성태의 닷넷 이야기
홈 주인
모아 놓은 자료
프로그래밍
질문/답변
사용자 관리
사용자
메뉴
아티클
외부 아티클
유용한 코드
온라인 기능
MathJax 입력기
최근 덧글
[정성태] Roll A Lisp In C - Reading ; https...
[정성태] Java - How to use the Foreign Funct...
[정성태] 제가 큰 실수를 했군요. ^^; Delegate를 통한 Bein...
[정성태] Working with Rust Libraries from C#...
[정성태] Detecting blocking calls using asyn...
[정성태] 아쉽게도, 커뮤니티는 아니고 개인 블로그입니다. ^^
[정성태] 질문이 잘 이해가 안 됩니다. 우선, 해당 소스코드에서 ILis...
[양승조
] var대신 dinamic으로 선언해서 해결은 했습니다. 맞는 해...
[양승조
] 또 막혔습니다. ㅠㅠ var list = props[i].Ge...
[양승조
] 아. 감사합니다. 어제는 안됐던것 같은데....정신을 차려야겠네...
글쓰기
제목
이름
암호
전자우편
HTML
홈페이지
유형
제니퍼 .NET
닷넷
COM 개체 관련
스크립트
VC++
VS.NET IDE
Windows
Team Foundation Server
디버깅 기술
오류 유형
개발 환경 구성
웹
기타
Linux
Java
DDK
Math
Phone
Graphics
사물인터넷
부모글 보이기/감추기
내용
<div style='display: inline'> <h1 style='font-family: Malgun Gothic, Consolas; font-size: 20pt; color: #006699; text-align: center; font-weight: bold'>리눅스 환경의 .NET Core 3/5+ 메모리 덤프로부터 닷넷 모듈을 추출하는 방법</h1> <p> 윈도우 환경이라면,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > windbg - 풀 덤프 파일로부터 .NET DLL을 추출/저장하는 방법 ; <a target='tab' href='https://www.sysnet.pe.kr/2/0/10943'>https://www.sysnet.pe.kr/2/0/10943</a> </pre> <br /> 위의 글에 설명한 방법으로 <a target='tab' href='https://learn.microsoft.com/en-us/dotnet/framework/tools/sos-dll-sos-debugging-extension'>!savemodule 명령어</a>를 이용하면 닷넷 모듈을 추출할 수 있습니다. 그런데, 리눅스 환경의 닷넷 코어/5+에서는 sos 확장에 savemodule을 웬일인지 지원하지 않습니다. 그래도 뭔가 방법이 있으니까 이 글을 썼겠죠? ^^<br /> <br /> <hr style='width: 50%' /><br /> <br /> 어차피, .NET 모듈의 포맷은 운영체제 환경에 따라 달라지는 것은 아니므로 우리가 알아내야 할 것은 결국 메모리 덤프 파일 내에서의 이미지 주소를 어떻게 구하느냐에 따라 결정됩니다.<br /> <br /> 다행히, dotnet-dump는 (windbg와 유사하게) lm/modules 또는 clrmodules 명령을 제공하므로,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > Analyze SOS commands ; <a target='tab' href='https://learn.microsoft.com/en-us/dotnet/core/diagnostics/dotnet-dump#analyze-sos-commands'>https://learn.microsoft.com/en-us/dotnet/core/diagnostics/dotnet-dump#analyze-sos-commands</a> </pre> <br /> 이것을 실행하면 각 모듈의 시작과 크기를 알 수 있습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > $ <span style='color: blue; font-weight: bold'>dotnet-dump analyze core_20221004_133846</span> Loading core dump: core_20221004_133846 ... Ready to process analysis commands. Type 'help' to list available commands or 'help [command]' to get detailed help on a command. Type 'quit' or 'exit' to exit the session. > <span style='color: blue; font-weight: bold'>lm</span> ...[생략]... 00007FAA1C093000 00061000 /app/System.Configuration.ConfigurationManager.dll <span style='color: blue; font-weight: bold'>00007FB6D0020000 00042000</span> /app/log4net.dll 00007FB6D7C20000 00055200 /usr/share/dotnet/shared/Microsoft.NETCore.App/3.1.22/System.Net.WebClient.dll ...[생략]... > <span style='color: blue; font-weight: bold'>clrmodules</span> ...[생략]... 00007FAA1C093000 00060A68 /app/System.Configuration.ConfigurationManager.dll <span style='color: blue; font-weight: bold'>00007FB6D0020000 0003F000</span> /app/log4net.dll 00007FB6D7C20000 00055200 /usr/share/dotnet/shared/Microsoft.NETCore.App/3.1.22/System.Net.WebClient.dll ...[생략]... > </pre> <br /> lm/modules 명령은 native 모듈까지 모두 열람하므로 닷넷 모듈만 보여주는 clrmodules 명령어를 사용하는 것이 좀 더 출력을 (그래도 많지만) 단순화할 수 있습니다. 그런데, 다소 혼란스러운 것은 2개의 명령어가 출력하는 모듈의 시작 주소는 같은 반면, 크기가 다소 다른 경우가 있습니다.<br /> <br /> 위의 예제에서 log4net.dll은 lm 쪽의 것이 파일의 크기가 더 큽니다. 파일 파서를 작성해 보신 분이라면 짐작하시겠지만, 보통은 더 많은 바이트를 확보하는 것은 문제가 되지 않으므로 의심스러우면 00042000 크기를 선택하면 됩니다. 어쨌든, 실제로 테스트를 해보면 될 일이죠? ^^<br /> <br /> 아쉽게도, dotnet-dump로는 덤프 파일로부터 특정 메모리의 내용을 파일로 저장할 수 있는 기능이 없으므로, 이제부터는 windbg로 덤프 파일을 열어야 합니다.<br /> <br /> 이를 위해 "core_20221007_000149" 파일에 ".dmp" 확장자를 주고 <a target='tab' href='https://www.sysnet.pe.kr/2/0/12316'>Windbg Preview 버전</a>으로 열면, 다음과 같이 <a target='tab' href='https://learn.microsoft.com/en-us/windows-hardware/drivers/debugger/-writemem--write-memory-to-file-'>.writemem 명령어</a>를 이용해 덤프 파일 내의 특정 메모리 위치를 파일로 저장할 수 있습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > 0:000> <span style='color: blue; font-weight: bold'>.writemem c:\temp\log4net.dll 00007FB6D0020000 L 0003F000</span> Writing 3f000 bytes............................. </pre> <br /> 그리고 이것을 <a target='tab' href='https://github.com/dnSpy/dnSpy'>dnSpy와 같은 도구</a>로 열어 보면,<br /> <br /> <img onclick='toggle_img(this)' class='imgView' alt='module_from_dotnet_dump_1.png' src='/SysWebRes/bbs/module_from_dotnet_dump_1.png' /><br /> <br /> decompiler가 잘 파싱하고 있습니다. ^^<br /> </p><br /> <br /><hr /><span style='color: Maroon'>[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]</span> </div>
첨부파일
스팸 방지용 인증 번호
8585
(왼쪽의 숫자를 입력해야 합니다.)