에 통합된 TFS Annotate [1]
425정성태12/29/200623481Windows: 11. Vista IIS 7(Integrated mode)에서의 ASP.NET F5 디버깅 방법
424정성태12/29/200621668기타: 16. 첫걸음 [2]
426정성태12/30/200620242    답변글 기타: 16.1. 예외 발생
420정성태12/27/200625035Windows: 10. Internet Explorer 7.0 호환성 백서 (Word 문서, 1.92MB) [7]파일 다운로드1
419정성태12/25/200626594Windows: 9. VS.NET 2005 원격 디버깅 구성
418정성태12/25/200634692웹: 5. IIS 7에서 클라이언트 측 인증서 사용 시 주의점 [2]
417정성태12/24/200627139Windows: 8. VS.NET 2005에서의 웹 애플리케이션 디버깅 설정
416정성태1/31/200727275오류 유형: 23. MSI 설치 시 로그 파일 생성하는 레지스트리 설정 [3]
415정성태12/31/200630990개발 환경 구성: 20. 인증서 오류 체크 목록
413정성태12/20/200627817VC++: 26. volatile 키워드 [1]파일 다운로드1
412정성태12/17/200631794오류 유형: 22. VS.NET 2005 SP1 설치 도중 오류 [9]
411정성태12/16/200620818오류 유형: 21. TFS SP1 설치 관련 오류 (2) - KB919156 패치 이후 TFS 접근 문제
... 181  182  [183]  184  185  186  187  188  189  190  191  192  193  194  195  ...