J & J - 정성태의 닷넷 이야기

사용자

메뉴

최근 덧글

[정성태] 그냥 RSS Reader 기능과 약간의 UI 편의성 때문에 사용...[이종효] 오래된 소프트웨어는 보안 위협이 되기도 합니다. 혹시 어떤 기능...[정성태] @Keystroke IEEE의 문서를 소개해 주시다니... +_...[손민수 (Keystroke)] 괜히 듀얼채널 구성할 때 한번에 같은 제품 사라고 하는 것이 아...[정성태] 전각(Full-width)/반각(Half-width) 기능을 토...[정성태] Vector에 대한 내용은 없습니다. Vector가 닷넷 BCL...[orion] 글 읽고 찾아보니 디자인 타임에는 InitializeCompon...[orion] 연휴 전에 재현 프로젝트 올리자 생각해 놓고 여의치 않아서 못 ...[정성태] 아래의 글에 정리했으니 참고하세요. C# - Typed D...[정성태] 간단한 재현 프로젝트라도 있을까요? 저런 식으로 설명만 해...

글쓰기

제목

이름

암호

전자우편

HTML

홈페이지

유형

내용

<div style='display: inline'>
<h1 style='font-family: Malgun Gothic, Consolas; font-size: 20pt; color: #006699; text-align: center; font-weight: bold'>windbg - 닷넷 메모리 덤프에서 AppDomain에 걸친 정적(static) 필드 값을 조사하는 방법</h1>

사실, .NET Core/5+가 나오면서 다중 AppDomain을 지원하지 않으므로 이 글의 내용이 필요할 일은 점점 더 줄어들 것입니다. 단지, .NET Framework을 대상으로 한 Legacy 웹 사이트를 분석하는 경우라면 이 글이 가끔은 필요할 것입니다. ^^ 
 
참고로 예전에 썼던 글은, 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
windbg - 닷넷 메모리 덤프에서 정적(static) 필드 값을 조사하는 방법
; <a target='tab' href='https://www.sysnet.pe.kr/2/0/11487'>https://www.sysnet.pe.kr/2/0/11487</a>
</pre>
 
AppDomain이 하나인 경우 사용할 수 있는 방법입니다. 
 
다중 AppDomain - 즉, 다중 웹 애플리케이션을 호스팅하는 w3wp.exe를 덤프로 뜨는 경우, 타입을 조회하게 되면 이런 식으로 복잡하게 출력이 됩니다. (물론, 아래의 출력 결과는 <a target='tab' href='https://www.sysnet.pe.kr/2/0/10948#shared_domain'>SingleDomain 공유 방식</a>인 경우를 예로 든 것입니다.) 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
0:000&gt; !name2ee TestMod.dll!MyMod.TestClass
Module: 00007fff13f53128
Assembly: TestMod.dll
Token: 000000000200000c
MethodTable: 00007fff13f59578
EEClass: 00007fff13f79c70
Name: MyMod.TestClass
--------------------------------------
Module: 00007fff16feed08
Assembly: TestMod.dll
Token: 000000000200000c
MethodTable: 00007fff170b5e48
EEClass: 00007fff170a9c70
Name: MyMod.TestClass
--------------------------------------
...[생략: AppDomain의 수만큼 나열]...
--------------------------------------
Module: 00007fff24b535e8
Assembly: TestMod.dll
Token: 000000000200000c
MethodTable: 00007fff24b59a38
EEClass: 00007fff24b79c70
Name: MyMod.TestClass
</pre>
 
따라서, 원하는 Web Application, 즉 원하는 AppDomain이 포함한 타입 정보가 어떤 것인지 먼저 판단을 해야 합니다. 
 
이를 위해 !DumpDomain 명령을 내리면, 다음과 같이 모든 AppDomain 목록과 그것에 포함된 어셈블리 목록이 길게 뜨는데요, 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
0:000&gt; !dumpdomain
--------------------------------------
System Domain: 00007fff7341f480
LowFrequencyHeap: 00007fff7341f9f8
HighFrequencyHeap: 00007fff7341fa88
StubHeap: 00007fff7341fb18
Stage: OPEN
Name: None
--------------------------------------
Shared Domain: 00007fff7341eeb0
LowFrequencyHeap: 00007fff7341f9f8
HighFrequencyHeap: 00007fff7341fa88
StubHeap: 00007fff7341fb18
Stage: OPEN
Name: None
Assembly: 000000ed896e0920 [C:\Windows\Microsoft.Net\assembly\GAC_64\mscorlib\v4.0_4.0.0.0__b77a5c561934e089\mscorlib.dll]
ClassLoader: 000000ed896e4bf0
 Module Name
00007fff133a4020 C:\Windows\Microsoft.Net\assembly\GAC_64\mscorlib\v4.0_4.0.0.0__b77a5c561934e089\mscorlib.dll

--------------------------------------
Domain 1: 000000ed8970e670
LowFrequencyHeap: 000000ed8970ee68
HighFrequencyHeap: 000000ed8970eef8
StubHeap: 000000ed8970ef88
Stage: OPEN
SecurityDescriptor: 000000ed88930170
Name: DefaultDomain
Assembly: 000000ed896e0920 [C:\Windows\Microsoft.Net\assembly\GAC_64\mscorlib\v4.0_4.0.0.0__b77a5c561934e089\mscorlib.dll]
ClassLoader: 000000ed896e4bf0
SecurityDescriptor: 000000ed896ed1b0
 Module Name
00007fff133a4020 C:\Windows\Microsoft.Net\assembly\GAC_64\mscorlib\v4.0_4.0.0.0__b77a5c561934e089\mscorlib.dll

Assembly:           000000ed896e04a0 [C:\Windows\Microsoft.Net\assembly\GAC_64\System.Web\v4.0_4.0.0.0__b03f5f7f11d50a3a\System.Web.dll]
ClassLoader:        000000ed896e49e0
SecurityDescriptor: 000000ed896ec3a0
  Module Name
00007fff133b4238            C:\Windows\Microsoft.Net\assembly\GAC_64\System.Web\v4.0_4.0.0.0__b03f5f7f11d50a3a\System.Web.dll

...[생략]...

--------------------------------------
Domain 2: 000000f29a31b240
LowFrequencyHeap: 000000f29a31ba38
HighFrequencyHeap: 000000f29a31bac8
StubHeap: 000000f29a31bb58
Stage: OPEN
SecurityDescriptor: 000000f29a64d2e0
Name: /LM/W3SVC/1/ROOT/FlowerStore-1-132918895858272924
Assembly: 000000ed896e0920 [C:\Windows\Microsoft.Net\assembly\GAC_64\mscorlib\v4.0_4.0.0.0__b77a5c561934e089\mscorlib.dll]
ClassLoader: 000000ed896e4bf0
SecurityDescriptor: 000000ed896ed840
 Module Name
00007fff133a4020 C:\Windows\Microsoft.Net\assembly\GAC_64\mscorlib\v4.0_4.0.0.0__b77a5c561934e089\mscorlib.dll

...[생략]...

Assembly: 000000f29a312780 [C:\Windows\Microsoft.Net\assembly\GAC_MSIL\Aries\v4.0_5.0.0.0__cc862a9be44088eb\TestMod.dll]
ClassLoader: 000000ed896e2fc0
SecurityDescriptor: 000000f29ba0b5e0
 Module Name
00007fff13f53128 C:\Windows\Microsoft.Net\assembly\GAC_MSIL\Aries\v4.0_5.0.0.0__cc862a9be44088eb\TestMod.dll

...[생략]...

--------------------------------------

Domain 4: 000000f2a7467c40
LowFrequencyHeap: 000000f2a7468438
HighFrequencyHeap: 000000f2a74684c8
StubHeap: 000000f2a7468558
Stage: OPEN
SecurityDescriptor: 000000f2a3b777d0
Name: /LM/W3SVC/1/ROOT/BookStore-1-132918898674350218
Assembly: 000000ed896e0920 [C:\Windows\Microsoft.Net\assembly\GAC_64\mscorlib\v4.0_4.0.0.0__b77a5c561934e089\mscorlib.dll]
ClassLoader: 000000ed896e4bf0
SecurityDescriptor: 000000f2a74c1210
 Module Name
00007fff133a4020 C:\Windows\Microsoft.Net\assembly\GAC_64\mscorlib\v4.0_4.0.0.0__b77a5c561934e089\mscorlib.dll

Assembly:           000000f2a70a5eb0 [C:\Windows\Microsoft.Net\assembly\GAC_64\System.Web\v4.0_4.0.0.0__b03f5f7f11d50a3a\System.Web.dll]
ClassLoader:        000000f2a7461c70
SecurityDescriptor: 000000f2a74c0310
  Module Name
00007fff16ce4908            C:\Windows\Microsoft.Net\assembly\GAC_64\System.Web\v4.0_4.0.0.0__b03f5f7f11d50a3a\System.Web.dll

...[생략]...
</pre>
 
이 중에서 원하는 AppDomain을 구분하는 것은 Domain의 Name 필드에 기록된 /LM/W3SVC/... 식별자로 가능합니다. 여러분이 원하는 웹 사이트의 LM 식별자와 일치하는 AppDomain을 찾고 나면 이제 (조사하고 싶은 정적 필드를 포함한) 타입이 정의된 모듈의 주소를 확인합니다. 그런 다음 !name2ee로 출력했을 때의 Module 주소와 같은 것을 찾으면 됩니다. 위의 예제에서는 FlowerStore 웹 사이트를 조사하고 싶기 때문에 그 안에 있는 00007fff13f53128 모듈 주소를 !name2ee에서 찾았더니, 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
0:000&gt; !name2ee TestMod.dll!MyMod.TestClass
Module: 00007fff13f53128
Assembly: TestMod.dll
Token: 000000000200000c
MethodTable: 00007fff13f59578
EEClass: 00007fff13f79c70
Name: MyMod.TestClass
--------------------------------------
...[생략]...
</pre>
 
첫 번째 항목과 일치합니다. 따라서 이제 EEClass에 출력된 값을 기준으로 DumpClass 명령을 내리면 그 클래스 내부에 포함된 정적 필드의 값을 확인할 수 있습니다. 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
0:000&gt; !DumpClass /d 00007fff13f79c70
Class Name: MyMod.TestClass
mdToken: 0000000002000003
File: ...[생략]...
Parent Class: 00007ffe3d8d1968
Module: 00007ffde3014110
Method Table: 00007ffde3015b68
Vtable Slots: 4
Total Method Slots: 5
Class Attributes: 100001 
Transparency: Critical
NumInstanceFields: 0
NumStaticFields: 1
 MT Field Offset Type VT Attr Value Name
00007ffe3df69500 4000001 3c System.Int32 1 static 1 Count
</pre>

<hr />[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

</div>

첨부파일

스팸 방지용 인증 번호

2080 (왼쪽의 숫자를 입력해야 합니다.)