Microsoft MVP성태의 닷넷 이야기
홈 주인모아 놓은 자료프로그래밍질문/답변사용자 관리 RSS OPML Link
디버깅 기술: 176. windbg - 특정 Win32 API에서 BP가 안 걸리는 경우 (2) [링크 복사], [링크+제목 복사],
조회: 22070
글쓴 사람
정성태 (techsharer at outlook.com)
홈페이지
http://www.sysnet.pe.kr
첨부 파일
 

(시리즈 글이 2개 있습니다.)
디버깅 기술: 175. windbg - 특정 Win32 API에서 BP가 안 걸리는 경우
; https://www.sysnet.pe.kr/2/0/12429

디버깅 기술: 176. windbg - 특정 Win32 API에서 BP가 안 걸리는 경우 (2)
; https://www.sysnet.pe.kr/2/0/12439



windbg - 특정 Win32 API에서 BP가 안 걸리는 경우 (2)

전에 알아본 방법이,

windbg - 특정 Win32 API에서 BP가 안 걸리는 경우
; https://www.sysnet.pe.kr/2/0/12429

WS2_32.dll의 함수들에는 제법 많이 틀리군요. ^^; 예를 들어 다음과 같이 간단한 예제도,

using System;
using System.Net;
using System.Net.Sockets;

class Program
{
    static void Main(string[] args)
    {
        Socket socket = new Socket(AddressFamily.InterNetwork, SocketType.Stream, ProtocolType.Tcp);

        byte[] buf = new byte[4];
        socket.GetSocketOption(SocketOptionLevel.Socket, SocketOptionName.ReuseAddress, buf);

        Console.ReadLine();
        socket.GetSocketOption(SocketOptionLevel.Socket, SocketOptionName.ReuseAddress, buf);
        socket.Bind(new IPEndPoint(IPAddress.Any, 0));
    }
}

Console.ReadLine 단계에서 windbg로 연결해 bp를 이렇게 걸어보면,

0:000> bp WS2_32!bind
0:000> bp WS2_32|getsockopt
0:000> bp WS2_32|socket

bind 빼고는 엉뚱한 곳에 걸립니다.

0:000> bl
     0 e Disable Clear  00007ff9`0bc209c0     0001 (0001)  0:**** ws2_32!bind
     1 e Disable Clear  00007ff9`0bebee90     0001 (0001)  0:**** sechost!ControlLookup+0x84a0
     2 e Disable Clear  00007ff9`0bdd81f0     0001 (0001)  0:**** IMM32!SendIMEMessageAll+0x24

문제는, 지난번과는 달리 이번엔 다른 DLL의 API를 호출하는 유형이 아니라서 IAT 검색도 도움이 안 됩니다.



할 수 없군요, 기존에 만들어 두었던 windbg 확장 DLL에,

Windbg 확장 DLL 만들기 (3) - C#으로 만드는 방법
; https://www.sysnet.pe.kr/2/0/12119

다음과 같은 ubp 함수를 추가했습니다.

// https://github.com/stjeong/DotNetSamples/blob/master/WinConsole/Debugger/NetDbgExt/UnmanagedMain.cs#L66

[DllExport(CallingConvention = CallingConvention.StdCall)]
public static uint ubp(IDebugClient pDebugClient, [MarshalAs(UnmanagedType.LPStr)] string args)
{
    if (!(pDebugClient is IDebugControl dbgControl))
    {
        return 0;
    }

    string[] arg = args.Split('!');
    if (arg.Length != 2)
    {
        dbgControl.Output(DEBUG_OUTPUT.NORMAL, $"Invalid argument\n");
        return 0;
    }

    string dllPath = arg[0];
    string apiName = arg[1];

    IntPtr ptrDllAddress = LoadLibrary(dllPath);
    if (ptrDllAddress == IntPtr.Zero)
    {
        dbgControl.Output(DEBUG_OUTPUT.NORMAL, $"DLL not found\n");
        return 0;
    }

    IntPtr ptrApiAddress = GetProcAddress(ptrDllAddress, apiName);
    if (ptrApiAddress == IntPtr.Zero)
    {
        dbgControl.Output(DEBUG_OUTPUT.NORMAL, $"API not found\n");
        return 0;
    }

    string text = (IntPtr.Size == 4) ? ptrApiAddress.ToInt32().ToString("x") : ptrApiAddress.ToInt64().ToString("x");
    dbgControl.Execute(DEBUG_OUTCTL.THIS_CLIENT, $"bp {text}", DEBUG_EXECUTE.DEFAULT);

    return 0;
}

그래서 다음과 같이 사용할 수 있어,

0:000> !NetDbgExt.ubp ws2_32.dll!getsockopt
0:000> bl
     0 e Disable Clear  00007ff9`0bc21b80     0001 (0001)  0:**** ws2_32!getsockopt

0:000> !ubp ws2_32.dll!bind
0:000> bl
     0 e Disable Clear  00007ff9`0bc21b80     0001 (0001)  0:**** ws2_32!getsockopt
     1 e Disable Clear  00007ff9`0bc209c0     0001 (0001)  0:**** ws2_32!bind

조금 편해졌군요.



하지만 ubp 확장 명령어에는 알아둬야 할 문제가 2가지 있습니다.

1) 우선, windbg.exe 프로세스 내에 대상 DLL들이 적재되어 올라온다는 점인데, 디버깅 중에 저렇게 써야 할 경우가 많지 않을 것이라는 점을 감안했을 때 크게 문제가 되지는 않습니다

2) ASLR에 의해 시스템 부팅 후 매번 주소가 달라지겠지만, 디버깅 중에는 같은 시스템 내에서 바뀔 일이 없으므로 대부분의 경우에 안전하게 사용할 수 있습니다. 하지만, (가령 이미 다른 DLL이 점유하고 있다거나 하는 등의 이유로) 대상 프로세스의 dll 로딩 주소가 windbg 내에서는 다른 로딩 주소로 매핑될 수 있기 때문에 ubp 명령어가 100% 동작할 거라는 기대를 해서는 안 됩니다.



[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]





[최초 등록일: ]
[최종 수정일: 12/4/2020]

Creative Commons License
이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.
by SeongTae Jeong, mailto:techsharer at outlook.com
비밀번호
댓글 작성자
 


2023-05-09 10시28분
정성태
... 181  182  183  [184]  185  186  187  188  189  190  191  192  193  194  195  ...
NoWriterDateCnt.TitleFile(s)
444정성태1/27/200725719VC++: 28. 비스타 응용 프로그램 개발을 위한 VS.NET 2005 환경 설정
443정성태1/26/200723900VC++: 27. COM 개체로 인해 IE 7 비스타 버전이 종료될 때 오류 화면이 뜬다면?파일 다운로드1
442정성태1/24/200726858.NET Framework: 79. 새로운 암호화 클래스 (ECDsaCng, ECDiffieHellmanCng) 소개 [1]
441정성태1/23/200731817Windows: 17. 보안 데스크톱에서 활성화되지 않은 UAC 창이 안전할까?
440정성태1/24/200725825.NET Framework: 78. C# 3.0 - Anonymous types [1]
439정성태1/25/200726933.NET Framework: 77. C# 3.0 - Lambda 표현식 [1]
438정성태1/24/200725595.NET Framework: 76. C# 3.0 - 확장 함수
437정성태1/23/200733711Windows: 16. 개발자를 위한 UAC 환경 설정 [3]
436정성태1/17/200722938VS.NET IDE: 42. Orcas 2007년 1월 CTP 버전 설치 [5]
435정성태1/14/200722433기타: 17. 베타 제품과 최종 제품은 다르다 [2]
434정성태2/4/200726341Windows: 15. MIC 환경 구성 - Windows XP와 유사한 보안 설정 [4]
433정성태1/12/200735658Windows: 14. 보호 모드와 필수 무결성 제어(MIC: Mandatory Integrity Control) [3]파일 다운로드1
432정성태1/10/200726641Windows: 13. InitOnceExecuteOnce API 소개 [5]
431정성태1/8/200724207Windows: 12. 비스타는 안전한 윈도우인가? [2]
430정성태1/7/200730557웹: 6. IIS 7 마이그레이션 정리 - Sysnet
427정성태12/30/200620859Team Foundation Server: 14. VS.NET IDE에 통합된 TFS Annotate [1]
425정성태12/29/200624775Windows: 11. Vista IIS 7(Integrated mode)에서의 ASP.NET F5 디버깅 방법
424정성태12/29/200622984기타: 16. 첫걸음 [2]
426정성태12/30/200621623    답변글 기타: 16.1. 예외 발생
420정성태12/27/200626362Windows: 10. Internet Explorer 7.0 호환성 백서 (Word 문서, 1.92MB) [7]파일 다운로드1
419정성태12/25/200627930Windows: 9. VS.NET 2005 원격 디버깅 구성
418정성태12/25/200636170웹: 5. IIS 7에서 클라이언트 측 인증서 사용 시 주의점 [2]
417정성태12/24/200628504Windows: 8. VS.NET 2005에서의 웹 애플리케이션 디버깅 설정
416정성태1/31/200728647오류 유형: 23. MSI 설치 시 로그 파일 생성하는 레지스트리 설정 [3]
415정성태12/31/200632537개발 환경 구성: 20. 인증서 오류 체크 목록
413정성태12/20/200629152VC++: 26. volatile 키워드 [1]파일 다운로드1
... 181  182  183  [184]  185  186  187  188  189  190  191  192  193  194  195  ...